La limitazione del trattamento di ChatGPT da parte del Garante: facciamo chiarezza

Leggi questo articolo grazie alle donazioni di Donatello Mancuso, Lorenzo Rossini, Marco Riva, Francesco Fantini, Mattia Bonoli, Andrea Draghetti.
♥ Partecipa anche tu alle donazioni: sostieni SaggiaMente, sostieni le tue passioni!

Non scrivo da un po’ su queste pagine, e soprattutto di questioni legali, per una mancanza di tempo: il lavoro ormai mi assorbe più tempo di quello che ho a disposizione per vivere durante la giornata, e di questo me ne scuso con tutti voi.

Dato, però, il recente provvedimento dell’Autorità Garante per la Protezione dei Dati Personali su ChatGPT, credo sia il caso di fare un poco di chiarezza, cercando di mantenere un linguaggio quanto più colloquiale e semplice, senza scendere nei tecnicismi di una materia che, checché se ne dica, non si riduce affatto a due flag e una informativa copiata e incollata da un sito all’altro.

Tenete conto di un’altra cosa: i ragionamenti che seguiranno possono essere validi in linea di principio per tutte le IA.

Cosa è successo

Il Garante ha ritenuto di ordinare a OpenAI la limitazione del trattamento dei dati personali degli utenti italiani, dato che:

  1. non è mai stata pubblicata una informativa sul trattamento dei dati personali che informi gli interessati (cioè le persone fisiche di cui ChatGPT tratta i dati personali) sulle modalità di raccolta e di elaborazione dei dati, senza esplicitare nemmeno la condizione di liceità per la quale possono essere trattati;
  2. ChatGPT restituisce, più spesso di quanto si pensi, dati inesatti: se chiedete di fare una ricerca su Elio Franco o Maurizio Natali, molto probabilmente inventerà gran parte delle nostre vite;
  3. ChatGPT non ha meccanismi che possano discriminare l’età degli utenti, impendendo l’accesso ai minori di tredici anni.

OpenAI, raggiunta dal provvedimento d’urgenza del Garante, nell’impossibilità di porre rimedio alle mancanze riscontrate nel breve termine, ha deciso di bloccare l’accesso alla piattaforma agli utenti italiani, cosa che, peraltro, è risolutiva solo del punto C.

Quali dati tratta ChatGPT?

Come tutte le Intelligenze Artificiali, alla base di ChatGPT c’è un algoritmo (più precisamente LLM) che deve essere allenato dandogli in pasto dei dati: secondo OpenAI, i dati sono tratti da tutte le pagine di Wikipedia e di altre pagine web (con tutti i possibili problemi di copyright annessi e connessi), oltre che da dataset provenienti da altre fonti pubbliche. Tali dataset vengono poi “tokenizzati” e usati per l’elaborazione delle risposte. Il problema, però, è uno: se, ad esempio, ChatGPT raccoglie dei miei dati non aggiornati, oppure tratta mie informazioni per cui avevo prestato il mio consenso cinque anni fa e ora detto consenso è scaduto oppure l’ho revocato, che strumenti ho per impedire il trattamento dei miei dati? Nessuno.

E vi dirò di più: OpenAI non tratta solo i dati dei propri utenti, ma, in virtù di quanto appena detto, elabora potenzialmente i dati di tutti noi: se chiedo a ChatGPT di scrivere un racconto su Maurizio Natali, un blogger che uccide androidi a suon di mele morsicate, sto dando in pasto i suoi dati all’algoritmo che non li tratterà solo per scrivere il testo, ma anche per allenarsi e migliorarsi.

Ancora, ci sono tante, troppe, persone che chattando con l’IA forniscono i propri dati particolari (sanitari, religiosi, appartenenza politica e sindacale, orientamento sessuale…) e ChatGPT continua a utilizzarli, senza nemmeno richiedere il consenso specifico.

Tutti questi esempi avrebbero dovuto quanto meno essere strutturati in un’informativa sul trattamento dei dati personali, cosa che non è stata fatta: per accedere al servizio, infatti, basta iscriversi e si è poi liberi di allenare l’algoritmo con le proprie informazioni e i dati altrui.

Risposta sbagliata, signora Longari!

Non nascondiamoci dietro un dito: le risposte fornite da ChatGPT sono a volte totalmente errate. Ne ha parlato anche Walter Vannini nell’ultima puntata del suo podcast DataKnightmare, nel quale ha dimostrato che l’IA associa a Stefano Quintarelli fantomatiche appartenenze politiche e, soprattutto, per diverse volte lo ha dato per morto (e invece è, fortunatamente, vivo e vegeto). Ecco, ChatGPT tratta i dati personali in modo inesatto (ma non era basato su Wikipedia?) e tanto basta per violare il principio di esattezza del GDPR.

Magari qualcuno di noi potrebbe anche essere orgoglioso di sapere che per ChatGPT ha vinto un premio Nobel per la medicina, o potrebbe rimanerci parecchio male nel sapere che sempre ChatGPT lo annovera fra i gerarchi nazisti, ma ci rimarrebbe pure peggio nel sapere che non ha modo per correggere i propri dati.

