L’autorità garante della privacy ha inviato un formale avviso a OpenAI, l’azienda dietro ChatGPT, accusandola di non rispettare le leggi sulla protezione dei dati personali. Questo avviso segnala che la piattaforma potrebbe avere gestito in modo inappropriato i dati degli utenti.
L’atto di contestazione è stato notificato a OpenAI dal Garante per il trattamento dei dati personali.
Questa mossa potrebbe avere ripercussioni significative non solo per OpenAI, ma anche per le numerose aziende e istituzioni che fanno uso di ChatGPT .
La precedente puntata
A marzo 2023, il Garante per la protezione dei dati personali aveva preso provvedimenti preventivi contro OpenAI, l’entità responsabile di ChatGPT, segnalando alcune non conformità nel modo in cui l’azienda trattava i dati degli utenti.
Nonostante ciò, alcune di queste irregolarità persistono.
Di conseguenza, l’Autorità ha recentemente emesso un atto di contestazione a OpenAI per il mancato rispetto della normativa sulla protezione dei dati personali.”
Questo intervento era stato deciso per limitare temporaneamente il trattamento dei dati degli utenti dalla piattaforma, come sottolineato in precedenti comunicazioni dell’autorità (si veda l’articolo ‘Chat-GPT e il Garante della Privacy’).
Tale provvedimento era stato un chiaro segnale dell’importanza che il Garante attribuisce alla tutela dei dati personali e alla conformità delle aziende alle normative vigenti in materia.
Dopo il provvedimento del Garante per la protezione dei dati personali, OpenAI aveva temporaneamente sospeso l’accesso a ChatGPT per gli utenti italiani, esprimendo l’intenzione di collaborare con l’autorità per risolvere le problematiche evidenziate.
Il trucco di Chat GPT
Nonostante l’impegno del Garante a proseguire nelle indagini, ChatGPT è tornato disponibile in Italia dopo circa un mese grazie a una soluzione ingegnosa adottata da OpenAI.
Invece di rimuovere le informazioni personali direttamente dal modello di apprendimento di ChatGPT, l’azienda ha implementato un filtro nell’output del chatbot.
Questo filtro è progettato per intercettare e bloccare le risposte che contengono informazioni personali degli utenti che ne hanno richiesto la rimozione, prevenendo così la loro visualizzazione.
In pratica il trucco utilizzato sembra essere un filtro che intercetta le risposte contenenti informazioni personali delle persone che hanno richiesto la loro rimozione.
Questo filtro impedisce la visualizzazione di tali informazioni all’utente, ma le informazioni personali non vengono rimosse dal modello in sé.
Questo significa che l’elaborazione dei dati personali continua ad avvenire, e questo solleva questioni sulla liceità dell’acquisizione dei dati di addestramento.
Il processo per richiedere la rimozione di informazioni personali da ChatGPT è descritto come complesso e richiede un’identificazione adeguata, rendendo difficile l’opposizione preventiva al trattamento. Questo è stato fatto probabilmente per limitare il numero di richieste.
l’oggetto della contestazione
Dopo un’attenta indagine, l’Autorità garante per la protezione dei dati personali ha concluso che ci potrebbero essere state una o più violazioni delle norme europee sulla gestione dei dati da parte di OpenAI.
Questi elementi raccolti suggeriscono che l’azienda potrebbe non aver agito in piena conformità con il Regolamento UE relativo alla protezione dei dati personali.”
In questo momento, non abbiamo dettagli precisi, ma sembra che ci siano alcune preoccupazioni riguardo a come ChatGPT gestisce i dati personali degli utenti.
Le preoccupazioni principali sembrano essere tre:
Sembra che gli utenti non siano stati adeguatamente informati sull’uso dei loro dati da parte di OpenAI. Prima che il Garante italiano intervenisse, non veniva fornita nessuna informativa agli utenti. L’informativa attuale, inoltre, non sembra essere in linea con i requisiti del GDPR.
