Ravvedimento operoso per ChatGpt: il sistema di intelligenza artificiale (IA), se vuole tornare a essere utilizzabile dall’Italia, deve cominciare a mettersi a posto con gli adempimenti privacy.
OpenaAI, la società statunitense sviluppatrice di questa IA, entro il 30/4/ 2023, deve riscrivere le informative, cominciare a raccogliere i consensi degli interessati o usare motivatamente altri presupposti e realizzare procedure per rettificare o cancellare i dati elaborati in maniera inesatta e bloccare i trattamenti di chi si oppone; entro il 15/5/2023 deve realizzare una campagna informativa sulle sue attività; entro il 30/9/2023 deve bloccare l’accesso ai bambini sotto i 13 anni e chiedere il consenso dei genitori per i minorenni ammessi. È quanto prescritto dal Garante con il provvedimento n. 114 dell’11 aprile 2023. Ma vediamo di illustrare i dettagli della vicenda.
ChatGpt è un software di IA relazionale in grado di simulare ed elaborare le conversazioni umane: risponde a domande, scrive testi, saggi, articoli, ricerche, atti giuridici, programmi informatici e tante altre cose. Sta mietendo successo anche presso imprese e professionisti. Il problema è che raccoglie ed elabora quantità infinite di informazioni, anche dati personali. Proprio per questo deve fare i conti con il Gdpr (regolamento Ue sulla privacy n. 2016/679).
Considerato che OpenAI è in palese violazione del Gdpr, il Garante della privacy è intervenuto d’urgenza, limitando provvisoriamente l’uso della piattaforma di intelligenza artificiale (provvedimento n. 112 del 30 marzo 2023). Per tornare operativa in Italia OpenAI deve ora almeno adempiere alle prescrizioni imposte con il provvedimento n. 114/2023.
Secondo il Garante ci vuole un’informativa chiara e completa su come vengono trattati i dati: dovrà essere presentata prima del completamento della registrazione e, sempre prima del completamento della registrazione, deve essere richiesto agli utenti di dichiarare di essere maggiorenni. Per quelli già registrati, la nuova informativa e la dichiarazione dell’età saranno disponibili al primo accesso successivo alla riattivazione del servizio.
OpenAi deve, poi, assumersi la responsabilità a proposito della cosiddetta “base giuridica”: tradotto, poiché usa dati per addestrare gli algoritmi, deve decidere se chiedere il consenso o dimostrare di potere proseguire senza, accampando un legittimo interesse (che deve adeguatamente giustificare).
La piattaforma deve, inoltre, avere procedure facili per permettere agli utenti di rettificare o cancellare dati inesatti. Gli interessati, anche se non utenti, devono anche avere la possibilità di opporsi all’uso dei loro dati per allenare gli algoritmi.
Per i minori, oltre alla autodichiarazione, facilmente eludibile, OpenAI deve presentare, entro il 31/5/2023 un piano di azione che preveda, al più tardi entro il 30/9/2023, l’operatività di sistemi di controllo dell’età, in grado di escludere l’accesso agli utenti infratredicenni e ai minorenni per i quali manchi il consenso dei genitori.
Infine, entro il 15/5/ 2023, OpenAI deve lanciare una campagna informativa su tutti i mezzi di comunicazione per illustrare le sue attività.
Nel provvedimento in esame il Garante privacy si riserva di sanzionare OpenAi per le violazioni già commesse e di verificare se le future misure saranno sufficienti a rimettersi in riga.
Tra l’altro non si fa cenno espresso al trasferimento di dati verso gli USA, condotta questa che merita di essere approfondita, considerato che lo stesso Garante ha già ammonito altri operatori ed enti pubblici ad adottare precauzioni stringenti.
Antonio Ciccia Messina, ItaliaOggi
