ChatGPT potrebbe tornare in Italia già a maggio: le richieste del Garante Privacy

L’incontro tra l’Autorità Garante per la protezione dei dati personali e OpenAI per discutere del blocco di ChatGPT in Italia è avvenuto, come era stato annunciato¹, lo scorso martedì 11 aprile 2023 in videoconferenza.

Come molti hanno fatto notare² e come faceva presagire un post pubblicato sul blog ufficiale già all’indomani del blocco in cui OpenAI raccontava di aver effettuato «test rigorosi»³ prima di rilasciare il proprio chatbot basato su intelligenza artificiale e reinforcement learning e di voler continuare a impegnarsi a «sviluppare […] politiche contro comportamenti che rappresentano un vero rischio per le persone», lo spirito è stato di piena collaborazione. Tanto che a OpenAI è stato concesso qualche giorno di tempo in più per presentare un documento programmatico di attività e misure da attuare per rendere i propri servizi pienamente conformi alla normativa in materia di privacy e tutela dei dati personali: se lo farà, ChatGPT potrà tornare in Italia a maggio 2023.

In una nota diffusa dal Garante Privacy dopo l’incontro con il board di OpenAI si legge, infatti, che una volta che verranno meno «le ragioni d’urgenza l’Autorità sospenderà il provvedimento di limitazione provvisoria del trattamento dei dati degli utenti italiani preso nei confronti della società statunitense»⁴ in seguito al quale l’ultima aveva optato per il blocco totale di ChatGPT in Italia.

L’ultimatum del Garante: OpenAI ha tempo fino a fine aprile per conformarsi alla normativa sulla privacy

La data limite entro cui OpenAI dovrà far fronte alle richieste del Garante è quella del prossimo 30 aprile 2023. Una data che, come qualche addetto ai lavori ha sottolineato⁵, darà tempo all’authority italiana anche di comprendere se e come decideranno di muoversi le sue omologhe europee e non solo.

Sebbene l’Italia sia stato il primo paese a limitare il trattamento dei dati personali dei cittadini da parte di OpenAI, infatti, l’ultima è accusata in Canada di raccolta, uso e diffusione di dati personali senza consenso. Anche in Giappone ci sarebbero procedimenti in corso contro OpenAI e i garanti di Germania, Francia e Irlanda starebbero studiando l’istruttoria aperta da quello italiano mentre valutano di intervenire a propria volta.

Invece, le richieste del Garante Privacy italiano sono strettamente ricollegate, invece, alle motivazioni con cui lo scorso 31 marzo aveva temporaneamente sospeso il trattamento dei dati personali degli utenti italiani da parte di OpenAI. ChatGPT potrà tornare in Italia a maggio, cioè, se nel frattempo si sarà dotata di un’informativa e adeguati strumenti per verificare l’età degli utenti, se avrà chiarito la base giuridica del trattamento dei dati al fine di allenare i propri algoritmi e se avrà previsto strumenti per chiedere la rettifica o la cancellazione dei dati inesatti.

A che condizioni ChatGPT potrà tornare in Italia a maggio 2023

Più nel dettaglio, come si continua a leggere nella nota diffusa dall’authority, ChatGPT dovrà dotarsi di un’apposita informativa con cui si dia notizia agli utenti in maniera «trasparente» su quali tipologie di dati vengono raccolti durante l’utilizzo del servizio, come e da chi vengono utilizzati e che diritti sono attribuiti a utenti e interessati rispetto al trattamento degli stessi.
L’informativa dovrà essere presentata all’utente prima che completi l’iscrizione al servizio e dovrà restare comunque sempre facilmente accessibile sul sito dello stesso: si tratta di principi che ricordano le linee guida sulle cookie policy rese disponibili non molto tempo fa dallo stesso Garante. Agli utenti italiani già registrati su ChatGPT prima del blocco l’informativa dovrà essere presentata al primo accesso dopo la riattivazione del servizio.

