Il Garante per la protezione dei dati personali italiano ha inflitto una sanzione di 15 milioni di euro a OpenAI, la società californiana che ha sviluppato ChatGPT, imponendo anche una campagna informativa di sei mesi per sensibilizzare utenti e non utenti sul trattamento dei loro dati personali. La notizia, arrivata qualche giorno fa, apre uno scenario nuovo che va ben oltre una sanzione che il colosso OpenAi è in grado di onorare senza fare una piega. Il provvedimento appare più significativo dal punto di vista del principio e delle conseguenza che potrebbe avere sul dibattito globale in ordine alla regolamentazione dell’intelligenza artificiale e alla tutela della privacy.
Le violazioni accertate
L’indagine, avviata nel marzo 2023, ha evidenziato criticità rilevanti nella gestione dei dati personali da parte di OpenAI:
- Mancanza di trasparenza: Gli utenti e i non utenti non erano adeguatamente informati sull’uso dei loro dati personali per l’addestramento degli algoritmi di ChatGPT.
- Assenza di una base giuridica: OpenAI non aveva individuato una base legale chiara per la raccolta e l’utilizzo massivo di dati personali.
- Rischi per i minori: Mancavano meccanismi efficaci per verificare l’età degli utenti, esponendo i minori a contenuti potenzialmente inadatti.
Guido Scorza, componente del Garante per la Privacy, ha dichiarato ad AgendaDigitale.eu: “Abbiamo sanzionato OpenAI per varie violazioni privacy e imposto una campagna per informare il pubblico sul trattamento dei dati effettuato da questa intelligenza artificiale e su come opporvisi.”
La storia di ChatGPT e le origini del provvedimento del Garante
ChatGPT ha segnato un successo senza precedenti: un milione di utenti nella prima settimana di lancio, superando social network come Instagram in velocità di diffusione. Milioni di persone lo hanno utilizzato per motivi diversi, dalla risoluzione di problemi complessi alla semplice curiosità. Tuttavia, questa popolarità ha sollevato interrogativi importanti.
Nel marzo 2023, il Garante italiano ha analizzato il servizio, ponendosi domande chiave, come ha ricordato lo stesso Scorza. Tra le principali questioni in campo:
- Gli utenti conoscono davvero il funzionamento di ChatGPT e l’uso dei loro dati personali?
- Su quali basi giuridiche OpenAI raccoglie e utilizza dati personali da fonti online?
- Come possono gli utenti opporsi al trattamento dei propri dati personali?
- Cosa fa OpenAI per proteggere i minori dall’uso improprio del servizio?
Questi interrogativi hanno portato alla sospensione temporanea del trattamento dei dati personali degli utenti italiani e all’avvio di un dialogo con OpenAI, culminato nel provvedimento del 30 marzo 2023.
Il significato del provvedimento
Il provvedimento italiano è stato il primo a ricordare a una big tech dell’AI l’importanza del rispetto dei diritti fondamentali come la privacy. Nonostante iniziali critiche, soprattutto da parte di chi temeva un freno all’innovazione, l’iniziativa ha innescato un dibattito globale sulla regolamentazione dell’AI generativa.
Come sottolinea Scorza, “Non si può definire innovazione una qualsiasi forma di progresso tecnologico, ma solo quel progresso che accresce il benessere collettivo in modo condiviso e universale.”
Verso una governance europea?
L’intervento del Garante italiano si inserisce in un quadro più ampio di regolamentazione europea. L’AI Act, recentemente approvato, introduce norme specifiche per i modelli di intelligenza artificiale generativa, mentre il Comitato Europeo per la Protezione dei Dati ha pubblicato linee guida per armonizzare le regole tra i Paesi membri.
Con lo stabilimento di OpenAI a Dublino, spetterà al Garante irlandese valutare ulteriormente la legittimità delle basi giuridiche per l’addestramento degli algoritmi, in un contesto sempre più integrato e coordinato a livello europeo.
Il caso OpenAI rappresenta un esempio di come tecnologia e diritti debbano necessariamente rivoluzionare la propria convivenza. Riuscire a contemperare gli immensi interessi economici in campo, il rispetto dei diritti fondamentali e della privacy, mettendo in campo una diversa e più efficace politica di alfabetizzazione digitale non sarà semplice.
L’Europa, se non vuole trovarsi ai margini e rischiare di accumulare ritardi o esporre i suoi cittadini a rischi incalcolabili, deve prepararsi a scrivere nuove pagine di governance tecnologica, cercando di conciliare velocità, tecnologia e tutele. Il provvedimento del Garante italiano potrebbe servire da sveglia per l’intero sistema.
