GDPR e intelligenza artificiale: il rapporto della task force europea su ChatGPT

Scarica PDF Stampa

Visto il diffondersi sempre più a macchia d’olio dell’uso di intelligenza artificiale generativa, l’attenzione ai dati, alla loro protezione ed al loro utilizzo conforme alla normativa diventa sempre più cruciale. Se già a partire dal 2018 Pubbliche Amministrazioni e aziende pubbliche e private hanno dovuto fare i conti con il GDPR, il Regolamento per la protezione dei dati personali, e con le sue prescrizioni, l’avvento di modelli di intelligenza artificiale avanzati come ChatGPT, sviluppato da OpenAI, ha amplificato preoccupazioni sui dati, visto che proprio su di loro (il nuovo oro nero e ormai nemmeno più tanto nuovo) si basa tutto il modello GPT che oggi tutti noi conosciamo e usiamo.  Recentemente, la task force del Comitato Europeo per la Protezione dei Dati (EDPB) ha pubblicato un rapporto che affronta le implicazioni giuridiche e normative legate all’uso di ChatGPT. Questo articolo esplora i punti salienti del rapporto, con un focus sulla conformità al GDPR e le sfide emergenti per la protezione dei diritti fondamentali degli utenti.

Per approfondimenti si consiglia il seguente volume, il quale racconta un quadro unitario a giuristi, avvocati, praticanti e studenti relativo agli aspetti che interessano la Professione: Intelligenza artificiale – essere avvocati nell’era di ChatGPT

Indice

1. La conformità al GDPR e i principi fondamentali

Il GDPR stabilisce principi rigorosi per il trattamento dei dati personali, inclusi trasparenza, liceità e minimizzazione dei dati. Il rapporto dell’EDPB sottolinea come ChatGPT debba rispettare questi principi, soprattutto considerando le tecniche di raccolta dati su vasta scala come il web scraping. Tale tecnica, utilizzata per raccogliere informazioni da fonti pubblicamente accessibili, pone significative sfide alla protezione dei diritti degli interessati.
Trasparenza: la trasparenza è fondamentale. Gli utenti devono essere chiaramente informati su come i loro dati vengono raccolti e utilizzati. OpenAI deve garantire che le pratiche di raccolta dei dati siano comunicate in modo chiaro e accessibile, in conformità con gli Articoli 13 e 14 del GDPR.
Liceità: ogni fase del trattamento dei dati, dalla raccolta al loro utilizzo per l’addestramento del modello, deve avere una base giuridica solida. OpenAI ha spesso invocato il legittimo interesse come giustificazione, ma questo richiede un attento bilanciamento con i diritti fondamentali degli interessati. L’Articolo 6(1)(f) del GDPR permette il trattamento dei dati basato sul legittimo interesse, ma solo se tale interesse non prevale sui diritti e le libertà fondamentali delle persone coinvolte.
Minimizzazione dei dati: il principio di minimizzazione richiede che solo i dati strettamente necessari siano raccolti e trattati. Questo è particolarmente complesso per i modelli di IA che necessitano di grandi volumi di dati per migliorare le loro prestazioni. OpenAI deve quindi implementare meccanismi efficaci per consentire agli utenti di esercitare i loro diritti di accesso, rettifica e cancellazione dei dati.

2. Il ruolo della Task Force ChatGPT e l’assenza del meccanismo one-stop-shop

La task force ChatGPT dell’EDPB è stata istituita per promuovere la cooperazione e lo scambio di informazioni tra le autorità nazionali di protezione dei dati. Fino al febbraio 2024, l’assenza del meccanismo One-Stop-Shop (OSS) ha reso necessaria questa cooperazione, poiché ogni autorità nazionale aveva la competenza di avviare indagini e applicare sanzioni indipendentemente.
Il meccanismo OSS, previsto dal GDPR, permette alle aziende che operano in più Stati membri dell’UE di interagire con una sola autorità di controllo, semplificando la supervisione. Con l’istituzione di una sede di OpenAI nell’UE, il meccanismo OSS è ora applicabile, facilitando un coordinamento più efficace delle indagini a livello transfrontaliero.
Per approfondimenti si consiglia il seguente volume, il quale racconta un quadro unitario a giuristi, avvocati, praticanti e studenti relativo agli aspetti che interessano la Professione:

FORMATO CARTACEO

Intelligenza Artificiale – Essere Avvocati nell’era di ChatGPT

Nell’anno appena trascorso l’intelligenza artificiale generativa, una delle sue forme più “creative”, è stata ed è ancora oggi uno dei temi più dibattuti. Avvocati e giuristi hanno iniziato a chiedersi se, oltre alla curiosità, le opinioni e i primi esperimenti, non sia opportuno iniziare a formarsi e acquisire nuove competenze nel proprio bagaglio professionale, ma nel mare magnum di informazioni molti si stanno ponendo la stessa domanda: “Da dove inizio?”. Questo libro nasce per rispondere al bisogno “di saperne di più”, raccontando in un quadro unitario a giuristi, avvocati, praticanti e studenti: quali sono gli aspetti che interessano la professione? Qual è lo stato dell’arte?  Le norme in vigore e in corso di approvazione che disciplinano l’utilizzo di AI nei settori principali del diritto, le prime esperienze presso gli studi legali, gli esempi e le istruzioni sui principali tool.Attraverso il racconto dei fatti, vengono naturalmente toccati anche i principali dibattiti in corso: gli aspetti etici, i temi della responsabilità civile in caso di danno, la tutela del copyright per le opere realizzate con le AI generative.Claudia MorelliGiornalista professionista, specializzata nei temi della legal industry e della digital transformation della giustizia, esperta di comunicazione legale. Professoressa a contratto presso l’Università di Bologna, dove insegna Comunicazione del Giurista, già responsabile della Comunicazione del Consiglio Nazionale Forense. Il presente volume è la sua prima riflessione organica sui temi della trasformazione digitale della professione forense.