Contestualmente, quando gli utenti italiani già registrati prima dello stop temporaneo torneranno per la prima volta a usare ChatGPT, dovrà essere chiesto loro di confermare di essere maggiorenni. Ciò potrà avvenire anche tramite messaggio pop-up da spuntare, considerato che le indicazioni del Garante parlano semplicemente di «un age gate che escluda, sulla base dell’età dichiarata, gli utenti minorenni».

Con un sistema simile OpenAI dovrà chiedere conferma della maggiore età anche ai nuovi iscritti. Certo, non è detto che ciò basterà a scongiurare l’uso di ChatGPT da parte dei minori: le evidenze parlano, anzi, di un gran numero di under 14 che utilizzano le piattaforme digitali senza avere l’età minima per farlo, semplicemente mentendo sulla propria data di nascita o aggirando in altro modo le misure per la age verification implementate dalle big tech.

Anche OpenAI comunque dovrà sviluppare un proprio sistema di verifica dell’età degli utenti, al più tardi entro il 30 settembre 2023, dopo averlo presentato al Garante entro il 31 maggio. La vera novità su questo punto è la previsione del consenso dei genitori per gli utenti «infratredicenni e minorenni» che vorranno utilizzare ChatGPT.

Base giuridica del trattamento e trattamento inesatto dei dati sono i veri nodi spinosi per OpenAI

I due nodi centrali, dalla cui risoluzione dipende effettivamente se ChatGPT potrà tornare in Italia a maggio o meno, rimangono quelli della base giuridica del trattamento dei dati personali degli utenti al fine di addestrare gli algoritmi di AI generativa e dell’eventualità che si configuri un trattamento inesatto dei dati personali dei cittadini a prescindere che siano utenti del servizio o meno.

Il Garante ha sostenuto la necessità di far risalire la base giuridica del trattamento dei dati personali, non a un contratto tra OpenAI e gli utilizzatori di ChatGPT, ma al consenso fornito dagli ultimi alla società per il trattamento dei propri dati personali, da un lato, e al legittimo interesse da parte dell’ultima all’utilizzo di dati personali anche di non iscritti, dall’altro.

Per sua stessa natura, infatti, il sistema multimodale alla base del funzionamento di ChatGPT raccoglie e tratta una grande mole di informazioni anche riferite a individui che non sono iscritti e non utilizzano al servizio: per essere completamente conforme alle normative sulla privacy in vigore, OpenAI dovrà garantire a questi ultimi – gli «interessati non utenti», come li chiama il Garante usando un gergo tecnico – di poter esercitare in ogni momento il diritto di opposizione al trattamento dei dati personali.
Anche agli iscritti al servizio dovrà essere assicurato in ogni momento, oltre che la possibilità di rivedere le scelte effettuate all’iscrizione, il potere di verifica e accertamento che esista un interesse legittimo al trattamento dei dati personali.

Rispetto alla possibilità che rispondendo a prompt e richieste degli utenti si configuri un trattamento inesatto dei dati personali, e cioè, come sarebbe già successo, che ChatGPT generi contenuti diffamatori o lesivi dell’immagine della persona , il Garante ha previsto invece la necessità che sia in ogni momento possibile per tutti gli interessati, utenti e non utenti, richiedere a OpenAI la rettifica dei dati o, qualora questa non sia possibile, la cancellazione degli stessi.

OpenAI e il Garante Privacy italiano si sono impegnati a far conoscere, con una campagna ad hoc, come funzionano ChatGPT e le AI generative

L’ultima condizione alla quale ChatGPT potrà tornare in Italia a maggio è che, entro la metà dello stesso mese, OpenAI «di concerto col Garante […] una campagna di informazione su radio, televisione, giornali e web per informare le persone sull’uso dei loro dati personali ai fini dell’addestramento degli algoritmi».

Altrove, e forse anche per rispondere alle accuse secondo cui quello contro ChatGPT fosse un provvedimento “ad personam”, il Garante Privacy italiano aveva ribadito⁶ del resto come tutelare la privacy e i dati delle persone fosse un modo per incentivare il corretto sviluppo dell’AI e dell’innovazione tecnologica e non per «porre freno» a esso.