Nuovi guai per ChatGpt in Europa: già additato, in passato, per violazioni di privacy e scarsa trasparenza, ora il programma di intelligenza artificiale generativa di OpenAI viene accusato di diffondere informazioni false sulle persone, attraverso “allucinazioni” che non possono essere rettificate. Questo e altri fatti determinao alcune violazioni del Gdpr, il regolamento europeo sulla protezione dei dati personali. L’accusa proviene dal Nyob (acronimo di None Of Your Business), organizzazione no-profit anche definita come European Centre for Digital Rights, che supporta con class action e iniziative mediatiche i cittadini lesi nei propri diritti di privacy.
Domiciliata a Vienna, l’organizzazione è stata cofodata nel 2017 dall’avvocato e attivista Max Schrems, lo stesso che ha contribuito (con le azioni legali e le sentenze della Corte di giustizia dell'Unione europea a lui titolate) a far luce sulle pratiche di trattamento dei dati personali seguite da Facebook, nonché alla modifica delle regole sul trasferimento dati tra Stati Uniti ed Europa, in precedenza definite dal Safe Harbor e dal Privacy Shield.
Il Nyob ha denunciato l’azienda di Sam Altman perché, come titola il comunicato stampa diffuso dall’ente watchdog, “ChatGpt fornisce informazioni false sulle persone, e OpenAI non può correggerle”. La stessa startup californiana, diventata in pochi anni (e grazie al forte sostegno di Microsoft) una tra la società tecnologiche più ricche e popolari al mondo, non può intervenire perché “non è in grado di dire da dove provengano i dati o quali dati ChatGPT memorizzi sulle singole persone”, scrive il Nyob. “L'azienda è ben consapevole di questo problema, ma non sembra preoccuparsene. Al contrario, OpenAI sostiene semplicemente che ‘l'accuratezza fattuale nei modelli linguistici di grandi dimensioni rimane un'area di ricerca attiva’”.
Come noto, l’AI generativa è una forma evoluta di machine learning e in quanto tale, pur mimando l’intelligenza umana, fornisce risposte su base probabilistica. L’enorme quantità di dati “ingeriti” e i miliardi di parametri usati per l’addestramento degli algoritmi aiutano ad ampliare la base di conoscenza dei programmi ma non garantiscono totale accuratezza. A questo, semmai, contribuisce il fine tuning, che è però un'attività ulteriore e finalizzata a casi d'uso più specifici rispetto a quelli di un large language model generatlista, come ChatGpt o Gemini.
Curiosamente, il Nyob accetta che l’AI possa essere usata dagli studenti per velocizzare la scrittura di un compito, ma non transige sulle violazioni delle leggi europee in materia di dati personali. Dal 1995 la legislazione Ue richiede che essi siano accurati, come poi formalizzato dall’articolo 5 del Gdpr. Altri due passaggi della General Data Protection Regulation evidenziano le pecche di ChatGpt, ovvero gli articoli 15 e 16. Il primo prevede che un’azienda sappia dimostrare quali dati personali conservi e quali siano le sue fonti, cosa che OpenAI non può fare. L’articolo 16, invece, riconosce ai cittadini il diritto di rettifica sui dati inesatti.
(Grafica creata da Nyob)
"Inventare informazioni false è di per sé abbastanza problematico”, ha dichiarato Maartje de Graaf, avvocato specializzato in protezione dei dati del Nyob. “Ma quando si tratta di informazioni false sulle persone, le conseguenze possono essere gravi. È chiaro che le aziende non sono attualmente in grado di rendere i chatbot come ChatGpt conformi alla legge dell'Ue, quando trattano dati relativi a persone fisiche. Se un sistema non è in grado di produrre risultati accurati e trasparenti, non può essere utilizzato per generare dati sulle persone. La tecnologia deve seguire i requisiti legali, non il contrario"
Nel suo comunicato stampa, l’associazione cita un dato di un report del New York Times, secondo cui “i chatbot inventano informazioni almeno il 3% delle volte, con punte del 27%”. Inoltre spiega che il denunciante nella causa avviata contro OpenAI è un personaggio pubblico, su cui ChatGpt fornisce un’informazione scorretta (nello specifico, la data di nascita) anziché dichiarare di non avere dati a disposizione per rispondere. Il denunciante ha quindi chiesto a OpenAI di rettificare o cancellare i dati da cui si origina la risposta errata: l’azienda, però, sostiene di non poterlo fare. Può, cioè, solo filtrare o bloccare i dati su alcuni prompt (in questo caso, il nome del denunciante) ma non può cancellare i dati usati all'origine per addestrare l’algoritmo, né invertire gli effetti del training come se cancellasse un ricordo dalla memoria.
OpenAI, inoltre, si è rifiutata di svelare informazioni su sui dati trattati, sulle loro fonti o sui destinatari: il Gdpr prevede, invece, che gli utenti possano chiedere alle aziende una copia dei dati personali che li riguardano, usati dalle aziende stesse. "L'obbligo di soddisfare le richieste di accesso si applica a tutte le aziende”, ha sottolineato de Graaf. “È chiaramente possibile tenere un registro dei dati di formazione che sono stati utilizzati, almeno per avere un'idea delle fonti di informazione. Sembra che a ogni 'innovazione’, un altro gruppo di aziende pensi che i suoi prodotti non debbano rispettare la legge".
Il Nyob chiede ora all’autorità austriaca per la protezione dei dati, il Dsb, di indagare sul trattamento dei dati da parte di OpenAI e sulle misure adottate per garantire l'accuratezza dei dati personali trattati dai suoi large language model. Inoltre chiede di obbligare OpenAI a soddisfare la richiesta del denunciante di poter accedere ai dati che lo riguardano. Terzo punto, viene chiesto al Dsb di multare OpenAI “garantire la futura conformità”. Il Nyob si aspetta che il caso “venga trattato attraverso la cooperazione dell'Ue”.
A OpenAI è già accaduto di dover introdurre delle modifiche nei propri servizi in seguito a richieste di enti watchdog, e nella fattispecie il garante della privacy italiano, che l’anno scorso aveva inizialmente messo il veto sull’uso di ChatGpt con una "limitazione provvisoria". Ne erano seguite alcune richieste di modifica del funzionamento dell’applicazione, in particolare sulla trasparenza dei termini di servizio, sulla tutela dei minori (con un meccanismo di age gate all’accesso), sulla rettifica e cancellazione dei dati personali inesatti. OpenAI si era attivata sui primi due punti, spingendo il garante a revocare la limitazione provvisoria a ChatGpt.
Se è indubbio che le applicazioni basate su large language model comportino rischi di privacy e disinformazione, involontari o legati a possibili abusi, d’altro canto è vero anche che per anni un simile dibattito ha riguardato i social network, diventati ormai parte integrante della quotidianità personale e professionale di centinaia di milioni di persone. Sui media, nelle istituzioni, in tribunale, ora questo dibattito si è spostato sull’intelligenza artificiale generativa, una tecnologia potente ma ancora imperfetta. Lo è per ammissione, tra l’altro, dello stesso Sam Altman: l’amministratore delegato di OpenAI ha dichiarato più volte che l’AI dev’essere maneggiata con cura e regolamentata a livello internazionale, attraverso la cooperazione tra le aziende sviluppatrici e le istituzioni politiche.