Visto il diffondersi sempre più a macchia d’olio dell’uso di intelligenza artificiale generativa, l’attenzione ai dati, alla loro protezione ed al loro utilizzo conforme alla normativa diventa sempre più cruciale. Se già a partire dal 2018 Pubbliche Amministrazioni e aziende pubbliche e private hanno dovuto fare i conti con il GDPR, il Regolamento per la protezione dei dati personali, e con le sue prescrizioni, l’avvento di modelli di intelligenza artificiale avanzati come ChatGPT, sviluppato da OpenAI, ha amplificato preoccupazioni sui dati, visto che proprio su di loro (il nuovo oro nero e ormai nemmeno più tanto nuovo) si basa tutto il modello GPT che oggi tutti noi conosciamo e usiamo. Recentemente, la task force del Comitato Europeo per la Protezione dei Dati (EDPB) ha pubblicato un rapporto che affronta le implicazioni giuridiche e normative legate all’uso di ChatGPT. Questo articolo esplora i punti salienti del rapporto, con un focus sulla conformità al GDPR e le sfide emergenti per la protezione dei diritti fondamentali degli utenti.
Per approfondimenti si consiglia il seguente volume, il quale racconta un quadro unitario a giuristi, avvocati, praticanti e studenti relativo agli aspetti che interessano la Professione: Intelligenza artificiale – essere avvocati nell’era di ChatGPT
Indice
- 1. La conformità al GDPR e i principi fondamentali
- 2. Il ruolo della Task Force ChatGPT e l’assenza del meccanismo one-stop-shop
- 3. Sfide del web scraping e liceità del trattamento
- 4. Accuratezza e protezione dei dati, diritti degli interessati
- 5. Principio di minimizzazione e sicurezza dei dati
- 6. Accuratezza dei dati e allucinazioni dell’AI
- 7. Principio di equità
- 8. Conclusione
1. La conformità al GDPR e i principi fondamentali
Il GDPR stabilisce principi rigorosi per il trattamento dei dati personali, inclusi trasparenza, liceità e minimizzazione dei dati. Il rapporto dell’EDPB sottolinea come ChatGPT debba rispettare questi principi, soprattutto considerando le tecniche di raccolta dati su vasta scala come il web scraping. Tale tecnica, utilizzata per raccogliere informazioni da fonti pubblicamente accessibili, pone significative sfide alla protezione dei diritti degli interessati.
Trasparenza: la trasparenza è fondamentale. Gli utenti devono essere chiaramente informati su come i loro dati vengono raccolti e utilizzati. OpenAI deve garantire che le pratiche di raccolta dei dati siano comunicate in modo chiaro e accessibile, in conformità con gli Articoli 13 e 14 del GDPR.
Liceità: ogni fase del trattamento dei dati, dalla raccolta al loro utilizzo per l’addestramento del modello, deve avere una base giuridica solida. OpenAI ha spesso invocato il legittimo interesse come giustificazione, ma questo richiede un attento bilanciamento con i diritti fondamentali degli interessati. L’Articolo 6(1)(f) del GDPR permette il trattamento dei dati basato sul legittimo interesse, ma solo se tale interesse non prevale sui diritti e le libertà fondamentali delle persone coinvolte.
Minimizzazione dei dati: il principio di minimizzazione richiede che solo i dati strettamente necessari siano raccolti e trattati. Questo è particolarmente complesso per i modelli di IA che necessitano di grandi volumi di dati per migliorare le loro prestazioni. OpenAI deve quindi implementare meccanismi efficaci per consentire agli utenti di esercitare i loro diritti di accesso, rettifica e cancellazione dei dati.
2. Il ruolo della Task Force ChatGPT e l’assenza del meccanismo one-stop-shop
La task force ChatGPT dell’EDPB è stata istituita per promuovere la cooperazione e lo scambio di informazioni tra le autorità nazionali di protezione dei dati. Fino al febbraio 2024, l’assenza del meccanismo One-Stop-Shop (OSS) ha reso necessaria questa cooperazione, poiché ogni autorità nazionale aveva la competenza di avviare indagini e applicare sanzioni indipendentemente.
Il meccanismo OSS, previsto dal GDPR, permette alle aziende che operano in più Stati membri dell’UE di interagire con una sola autorità di controllo, semplificando la supervisione. Con l’istituzione di una sede di OpenAI nell’UE, il meccanismo OSS è ora applicabile, facilitando un coordinamento più efficace delle indagini a livello transfrontaliero.
Per approfondimenti si consiglia il seguente volume, il quale racconta un quadro unitario a giuristi, avvocati, praticanti e studenti relativo agli aspetti che interessano la Professione:
3. Sfide del web scraping e liceità del trattamento
Una delle principali preoccupazioni evidenziate dal rapporto riguarda il web scraping. Questa tecnica di raccolta dei dati deve essere giustificata da una base giuridica chiara e deve essere accompagnata da misure di salvaguardia adeguate per proteggere i diritti degli interessati. OpenAI ha invocato l’interesse legittimo come base giuridica, ma questo deve essere bilanciato con i diritti fondamentali degli individui, assicurando che non vi sia un impatto sproporzionato su di essi (peraltro le Autorità Garanti dei vari Paesi dell’Unione hanno espresso dubbi sul fatto che l’interesse legittimo possa effettivamente essere una base giuridica adeguata all’addestramento delle AI generative).
