di Rocco Panetta e Vincenzo Tiani
Il Garante della privacy ha previsto la limitazione provvisoria dei dati personali degli interessati situati in Italia trattati da OpenAI con ChatGPT, con un provvedimento d’urgenza ex art. 58,2,f, del GDPR. Questo vuol dire che, se OpenAI adempirà, il servizio non sarà più disponibile in Italia.
Innanzitutto, dal punto di vista procedurale, OpenAI non sembrerebbe avere uno stabilimento in Europa, ma solo un Rappresentante in Irlanda. Benché possa sembrare una sottigliezza, questo fattore comporta che non sia, come per altri giganti tech, l’Irlanda il garante titolare di azioni nei confronti dell’azienda, ma qualsiasi Autorità può procedere in modo autonomo.
Analizzando invece le contestazioni del Garante, le motivazioni addotte sono molteplici, alcune comprensibili, altre che richiedono un ulteriore approfondimento.
Partendo da quelle del primo tipo, è nota l’attenzione che il Garante ha da anni per la tutela dei dati dei minori, che per loro natura, sono soggetti vulnerabili. In questo caso, ad esempio, la mancanza di un age gate può rendere più difficile valutare se si tratti di un utente minore o meno. Non stupisce dunque che una delle motivazioni cardine del provvedimento sembri essere proprio questa.
Per quanto riguarda l’assenza di privacy policy contestata, la privacy policy compare sul sito ma probabilmente il garante si riferisce al fatto che tali informazioni non sono condivise con l’interessato nel momento in cui vengono estratte dal web e altre fonti per allenare l’algoritmo. Si tratta di un limite difficile da superare al momento, ma è un caso diverso rispetto ai dati biometrici estratti da altre aziende per allenare il riconoscimento facciale, in quanto questi dati richiedono sempre il consenso.
Sulla scelta ritenuta inidonea delle basi giuridiche per il trattamento dei dati ai fini di addestramento degli algoritmi, è difficile poter dare una riposta netta. Come sanno gli addetti ai lavori, da un lato le basi giuridiche hanno tutte eguale importanza, dall’altra, a seconda dell’interpretazione del caso concreto, si può propendere più verso il consenso (facoltativo) verso il legittimo interesse (contestabile) o il contratto (necessario per poter usare il servizio). Difficile dunque poterlo anticipare ora.
Quella che resta più problematica da definire è la mancanza di accuratezza dei dati contestata, riscontrata quando ChatGPT “sbaglia” la risposta. Pur, infatti, esistendo un principio della accuratezza dei dati (art. 5,1,d GDPR) è pur vero che la norma dice anche che il titolare del trattamento deve fare il possibile per correggere i dati inaccurati. In un sistema come ChatGPT può essere complicato dal punto di vista tecnico, vista la natura imprevedibile degli algoritmi. Tale difficoltà dovrà dunque essere tenuta in considerazione.
Sicuramente abbiamo ancora molte cose da imparare per fare in modo che questi nuovi sistemi siano in grado di rispondere alle esigenze normative già esistenti. Immaginiamo sarà solo una questione di tempo.
…
L’articolo è comparso originariamente sul Sole 24 Ore.
