03/04/2023 di Redazione

Garante per la Privacy contro ChatGPT, opinioni discordanti

Il Gpdp ha temporanemante vietato a OpenAI la raccolta e il trattamento di dati di utenti italiani. Le preoccupazioni sono fondate?

immagine.jpg

Tra i nemici di ChatGPT c’è anche il Garante per la Privacy. Il Gpdp, l’autorità italiana Garante per la Protezione dei Dati Personali, ha vietato a OpenAI, la società sviluppatrice di GPT-3 e GPT-4 (modelli di intelligenza artificiale generativa su cui si basa il chatbot), il trattamento dei dati degli utenti italiani. Più precisamente, il Garante ha disposto, con effetto immediato, la “limitazione provvisoria” del trattamento dei dati e contestualmente ha aperto un’istruttoria per approfondire la questione. Dunque la messa al bando non è definitiva, al momento.

 

Non è la prima volta che ChatGPT suscita reazioni avverse, preoccupazioni e critiche. La scorsa settimana una petizione partita dagli Stati Uniti e sottoscritta da migliaia di firmatari (tra cui Elon Musk) ha chiesto l’interruzione delle attività di ricerca e sviluppo di tecnologie più evolute di GPT-4, considerate pericolose per gli equilibri della società e per i diritti umani. Le critiche dell’autorità watchdog italiana riguardano in modo più specifico la privacy e la trasparenza sull’uso dei dati. 

 

Il Gpdp ha verificato che OpenAI per lo sviluppo del suo software ha raccolto e utilizzato dati personali senza informare i diretti interessati né gli utilizzatori. La raccolta e il trattamento dei dati per l’addestramento degli algoritmi alla base di ChatGPT sono illegali (il Garante parla di “assenza di idonea base giuridica”). A ciò si aggiunge il fatto che il trattamento dei dati personali “risulta inesatto in quanto le informazioni fornite da ChatGPT non sempre corrispondono al dato reale”. E c’è, infine, come per TikTok anche per ChatGPT un problema di mancata tutela dei bambini per l’assenza di qualsiasi verifica dell’età degli utenti che accedono al servizio (teoricamente vietato a chi abbia meno di 13 anni). 

 

L’interesse del Gpdp è sorto in seguito al data breach dello scorso 20 marzo, che aveva causato l’esposizione di conversazioni tra gli utenti e dati relativi ai sistemi di pagamento degli abbonati. OpenAI aveva comunicato l’accaduto attribuendo la causa a un “bug in una libreria open-source, che ha permesso ad alcuni utenti di vedere titoli dalla cronologia di chat di un altro utente attivo”. L’azienda ha sottolineato che la potenziale violazione di privacy ha riguardato un numero molto limitato di utenti (per i dati di pagamento, nello specifico, l’1,2% degli abbonati attivi in una finestra di tempo di nove ore).

 

Punti di vista su ChatGPT
Massimiliano Masnada, partner dello studio legale Hogan Lovells, ha sottolineato che il provvedimento del Gpdp pone numerose riflessioni, al di là delle misure specifiche che saranno intraprese da OpenAI per superare il blocco del Garante, sul futuro dei meccanismi di AI e su quanto è necessario fare per creare una cultura di legalità rispetto al loro utilizzo. Non bastano, ad opinione di chi scrive, i pur necessari meccanismi di privacy by design e privacy by default, ovvero i controlli e i rimedi per tutelare la privacy degli interessati, specie se minori. Occorre creare una nuova cultura tecnologica che si fondi sull’etica e sul rispetto dei diritti fondamentali”.