Persiste un’incertezza riguardo alla legittimità con cui vengono trattati i dati da OpenAI: non è ancora stata definita una base giuridica adeguata per la raccolta e l’utilizzo dei dati personali impiegati nell’allenamento degli algoritmi che permettono a ChatGPT di operare.
c’è una certa mancanza di trasparenza su come funziona esattamente l’algoritmo di ChatGPT.
Riformulando il contenuto e integrando le informazioni trovate online, ecco una versione aggiornata del testo:
OpenAI non ha ancora implementato un sistema efficace per la verifica dell’età degli utenti di ChatGPT, che secondo i termini di servizio è destinato a utenti che abbiano almeno 13 anni.
Fino ad ora, è stato sufficiente una semplice conferma con un click per autocertificare la maggiore età.
OpenAI aveva l’obbligo di introdurre un sistema di verifica dell’età entro il 30 settembre 2023, e sebbene non ci siano dettagli specifici sulle funzionalità precise di tale sistema, è chiaro che la società sta facendo passi verso il rispetto dei requisiti legali.
Le informazioni specifiche su come OpenAI gestisce la verifica dell’età non sono state trovate nei rilasci ufficiali o nelle note di aggiornamento, indicando che potrebbe essere un’area in cui OpenAI deve ancora fornire aggiornamenti pubblici completi.
Non abbiamo accesso ai documenti ufficiali che hanno scatenato queste indagini, ma possiamo immaginare quali potrebbero essere le problematiche emerse.
Ora, per legge, è necessario che gli utenti diano un consenso chiaro e diretto per l’uso dei loro dati.
Un altro aspetto importante da considerare è l’accuratezza delle informazioni: inizialmente, ChatGPT ha fornito notizie false e diffamatorie che coinvolgevano persone le cui informazioni erano disponibili online.
È importante riconoscere che OpenAI sembra aver affrontato e risolto in maniera collaborativa le questioni legate alla base giuridica e alla trasparenza informativa. Tuttavia, le altre presunte violazioni potrebbero essere considerate più gravi e avere conseguenze più significative.
la task force dell’EDPB
Nel determinare il corso dell’azione legale, il Garante per la protezione dei dati personali considererà le attività della task force speciale creata dall’European Data Protection Board (EDPB), l’organo che coordina le autorità per la protezione dei dati di tutti i paesi dell’Unione Europea.
L’Organizzazione europea dei consumatori (BEUC)
ha sollevato un campanello d’allarme riguardo a ChatGPT e ad altri chatbot simili, chiedendo alle autorità nazionali e dell’UE di avviare indagini approfondite.
“n un reclamo alla Federal Trade Commission, il Center for AI and Digital Policy ha sollevato questioni critiche sull’impatto di GPT-4 sulla protezione dei consumatori, sulla protezione dei dati e sulla privacy e sulla sicurezza pubblica.
Le autorità europee e nazionali in questi campi dovrebbero avviare immediatamente un’indagine sui rischi di ChatGPT e chatbot simili per i consumatori europei. Questi sistemi di intelligenza artificiale necessitano di un maggiore controllo pubblico e le autorità pubbliche devono riaffermare il controllo su di essi”
Come riportato dal sito ufficiale del BEUC, l’organizzazione teme che l’uso non regolamentato di tali tecnologie possa esporre i consumatori a rischi non ancora completamente compresi o gestiti.
L’Organizzazione Europea dei Consumatori (BEUC) ha sollecitato le autorità dell’UE e nazionali a lanciare un’indagine su ChatGPT e chatbot simili basati sull’intelligenza artificiale generativa.
Il BEUC ha espresso preoccupazioni riguardo il fatto che la tecnologia sia attualmente non regolamentata, il che mette i consumatori non preparati a rischio.
Nella loro comunicazione, il BEUC ha sottolineato vari problemi emergenti legati all’uso di intelligenza artificiale generativa come ChatGPT, tra cui la possibilità di output errati o inaccurati, la manipolazione dei consumatori, il bias e la discriminazione, violazioni della privacy e vulnerabilità alla sicurezza.
