Dopo l’incontro con i vertici di Open Ai il 5 aprile, il Garante privacy ha impartito ad OpenAI alcune importanti prescrizioni da attuare entro il 30 aprile, all’adozione delle quali, una volta comunicate al Garante, scatterà la sospensione del provvedimento di limitazione provvisoria dell’uso di ChatGPT adottato con deliberazione di urgenza dal Presidente della Autorità in data 30 marzo 2023.

Con queste prescrizioni il Garante privacy mostra di avere una visione molto ampia e aperta al futuro di cosa debba essere l’informativa nella Società digitale, superando ogni approccio formalistico e badando invece alla sostanza del problema, che è proprio quello di consentire a tutti la conoscenza della nuove tecnologie, di come operano e dei rischi che i loro dati corrono nella nuova società digitale.

Le prescrizioni imposte a OpenAI

In sostanza il nuovo provvedimento, reso noto il 12 aprile, detta una serie di prescrizioni ad Open AI il cui rispetto determinerà la sospensione del precedente provvedimento di limitazione di ChatGPT , consentendo così il suo utilizzo anche da parte di chi opera nel territorio italiano, fermo restando che l’istruttoria in corso su Chat bot GPT continua e avrà poi un esito fiale ai sensi di quanto previsto dal GDPR e dalla normativa italiana di protezione dati.

È particolarmente importante dar conto delle prescrizioni imposte ad Open AI per consentirne il provvisorio riutilizzo fino al termine della istruttoria in corso.

Sostanzialmente le prescrizioni mirano a far cessare il vulnus alla tutela dei dati personali che si era ravvisto nel provvedimento presidenziale di urgenza.

Si prescrive infatti di rendere noto agli interessati, che possono anche non essere utenti di ChatGPT come accade se i dati trattatati sono riferibili a persone identificate o identificabili pur non essendo essi utenti del chatbot, come i dati sono raccolti e trattati per l’addestramento dell’algoritmo usato dalla AI che supporta la Chat; quali sono le modalità di trattamento; quale è la logica alla base del trattamento; quali sono i diritti che fanno capo agli interessati; ogni altra informazione prevista dal Regolamento.

Tali informazioni che, come si presume dal tenore del provvedimento, possono essere date anche tramite apposite informative poste sul sito internet di ChatGPT devono essere formulate in modo da rispettare quanto richiesto dal GDPR in materia di informazioni agli interessati. Sul sito inoltre dovranno essere messi a disposizione degli interessati che si collegano dall’Italia anche gli strumenti idonei affinché essi possano esercitare il loro diritto di opposizione ai trattamenti dei loro dati ottenuti da tersi per finalità di addestramento della AI a supporto della Chat e a chiedere la correzione di eventuali dati personali degli interessati trattati in maniera inesatta dalla AI che genera contenuti ovvero, se questo non è possibile, la cancellazione dei dati stessi.

Dovrà inoltre essere inserito un link che consenta la lettura della informativa prima della registrazione dei dati.

Oltre a queste prescrizioni, tutte orientate a rimediare alla assenza di informativa sui trattamenti di dati che era una delle basi più importanti del provvedimento di urgenza, il nuovo provvedimento subordina la sospensione di quello presidenziale alla esplicita indicazione dell’interesse legittimo come unica base normativa conforme al GDPR che legittima questi trattamenti, evitando ogni riferimento, anche solo implicito, a ipotetici e inesistenti contratti relativi all’utilizzazione della Chat da parte degli interessati.

Si prescrive inoltre di mettere a disposizione sul sito Internet, almeno per gli utenti che si collegano dall’Italia, uno strumento facilmente accessibile per esercitare il diritto di opposizione al trattamento dei dati usati per l’addestramento degli algoritmi. Uno strumento da attivare, ovviamente, in rapporto al fatto che la base giuridica del trattamento è il già richiamato legittimo interesse.

Con queste prescrizioni il Garante intende spingere Open AI a porre rimedio all’altra grande motivazione del provvedimento presidenziale, relativa appunto alla mancanza della possibilità per gli interessati chiedere la rettifica dei propri dati trattati dall’algoritmo o di opporsi a tali trattamenti.

Infine, il provvedimento subordina la riattivazione di ChatGPT a un’ultima ma importante prescrizione finalizzata a superar l’altro vulnus al GDPR individuato dal provvedimento presidenziale: quello relativo alla assenza di ogni modalità di accertamento dell’età degli utenti che consentisse la protezione dei minori come voluta dal GDPR.

