ChatGPT, le richieste del Garante della privacy

Il caso ChatGPT in Italia non si è ancora chiuso. Ma il dialogo avviato tra il Garante della privacy e OpenAI, la società sviluppatrice del chatbot, sembra procedere nella giusta direzione. All’inizio del mese di aprile l’autorità Garante per la Protezione dei Dati Personali (Gpdp) aveva criticato l’applicazione per la mancata trasparenza sulla raccolta e sull’uso dei dati, nonché per le scarse misure di tutela dei minori, e aveva dunque disposto una “limitazione provvisoria” al funzionamento di ChatGPT in Italia, in attesa di ulteriori approfondimenti.

OpenAI aveva reagito senza mezze misure, interrompendo l’erogazione del servizio nel nostro Paese. Le due parti si erano poi incontrate, con la mobilitazione diretta del Ceo dell’azienda californiana e dei suoi rappresentanti legali, e OpenAI aveva dichiarato la piena collaborazione. Oggi – qui la novità – il Gpdp ha fatto sapere di aver dato tempo alla società fino al 30 aprile per mettersi in regola, cioè per “adempiere alle prescrizioni imposte dal Garante per la protezione dei dati personali riguardo a informativa, diritti degli interessati, utenti e non utenti, base giuridica del trattamento dei dati personali per l’addestramento degli algoritmi con i dati degli utenti”.

“Solo allora”, prosegue la nota del Gpdp, “venendo meno le ragioni di urgenza, l’Autorità sospenderà il provvedimento di limitazione provvisoria del trattamento dei dati degli utenti italiani preso nei confronti della società statunitense e ChatGPT potrà tornare accessibile dall’Italia”.

Ma quali sono le misure concrete richieste? Innanzitutto, OpenAI dovrà predisporre e rendere disponibile sul proprio sito un’informativa trasparente, che illustri la modalità e la logica alla base del trattamento dei dati necessari al funzionamento di ChatGPT, nonché “i diritti attribuiti agli utenti e agli interessati non utenti”, cioè alle persone i cui dati sono stati usati per il training dell’algoritmo su cui è costruito il chatbot. L’informativa dovrà essere facilmente accessibile e visibile al colpo d’occhio, così da essere letta prima dell’eventuale registrazione al servizio. L’informativa, inoltre, dovrà essere nuovamente mostrata agli utenti già registrati “al momento del primo accesso successivo alla riattivazione del servizio”.

Per quanto riguarda la tutela dei minori, il form di registrazione deve includere una voce in cui si dichiara la maggiore età. Inoltre, sempre in occasione dell’accesso successivo alla registrazione, nuovamente ci dovrà essere un meccanismo di filtro (age gate) che discrimina i maggiorenni dai minorenni. Queste sono le misure da applicare entro il 30 di aprile, in via temporanea, prima di definire un metodo sicuro per escludere dall’applicazione i minori di 13 anni (la soglia d’ingresso prevista per ChatGPT). Il Garante si aspetta di ricevere entro il 31 maggio un “piano di azione” e di veder adottato entro il 30 settembre un sistema di verifica dell’età che escluda in tutti i casi e più giovani di 13 anni e anche i minori di 18 anni cui manchi il consenso dei genitori.

Per quanto riguarda la legalità del trattamento dei dati, cioè la base giuridica del trattamento dei dati personali degli utenti per l’addestramento degli algoritmi, il Garante della privacy ha chiesto a OpenAI di eliminare ogni riferimento all’esecuzione di un contratto e di indicare, invece, il consenso o il legittimo interesse quale presupposto per utilizzare tali dati in base al principio di accountability (per il quale l’azienda si dichiara “responsabile” del trattamento dei dati).

Non è tutto. Il Garante pretende anche che vengano messi a disposizione degli strumenti con cui gli interessanti (utenti o non utenti dell’applicazione) possano chiedere la rettifica dei dati personali che li riguardano, se generati in modo inesatto dal chatbot, o addirittura chiedere la cancellazione se la rettifica non è tecnicamente possibile. OpenAI dovrà anche permettere agli interessati non utenti di “esercitare, in modo semplice e accessibile, il diritto di opposizione rispetto al trattamento dei loro dati personali” impiegati per allenare gli algoritmi. Anche gli utenti dovranno poter esercitare lo stesso diritto nel caso OpenAI individui il legittimo interesse come base giuridica del trattamento.

Infine, OpenAI dovrà promuovere entro il 15 maggio una campagna di informazione su radio, televisione, giornali e Web per chiarire il modo in cui i dati personali vengono usati per l’addestramento degli algoritmi. Nel frattempo l’istruttoria del Garante resta formalmente ancora in corso.