In risposta, organizzazioni di consumatori in 14 paesi europei hanno chiesto ai loro enti nazionali di iniziare indagini urgenti e far rispettare le leggi esistenti a tutela dei consumatori Consumer groups call on regulators to investigate generative AI risks
Gruppi di consumatori stanno esortando i regolatori a investigare sui rischi dell’intelligenza artificiale generativa. Contemporaneamente, chiedono che la legislazione europea sull’IA venga sviluppata più rapidamente per includere robuste misure di protezione.
Questo intervento è urgente perché, nonostante l’UE stia già lavorando su una normativa sull’IA, il BEUC avverte che ci sono preoccupazioni crescenti che necessitano di un’azione immediata.
Ad oggi, il BEUC ha già inviato lettere alle autorità di sicurezza dei consumatori e di protezione dei consumatori in aprile, chiedendo di iniziare le indagini a causa della diffusione e la velocità di implementazione dei modelli di AI generativa come ChatGPT e i possibili danni derivanti dal loro dispiegamento.
Il Garante per la protezione dei dati personali in Italia ha temporaneamente bloccato ChatGPT e la ICO del Regno Unito ha pubblicato linee guida per organizzazioni che sviluppano o utilizzano AI generativa A roundup of EU generative AI actions – International Association of ….
che cosa potrebbe succedere?
Probabilmente, OpenAI userà i 30 giorni disponibili per presentare documentazioni e difese atte a ridurre o chiarire le proprie responsabilità.
Non è prevedibile che ci sarà un altro fermo temporaneo di ChatGPT, come quello avvenuto a causa di una politica di gestione dei dati personali precedentemente poco definita, problema che è stato risolto nella primavera del 2023.
Molti sistemi hanno utilizzato i modelli di ChatGPT per implementare le proprie attività, tra cui il Ministero delle Finanze che ha sviluppato il modello di summarization ProDigit per aiutare la massimizzazione delle sentenze tributarie.
Le sanzioni
L’indagine del Garante per la protezione dei dati personali su OpenAI ha messo in luce potenziali violazioni che potrebbero costare all’azienda fino a 20 milioni di euro, una sanzione simile a quella precedentemente inflitta a ClearviewAI.
Dall’indagine avviata a marzo, l’Autorità ha dedotto che i fatti raccolti potrebbero costituire una o più violazioni del GDPR, il regolamento europeo che tutela i dati personali.
Questo regolamento prevede multe fino a 20 milioni di euro o il 4% del fatturato globale annuo dell’azienda in caso di mancato rispetto delle sue norme.
Data la gravità delle possibili sanzioni economiche, è molto probabile che OpenAI continui a collaborare con l’autorità di controllo dei dati personali per cercare di ridurre le conseguenze e contenere i danni.”
In ogni caso siamo di fronte a una situazione prevedibile ma, comunque, inedita, il cui esito determinerà anche gli scenari a livello europeo.
Per quanto il Garante, infatti, abbia agito in questo momento anche per rispettare i termini de procedimento amministrativo aperto a fine marzo 2023, non si può tacere il fatto che siamo “vicini” all’emanazione dell’AI Act.
Questo atto, quindi, può essere letto anche come segnale politico “forte”.
Sulla scorta di quanto accaduto per ChatGPT, comunque, a livello europeo si sta prevedendo l’ipotesi di sperimentare modelli ad alto impatto di intelligenza artificiale mediante le cosiddette sandboxes, ossia dei “contenitori” protetti in cui i rischi per gli interessati siano minimi e, comunque, limitati dalla struttura stessa.
Le recenti violazioni
Recenti rapporti, inclusi quelli di Ars Technica e Android Authority , hanno sollevato serie preoccupazioni riguardo a presunte violazioni della privacy da parte di ChatGPT, il popolare chatbot sviluppato da OpenAI.
Secondo quanto riportato, ChatGPT avrebbe divulgato informazioni private, tra cui credenziali di accesso e dati personali di terze parti.
Un utente di Ars Technica ha condiviso diversi screenshot che mostrano come ChatGPT abbia fornito dettagli di login e altri dati sensibili non correlati all’utente che ha ricevuto le informazioni.