Il nodo dell’Age verification

Il provvedimento chiede infatti ad Open AI di subordinare la eventuale ripresa del servizio per utenti situati in territorio italiano al superamento da parte di questi di un “Age Gate” in grado di escludere gli utenti minorenni.

Inoltre si chiede che Open AI sottoponga al Garante entro il 31 maggio 2023 un piano per l’adozione di strumenti di Age certification “idoneo a escludere l’accesso ai servizi agli utenti infratredicenni e a quelli minorenni in assenza di una espressa volontà da parte di chi esercita la responsabilità genitoriale”.

Infine si prescrive ad Open AI di promuovere entro il 15 maggio 2023 “una campagna di informazione di natura non promozionale su tutti i mezzi di comunicazione di massa italiani (radio, televisione, giornali e Internet) i cui contenuti andranno concordati col Garante, allo scopo di informare le persone dell’avvenuta probabile raccolta di loro dati personali ai fini dell’addestramento degli algoritmi, della pubblicazione sul sito della società di un’apposita informativa di dettaglio e della messa a disposizione, sempre sul sito Intenet della società, di uno strumento attraverso il quale tutti gli interessati possono chiedere e ottenere la cancellazione dei propri dati personali”.

Una nuova sensibilità

È evidente dunque che il Garante, con una sensibilità nuova e molto apprezzabile, mette al centro della sua attenzione la informativa agli interessati e la possibilità concreta di opporsi ai trattamenti dei dati per puro addestramento degli algoritmi.

Da questo punto di vista il nuovo provvedimento conferma e ribadisce il dato innovativo rappresentato dal precedente provvedimento presidenziale: abbiamo, per fortuna, un Garante molto al passo coi tempi e capace di andare ben oltre una applicazione formalistica e burocratica del GDPR per battere nuove strade, più adeguate ai tempi nuovi nei quali deve operare.

È evidente, infatti, che nella società digitale la conoscenza di come vengono trattati i dati per allenare la IA riguarda tutti i cittadini e tutta la società nel suo complesso, non solo coloro che sono direttamente interessati a tali dati. Allo stesso tempo è evidente che anche gli strumenti coercitivi e repressivi previsti dal GDPR vanno applicati non solo per tutela gli interessati, come è doveroso, ma per tutelare tutta la società. Ottima, dunque, a scelta di prevedere anche campagne di informazione sotto il controllo del Garante, che abbiano come scopo e fine non solo la informativa agli interessati ma anche, e soprattutto, la diffusione della conoscenza tra tutti coloro che vivono nella società digitale.

Il provvedimento inoltre fa giustizia dell’errore commesso dai tanti commentatori che hanno letto il precedente provvedimento presidenziale di urgenza come indice di un atteggiamento del Garante finalizzato a tutelare gli interessati anche a rischio di frenare e mettere in pericolo la innovazione digitale e, in particolare, lo sviluppo della Intelligenza Artificiale.

Questo provvedimento, adottato dopo una immediata e fattiva interlocuzione con Open AI, dimostra caso mai il contrario. Dice infatti che il Garante italiano ha subito colto la disponibilità di Open AI per consentire rapidamente all’Italia di tornare ad avvalersi anche della ChatGPT guidata dalla AI.

Non solo: ha colto anche l’occasione per avviare una positiva e importantissima attività di collaborazione con i fornitori di servizi basati sulle nuove tecnologie. Una collaborazione finalizzata non a frenare l’innovazione ma ad aiutare la società italiana a entrare con sempre nuove e più strutturate conoscenze nel mondo digitale, tutelando così la sostanza vera della protezione dei dati, che è appunto la conoscenza di come e per quali fini i dati sono trattati, compresa la tutela dei minori.

Un plauso dunque al Garante sperando che i fatti dimostrino eguale sensibilità e capacità operativa da parte di Open AI.

Nei prossimi mesi sapremo se la vicenda di ChatGPT sarà stata, come sembra, una grande occasione per accelerare la conoscenza della società digitale da parte dei nostri concittadini e del nostro Paese o se invece dovremo prendere atto che non basta solo il Garante a fare quel balzo in avanti che tocca a tutto il sistema digitale complesso del Paese far fare.

In ogni caso ChatGPT è stata e resta una grande occasione di confronto tra la tutela dei dati e l’innovazione tecnologica che il Garante italiano ha saputo cogliere e sviluppare.

Non a caso, del resto, le Autorità di protezione dati degli altri grandi Paesi UE stanno seguendo la stessa strada; il che fa sperare che quanto prima lo EDPB, ormai ampiamente informato dal Garante italiano delle iniziative assunte, possa intervenire, dettando una linea uniforme per tutto lo spazio digitale europeo.