Claudia Morelli | Maggioli Editore 2024

3. Sfide del web scraping e liceità del trattamento

Una delle principali preoccupazioni evidenziate dal rapporto riguarda il web scraping. Questa tecnica di raccolta dei dati deve essere giustificata da una base giuridica chiara e deve essere accompagnata da misure di salvaguardia adeguate per proteggere i diritti degli interessati. OpenAI ha invocato l’interesse legittimo come base giuridica, ma questo deve essere bilanciato con i diritti fondamentali degli individui, assicurando che non vi sia un impatto sproporzionato su di essi (peraltro le Autorità Garanti dei vari Paesi dell’Unione hanno espresso dubbi sul fatto che l’interesse legittimo possa effettivamente essere una base giuridica adeguata all’addestramento delle AI generative).

4. Accuratezza e protezione dei dati, diritti degli interessati

Il principio di accuratezza dei dati è cruciale per garantire che le risposte fornite da ChatGPT siano affidabili e non fuorvianti. Il rapporto sottolinea l’importanza di adottare misure per correggere eventuali inesattezze nei dati utilizzati e generati dai modelli di IA. Questo non solo aiuta a rispettare le normative vigenti, ma è anche fondamentale per mantenere la fiducia degli utenti nelle tecnologie di IA.
La protezione dei dati personali è un altro aspetto critico. OpenAI deve adottare misure tecniche e organizzative adeguate per prevenire accessi non autorizzati, perdite accidentali o attacchi malevoli. Questo è particolarmente importante in un contesto in cui le tecnologie di IA possono essere bersagliate da cyberattacchi sofisticati.
Il trattamento dei dati personali deve rispettare i diritti degli interessati come previsto dal GDPR. Il consenso dell’interessato è una delle basi giuridiche più dirette, ma non sempre praticabile nel contesto di sistemi di intelligenza artificiale complessi. Pertanto, il legittimo interesse è spesso utilizzato come base, ma richiede una rigorosa valutazione degli interessi del titolare del trattamento rispetto ai diritti degli interessati.
La trasparenza gioca un ruolo fondamentale nel garantire che gli utenti siano consapevoli di come i loro dati vengono utilizzati. OpenAI deve fornire informative dettagliate e comprensibili, conformi agli articoli 13 e 14 del GDPR, che specificano i diritti degli interessati e le modalità di esercizio di tali diritti.

5. Principio di minimizzazione e sicurezza dei dati

Il principio di minimizzazione dei dati impone la raccolta e l’elaborazione solo dei dati strettamente necessari per gli scopi dichiarati. OpenAI deve fornire strumenti efficaci per consentire agli utenti di esercitare i loro diritti di accesso, rettifica e cancellazione dei dati, come stabilito dagli articoli 15-21 del GDPR. Una robusta interfaccia utente è necessaria per permettere agli individui di visualizzare quali dati sono stati raccolti e di richiederne la modifica o la rimozione, se necessario.
La sicurezza dei dati rappresenta un altro aspetto critico. OpenAI deve adottare misure tecniche e organizzative adeguate a proteggere i dati personali trattati, prevenendo accessi non autorizzati, perdite accidentali o attacchi malevoli. Il GDPR enfatizza la responsabilizzazione dei titolari del trattamento attraverso il principio di accountability, che implica che OpenAI debba dimostrare la conformità alle normative attraverso pratiche come le valutazioni d’impatto sulla protezione dei dati (DPIA).

6. Accuratezza dei dati e allucinazioni dell’AI

Garantire l’accuratezza dei dati è una sfida complessa per un sistema come ChatGPT, che si basa su enormi volumi di dati per l’addestramento. Le “allucinazioni” del modello, dove ChatGPT può generare informazioni imprecise o fuorvianti, sollevano importanti questioni di conformità con il principio di accuratezza. La probabilità che ChatGPT produca risposte non accurate può influenzare negativamente la fiducia degli utenti e violare i loro diritti fondamentali, in particolare se tali informazioni errate portano a decisioni significative o hanno un impatto rilevante sugli interessati.

7. Principio di equità

Il principio di equità impone che il trattamento dei dati non sia ingiustificatamente dannoso, discriminatorio o ingannevole per gli interessati. Questo principio richiede che OpenAI adotti misure per prevenire l’uso dei dati in modi che possano arrecare pregiudizio agli utenti. Ad esempio, è fondamentale garantire che il trattamento dei dati non porti a bias algoritmici che possano perpetuare discriminazioni o trattamenti iniqui.

8. Conclusione

Il rapporto della task force del Comitato Europeo per la Protezione dei Dati (EDPB) rappresenta un documento di estrema importanza per gli utilizzatori di ChatGPT. La chiarezza normativa fornita dal rapporto è fondamentale per garantire la conformità alle disposizioni del GDPR e per proteggere i diritti fondamentali degli utenti.
OpenAI deve garantire che le sue pratiche di trattamento dei dati siano trasparenti, legali e sicure, implementando meccanismi efficaci per consentire agli utenti di esercitare i loro diritti. La protezione dei dati personali è essenziale per mantenere la fiducia degli utenti e per promuovere un uso responsabile delle tecnologie di intelligenza artificiale. Infine, è cruciale che le normative evolvano continuamente per affrontare le nuove sfide poste dall’innovazione tecnologica, garantendo un equilibrio tra l’innovazione e la protezione dei diritti fondamentali.

Scrivi un commento

Accedi per poter inserire un commento