In particolare, due degli screenshot rivelavano combinazioni di nome utente e password relativi a un portale farmaceutico, suggerendo che un dipendente potesse aver usato ChatGPT per cercare di risolvere problemi tecnici, esponendo così senza volerlo informazioni delicate.
Questo incidente ha messo in luce non solo la divulgazione delle credenziali di accesso ma anche dettagli specifici del problema tecnico e la localizzazione del negozio interessato dall’indiscrezione.
Questa fuga di informazioni sarebbe stata scoperta casualmente da un utente che interagiva con ChatGPT per un argomento completamente diverso.
La problematica sollevata ha suscitato preoccupazione non solo tra gli utenti ma anche tra le autorità regolatorie.
Come riportato da Reuters, l’autorità italiana per la protezione dei dati personali ha segnalato a OpenAI che ChatGPT non rispetta le regole sulla privacy dei dati, intensificando così la pressione su OpenAI per affrontare queste questioni di sicurezza.
Spiceworks ha anche riferito che gli utenti di ChatGPT hanno espresso preoccupazioni per la perdita di dati personali attraverso il chatbot alimentato dall’intelligenza artificiale di OpenAI.
Le perdite includevano dettagli personali e conversazioni con il chatbot, oltre alle credenziali di accesso.
Questi eventi sottolineano la necessità critica per OpenAI di rivedere e rafforzare i propri sistemi di sicurezza e privacy per proteggere i dati degli utenti.
Inoltre, evidenziano l’importanza per gli utenti di essere consapevoli dei rischi associati all’utilizzo di piattaforme basate sull’intelligenza artificiale e della necessità di una regolamentazione più stringente in questo settore emergente.
Nel marzo del 2023, OpenAI ha dovuto affrontare un serio contrattempo tecnico che ha portato alla sospensione temporanea del suo servizio ChatGPT.
Questo problema aveva causato la visualizzazione accidentale delle cronologie delle chat di alcuni utenti ad altri che non erano coinvolti in quelle conversazioni, suscitando preoccupazioni in merito alla privacy e alla sicurezza dei dati degli utenti.
Secondo quanto riportato da Downdetector e dal registro degli incidenti di OpenAI, la piattaforma ha subito interruzioni periodiche dovute a vari problemi tecnici, tra cui attacchi DDoS come dettagliato da Search Engine Journa.
FRANCESCO
E se finisse a tarallucci e vino? il pericolo della prescrizione
La questione dei termini di prescrizione per la notifica della contestazione è un argomento giuridico di grande importanza.
In particolare, si pone la domanda: da quando iniziano a decorrere i famosi 120 giorni per la notifica della contestazione?
La giurisprudenza, attraverso una serie di orientamenti consolidati, ha stabilito che questi 120 giorni iniziano a decorrere dal momento in cui l’autorità ha raccolto tutte le informazioni necessarie per determinare se vi è stata una violazione.
Se l’autorità, come il Garante per la protezione dei dati personali, dovesse ordinare misure correttive, implica di fatto che ha identificato una o più violazioni alle normative sulla protezione dei dati.
La decorrenza del termine viene calcolata a partire dall’ultimo riscontro ricevuto dal Garante in risposta alle richieste di chiarimento.
Questa interpretazione è confermata da diverse sentenze, come quelle riportate da Avvocato Sabrina Cestari [1] che sottolinea l’importanza di rispettare questi termini perentori.
In caso di superamento del termine, le sanzioni imposte sono considerate nulle, come ribadito dalla giurisprudenza sia di merito che di legittimità, che non si limita agli aspetti sostanziali ma interviene anche su quelli procedurali.
Il sito Judicium evidenzia anche l’importanza della notifica tempestiva del verbale di contestazione, che deve avvenire entro un termine specifico per evitare la decadenza del diritto all’esercizio dell’azione sanzionatoria.
Questa attenzione ai termini di prescrizione non è un dettaglio minore ma riflette il principio fondamentale della certezza del diritto, che impedisce di lasciare le organizzazioni, presumibilmente colpevoli, in uno stato di incertezza riguardo a un procedimento a loro carico.