4. Accuratezza e protezione dei dati, diritti degli interessati
Il principio di accuratezza dei dati è cruciale per garantire che le risposte fornite da ChatGPT siano affidabili e non fuorvianti. Il rapporto sottolinea l’importanza di adottare misure per correggere eventuali inesattezze nei dati utilizzati e generati dai modelli di IA. Questo non solo aiuta a rispettare le normative vigenti, ma è anche fondamentale per mantenere la fiducia degli utenti nelle tecnologie di IA.
La protezione dei dati personali è un altro aspetto critico. OpenAI deve adottare misure tecniche e organizzative adeguate per prevenire accessi non autorizzati, perdite accidentali o attacchi malevoli. Questo è particolarmente importante in un contesto in cui le tecnologie di IA possono essere bersagliate da cyberattacchi sofisticati.
Il trattamento dei dati personali deve rispettare i diritti degli interessati come previsto dal GDPR. Il consenso dell’interessato è una delle basi giuridiche più dirette, ma non sempre praticabile nel contesto di sistemi di intelligenza artificiale complessi. Pertanto, il legittimo interesse è spesso utilizzato come base, ma richiede una rigorosa valutazione degli interessi del titolare del trattamento rispetto ai diritti degli interessati.
La trasparenza gioca un ruolo fondamentale nel garantire che gli utenti siano consapevoli di come i loro dati vengono utilizzati. OpenAI deve fornire informative dettagliate e comprensibili, conformi agli articoli 13 e 14 del GDPR, che specificano i diritti degli interessati e le modalità di esercizio di tali diritti.
5. Principio di minimizzazione e sicurezza dei dati
Il principio di minimizzazione dei dati impone la raccolta e l’elaborazione solo dei dati strettamente necessari per gli scopi dichiarati. OpenAI deve fornire strumenti efficaci per consentire agli utenti di esercitare i loro diritti di accesso, rettifica e cancellazione dei dati, come stabilito dagli articoli 15-21 del GDPR. Una robusta interfaccia utente è necessaria per permettere agli individui di visualizzare quali dati sono stati raccolti e di richiederne la modifica o la rimozione, se necessario.
La sicurezza dei dati rappresenta un altro aspetto critico. OpenAI deve adottare misure tecniche e organizzative adeguate a proteggere i dati personali trattati, prevenendo accessi non autorizzati, perdite accidentali o attacchi malevoli. Il GDPR enfatizza la responsabilizzazione dei titolari del trattamento attraverso il principio di accountability, che implica che OpenAI debba dimostrare la conformità alle normative attraverso pratiche come le valutazioni d’impatto sulla protezione dei dati (DPIA).
6. Accuratezza dei dati e allucinazioni dell’AI
Garantire l’accuratezza dei dati è una sfida complessa per un sistema come ChatGPT, che si basa su enormi volumi di dati per l’addestramento. Le “allucinazioni” del modello, dove ChatGPT può generare informazioni imprecise o fuorvianti, sollevano importanti questioni di conformità con il principio di accuratezza. La probabilità che ChatGPT produca risposte non accurate può influenzare negativamente la fiducia degli utenti e violare i loro diritti fondamentali, in particolare se tali informazioni errate portano a decisioni significative o hanno un impatto rilevante sugli interessati.
7. Principio di equità
Il principio di equità impone che il trattamento dei dati non sia ingiustificatamente dannoso, discriminatorio o ingannevole per gli interessati. Questo principio richiede che OpenAI adotti misure per prevenire l’uso dei dati in modi che possano arrecare pregiudizio agli utenti. Ad esempio, è fondamentale garantire che il trattamento dei dati non porti a bias algoritmici che possano perpetuare discriminazioni o trattamenti iniqui.
8. Conclusione
Il rapporto della task force del Comitato Europeo per la Protezione dei Dati (EDPB) rappresenta un documento di estrema importanza per gli utilizzatori di ChatGPT. La chiarezza normativa fornita dal rapporto è fondamentale per garantire la conformità alle disposizioni del GDPR e per proteggere i diritti fondamentali degli utenti.
OpenAI deve garantire che le sue pratiche di trattamento dei dati siano trasparenti, legali e sicure, implementando meccanismi efficaci per consentire agli utenti di esercitare i loro diritti. La protezione dei dati personali è essenziale per mantenere la fiducia degli utenti e per promuovere un uso responsabile delle tecnologie di intelligenza artificiale. Infine, è cruciale che le normative evolvano continuamente per affrontare le nuove sfide poste dall’innovazione tecnologica, garantendo un equilibrio tra l’innovazione e la protezione dei diritti fondamentali.
Scrivi un commento
Accedi per poter inserire un commento