“Occorre, a mio parere, abbracciare il progresso pur mantenendo lo spirito critico necessario per evitare usi distorti e dannosi”, ha proseguito Masnada. “In tal senso, credo sia importante diffondere informazioni in modo quanto più neutro possibile, raccogliere preoccupazioni e opinioni, porre i problemi per cercare le soluzioni. Tutto ciò non può prescindere da un dati incontrovertibile. I dati, a prescindere che siano personali o meno, sono il carburante necessario per lo sviluppo di meccanismi di AI come ChatGPT. L’accesso ai dati consente di avere algoritmi più precisi ed idonei all’utilizzo per migliorare la vita delle persone. Il loro deve avvenire in modo sicuro ed etico. Per fare ciò non bastano i divieti. Un primo passo, in tale senso, sarà la corretta implementazione delle regole sul riuso dei dati che sono alla base del Data Governace Act, di prossima entrata in vigore, e del successivo Data Act. La giostra è appena partita”. 

 

(Immagine di upklyak su Freepik)

 

Gli avvocati Giulio Coraggio e Tommaso Ricci dello studio legale Dla Piper hanno espresso scetticismo: “L'esatta portata della contestazione non è ancora chiara a causa della mancanza di dettagli nella decisione. Tuttavia, l'urgenza del provvedimento, a nostro avviso, appare ingiustificata. La posizione del Garante sembra riflettere un pregiudizio verso i sistemi di intelligenza artificiale generativa, in linea purtroppo con l'attuale posizione della Commissione europea nella stesura dell'AI Act”. 

 

“In effetti”, hanno proseguito Coraggio e Ricci, “è chiaro che ci sono margini di difesa piuttosto ampi per alcune delle condotte contestate rispetto a ChatGPT, ad esempio, i dati generati dall'AI non corrispondono a dati di personali reali. È importante trovare un equilibrio tra l'adozione di tecnologie di AI e la salvaguardia della privacy e della sicurezza degli utenti, ma ci riferiamo a tecnologie in rapida evoluzione che attualmente non generano rischi elevati per i dati delle persone”. A detta di DLA Piper, non è affatto scontato che altre autorità garanti della privacy seguano l’esempio.

 

Anche un vendor di sicurezza informatica come Kaspersky ha voluto dire la sua, evidenziando una questione tecnica sottostante. “OpenAI è trasparente in merito alle proprie procedure in materia di dati”, ha commentato Vladislav Tushkanov, lead data scientist di Kaspersky. “I dati che sono inseriti nelle loro API commerciali vengono memorizzati solo temporaneamente per monitorare potenziali abusi, con l’opzione di opt-out. Tuttavia, questo non è applicabile ai servizi non API. L’interfaccia di ChatGPT informa gli utenti che i dati immessi possono essere condivisi con terze parti e controllati da analisti umani per migliorare la qualità del servizio”. 

 

“Pertanto”, ha proseguito l’esperto di cybersicurezza, “OpenAI consiglia agli utenti di non condividere informazioni personali e private proprie o altrui durante la conversazione con un chatbot. Tuttavia, è stato osservato che gli utenti tendono a essere aperti e sinceri nella comunicazione con gli assistenti di conversazione artificiali. Per questo motivo, è essenziale ricordare che è preferibile trattare qualsiasi chatbot, indipendentemente dalla durata del suo utilizzo, come un estraneo incontrato su Internet e utilizzarlo in base al proprio approccio personale alla privacy”. 

 

Recentemente altri vendor di sicurezza informatica hanno studiato il fenomeno ChatGPT, evidenziandone sia il potenziale uso al servizio della cybercriminalità sia i suoi utilizzi contrari, al servizio del bene.

 

Aggiornamento: 

Nella giornata di lunedì 3 aprile, il Garante per la protezione dei dati tedesco ha fatto sapere attraverso il quotidiano Handelsblatt di aver chiesto informazioni al suo omologo italiano in merito all’inchiesta su OpenAI. Ulrich Kelber, presidente dell’autorità garante, ha commentato il divieto ammettendo che “in principio, un’azione analoga è possibile anche in Germania” ma che tale decisione spetterebbe eventualmente allo Stato.

scopri altri contenuti su

ARTICOLI CORRELATI