Insomma, per ChatGPT la signora Longari può essere effettivamente la protagonista della gaffe più famosa della storia della tv, se solo fosse mai stata effettivamente pronunciata dal compianto Mike Bongiorno.

L’amico immaginario

Qualche mese fa, il Garante ha bloccato Replika, chatbot che si proponeva come la versione reale dell’amico immaginario che tutti noi abbiamo avuto da bambini, perché trattava dati di minori di tredici anni. La stessa cosa era accaduta con TikTok che, invece, è subito corsa ai ripari. Dunque, OpenAI ben poteva immaginare che le sarebbe toccata la stessa sorte, dato che ChatGPT è priva di meccanismi per il controllo dell’età dei propri utenti.

Limitazione, non blocco

Chiariamo una volta per tutte che il Garante ha imposto, in via d’urgenza, la limitazione del trattamento dei dati personali degli interessati (che, ricordo ancora, non sono solo gli utenti del servizio) per le tre mancanze innanzi analizzate. La decisione di sospendere il servizio, invece, è stata presa da OpenAI perché non è in grado di implementare nell’immediato il sistema di controllo dell’età degli utenti.

Tra l’altro, il blocco degli accessi non è risolutivo delle altre questioni sottese alla vicenda, dato che:

  1. non sostituisce di certo l’informativa sul trattamento dei dati personali;
  2. i dati personali degli italiani già in pasto all’algoritmo continuano ad essere trattati;
  3. molti di noi per ChatGPT sono dei pericolosi criminali internazionali o fanno parte di una boyband.

Peraltro, è impossibile che OpenAI riesca effettivamente a limitare il trattamento dei dati personali, essendo ormai tokenizzati, senza intervenire pesantemente sull’algoritmo.

L’Italia è un Paese retrogrado e oscurantistah!

In questi giorni ne ho lette e sentite di tutti i colori: siamo assieme alla Cina e alla Russia (Paesi in cui il servizio è vietato perché americano, non perché abbiano una spiccata attenzione alla tutela della privacy e dei dati personali dei loro cittadini), è una operazione del Governo per farci rimanere indietro (il collegio di presidenza del Garante è stato nominato da uno degli esecutivi precedenti ed è indipendente dal Parlamento), ChatGPT è stato bloccato perché siamo una nazione illiberale, etc…

In realtà, il Garante italiano è solo arrivato prima dei suoi omologhi degli altri Paesi europei: il GDPR è uguale in tutta Europa e OpenAi l’ha violato in maniera uguale in tutti gli stati membri.

In altre parole, ChatGPT, per come è strutturato ora, mette in pericolo le libertà e i diritti di tutti i cittadini europei. Non ci credete? Il 20 marzo scorso OpenAI è stata vittima di un attacco hacker che ha sottratto i dati personali degli utenti di ChatGPT Plus: fortunatamente gli attaccanti non hanno fatto in tempo ad accedere alle conversazioni intrattenute, ma è facile immaginare cosa sarebbe potuto succedere se avessero avuto accesso a tutti i dati dei clienti del servizio free. I miei e i vostri dati.

È, quindi, una questione di diritti, non di fermare Skynet sul nascere: nessuno vuol vietare a OpenAI o ai suoi competitor di continuare sulla strada dell’innovazione, ma, semplicemente, non si può svendere la dignità umana in nome di un progresso troppo veloce e incontrollato. Nei prossimi mesi l’Unione Europea avrà il suo Ai Act, un regolamento che disciplinerà lo sviluppo e l’uso dei sistemi di intelligenza artificiale.

Insomma, potremo sempre continuare a meravigliarci dei risultati che raggiungono questi algoritmi di calcolo statistico (che di intelligenza, nel senso umano del termine, non hanno nulla), pur sapendo di essere un poco più al sicuro.

Nota 1: Dato che è stato ChatGPT ad oscurare il sito per gli utenti italiani, è chiaro che usando in modo improprio delle VPN si può aggirare il blocco.

Nota 2: Per quanto riguarda invece PizzaGPT.it, che fornisce accesso anonimo al servizio anche dall’Italia sostenendo di risolvere il problema, in realtà non è molto utile sia perché i dati inseriti dagli utenti nelle chat alleneranno comunque la IA sia perché non risolve il problema di quelli già ottenuti dal web e tokenizzati.

Alcuni link presenti nell'articolo possono presentare codici di affiliazione con i partner sponsorizzati.
Elio Franco

Editor - Sono un avvocato esperto in diritto delle nuove tecnologie, codice dell'amministrazione digitale, privacy e sicurezza informatica. Mi piace esplorare i nuovi rami del diritto che nascono in seguito all'evoluzione tecnologica. Patito di videogiochi, ne ho una pila ancora da finire per mancanza di tempo.

Commenti controllati Oltre a richiedere rispetto ed educazione, vi ricordiamo che tutti i commenti con un link entrano in coda di moderazione e possono passare diverse ore prima che un admin li attivi. Anche i punti senza uno spazio dopo possono essere considerati link causando lo stesso problema.