Autorità Garante per la Protezione dei Dati Personali – Provv.to n. 112 del 30.03.2023
L’Autorità Garante per la Protezione dei Dati Personali ha bloccato, con il Provvedimento n. 112 del 30.03.2023, l’utilizzo di ChatGPT, il potente software di intelligenza artificiale sviluppato da OpenAI, e in grado di riprodurre fedelmente e in formato digitale conversazioni e rappresentazioni della realtà, forte dell’infinita mole di dati già posseduti oltre che di quelli continuamente immagazzinati.
Gran parte delle informazioni incrociate dagli algoritmi di questo poderoso software costituiscono però dei dati personali ai sensi della normativa privacy europea e italiana, violata, secondo il comunicato del Garante Privacy, lo scorso 20 marzo a causa di un Data Breach che aveva comportato la perdita di dati personali quali conversazioni degli utenti e informazioni relative a pagamenti e abbonamenti vari.
L’indagine dell’Authority ha fatto emergere diverse criticità, tra cui l’assenza di informativa, non fornita né agli utenti né ai soggetti i cui dati vengono trattati (i c.d. “soggetti interessati”), la carenza di una idonea base giuridica che giustifichi la liceità dei trattamenti, e soprattutto l’inesattezza dei trattamenti effettuati, i cui risultati raramente corrispondono poi alla realtà, qualità che se da un lato rappresenta certamente un rischio a più livelli, dall’altro costituisce un importante elemento di innovazione e pertanto di successo per lo strumento in questione.
Ulteriori profili di illiceità riguardano poi lo specifico ambito relativo ai minori, soggetti maggiormente vulnerabili, rispetto ai quali è emersa la mancanza di qualsivoglia verifica dell’età, nonostante le stesse condizioni di accesso al servizio di ChatGPT siano formalmente riservate ai maggiori di tredici anni.
Accertata la violazione di diverse disposizioni del GDPR (artt. 5, 6, 8, 13 e 25 del Reg. UE n. 2016/679), la reazione del Garante Privacy si è quindi tradotta in un provvedimento d’urgenza di limitazione provvisoria dei trattamenti dei dati personali degli utenti stabiliti nel territorio italiano, che non potranno effettuarsi fino a nuova autorizzazione del Garante stesso, il quale al contempo ha diffidato OpenAI LLC, società USA gestrice di ChatGPT e titolare perciò dei relativi trattamenti, a comunicare entro 20 giorni le iniziative intraprese per porre rimedio alle violazioni riscontrate.
Tale inibizione ha naturalmente catturato l’attenzione dell’opinione pubblica, complici da un lato l’allarme di recente lanciato da diversi esponenti del mondo del Big Tech, inclusi professori universitari e altri esperti del settore, e dall’altro il fatto che un simile provvedimento rappresenti ad oggi un unicum nel panorama internazionale.
Certamente i timori rispetto all’innovazione, da sempre esistiti ed oggi in particolare rispetto all’incontrollato sviluppo digitale e tecnologico, sono condivisibili, ma altrettanto pare debba dirsi nei confronti di chi sostiene che, comunque, ChatGPT, in quanto manifestazione concreta del concetto stesso di “progresso”, non possa essere bloccato, pena il rischio di aumentare il divario che separa l’Italia dalle potenze mondiali digitali.
Si tratterà, in sostanza e ancora una volta, di trovare un compromesso tra due diverse e altrettanto legittime istanze, tramite una delicatissima opera di bilanciamento degli interessi in gioco che, per di più, dovrà cercare un importante complice in una densa attività di sensibilizzazione culturale.