Tutte le colpe privacy di Chatgpt: ecco perché interviene il Garante

Secondo la normativa europea, l’informativa sulla privacy non è una semplice formalità, ma una condizione essenziale per garantire agli interessati la possibilità di comprendere chi utilizza i loro dati, per quali finalità e con quali modalità. La mancata trasparenza non solo impedisce alle persone di esercitare un controllo effettivo sulla propria identità digitale, ma compromette anche i diritti e le libertà fondamentali degli individui.

Anche gli utenti registrati a ChatGPT non sono stati esenti da criticità. Nonostante abbiano ricevuto un’informativa, questa è risultata lacunosa e poco accessibile. Spesso, infatti, tali informazioni sono nascoste in interfacce progettate per facilitare l’utilizzo del servizio, ma non per garantire un’esperienza realmente consapevole.

Violazione dei principi di privacy by design e by default

Un ulteriore problema emerso riguarda la mancata applicazione dei principi di privacy by design e by default, previsti dal Regolamento Generale sulla Protezione dei Dati (GDPR). La progettazione di ChatGPT non ha tenuto sufficientemente conto della necessità di proteggere i dati personali sin dalla fase di ideazione del servizio. Questa mancanza è particolarmente grave in un sistema che basa il proprio funzionamento sull’elaborazione di enormi quantità di dati personali.

Una progettazione rispettosa di questi principi avrebbe richiesto maggiore attenzione all’identità e alla dignità delle persone. La raccolta e il trattamento dei dati avrebbero dovuto essere limitati al minimo indispensabile, con misure tecniche e organizzative adeguate per garantire la sicurezza e la riservatezza.

Omessa identificazione di una base giuridica

Un altro aspetto critico riguarda l’assenza di una base giuridica chiara per il trattamento dei dati personali. OpenAI, al momento dell’avvio dell’istruttoria, non aveva identificato una base giuridica specifica per la raccolta e l’utilizzo dei dati personali, pratica iniziata già dal 2018 attraverso lo scraping massiccio di informazioni disponibili online.

Questa omissione è significativa: senza una base giuridica chiara, qualsiasi trattamento di dati personali risulta privo di legittimità. Successivamente all’avvio del procedimento, OpenAI ha individuato nel legittimo interesse la base giuridica per tali trattamenti. Tuttavia, la questione della legittimità di questa scelta è stata trasferita all’Autorità Garante irlandese, a seguito dello stabilimento di OpenAI in Europa.

Sanzioni e misure correttive

Le violazioni accertate hanno portato all’irrogazione di una sanzione pecuniaria di 15 milioni di euro. Sebbene questa cifra possa sembrare simbolica rispetto alle risorse di OpenAI, rappresenta comunque un segnale forte sull’importanza di rispettare i diritti alla protezione dei dati personali.

Tuttavia, la misura più significativa adottata dal Garante riguarda l’obbligo imposto a OpenAI di realizzare una campagna di comunicazione su scala nazionale. Questa campagna, della durata di sei mesi, ha l’obiettivo di sensibilizzare il pubblico sul funzionamento di ChatGPT, sulle implicazioni per la privacy e sui diritti esercitabili dagli interessati.

Che succede ora

Il caso ChatGPT è un punto di svolta nella gestione delle questioni legate alla privacy nell’ambito dell’intelligenza artificiale. Le violazioni accertate mettono in luce la necessità di un approccio più responsabile e trasparente da parte delle aziende che operano in questo settore.

Ma ora la palla è nelle mani dell’Europa. Dell’Autorità irlandese, in particolare, a cui è sottoposto il dossier di OpenAI per via della sua sede a Dublino. Dovrà verificare se le violazioni continuano e prendere eventuali provvedimenti, ordinando misure correttine.

Ma sembra chiaro che la questione vada affrontata in modo coordinato in Europa.

“L’Europa dovrà continuare a mostrarsi coerente e determinata nel garantire che i diritti fondamentali degli individui siano tutelati nel bilanciamento con la continua innovazione tecnologica”, spiega Guido Scorza, del garante privacy.

Siamo agli inizi ma comincia a prendere forma una voce comune dell’Ue. “Il Garante irlandese, competente su OpenAI, potrà tenere conto del recente parere Edpb su come trattare i modelli AI alla luce del Gdpr”, aggiunge.

“Il provvedimento del Garante privacy fa da apri fila”, spiega Oreste Pollicino, Professore Ordinario di Diritto Costituzionale e Diritto dei Media “e dimostra che anche singoli Paesi possono agire per difendere la privacy dei propri cittadini. Non solo i Paesi dove ha sede la società indagata, insomma, hanno voce in capitolo”. In altre parole, “forse OpenAI ha sottovalutato le questioni privacy sollevate”; in ogni caso il caso dimostra che “la disciplina europea dello one stop shop non è un modo per bypassare la tutela privacy Ue”, continua Pollicino.