Il Garante e ChatGPT. Cosa contiene il vaso di Pandora? Il Garante per la Protezione dei Dati, GDPR (General Data Protection Regulation) ha bloccato il 1 aprile 2023 il trasferimento negli Stati Uniti dei dati degli utenti italiani di OpenAI. La società ha risposto sospendendo il servizio in Italia.
Questo evento è all’origine di molti interventi di protesta (vedi la petizione di imprenditori e accademici). Il commento di Stefano Quintarelli, qui proposto esce da questa polemica contro il Garante e pro ChatGPT e sposta invece l’attenzione altrove: sull’uso dei dati personali per addestrare l’IA (che l’autore ritiene un acronimo scorretto, e ne propone un altro SALAMI –Systematic Approaches to Learning Algorithms and Machine Inference– non senza divertimento satirico!).
I dati personali dell’utente in OpenAi non sono usati per profilarlo a scopo commerciale, sono usati per addestrare l’Intelligenza Artificiale, cioè SALAMI. Che deve accadere dunque quando l’utente umano decide di cancellarsi dal sistema di addestramento, da OpenAI?
La decisione del Garante per la protezione dei dati personali su ChatGPT ha aperto il vaso di Pandora: per ora ne sono uscite questioni note, già affrontate in passato, ma può uscire (e uscirà) dell’altro!
Il testo originale di Stefano Quintarelli del 1 aprile 2023 è in inglese e si trova qui. La traduzione italiana (791 parole, quasi 4 minuti di lettura) è a cura di ItalianaContemporanea che rubrica il testo nella pagina Intelligenza artificiale.
Questa vicenda su chatGPT e Garante per la protezione dei dati personali (DPA) mi fa ripensare al caso Google-Vivi Down: i dirigenti di Google furono processati perché, se non ricordo male, il sistema di raccomandazione aveva classificato un video con un ragazzo vittima di bullismo come “ divertente.” Leggi di più
Si disse poi che il provvedimento era infondato, che un intermediario è sempre esente da responsabilità, e che una “piattaforma” è solo un intermediario. Si recriminò sulla la presunta incompetenza della DPA (Data Processing Agreement) italiana e sulla diffidenza tecnologica del nostro Paese (ce n’è, certo, ma non così diversamente che in molti altri Paesi). Scrissi allora che il caso non mi sembrava privo di merito. Mi chiedevo se bastasse il fatto che una decisione fosse presa da una macchina per assolvere l’operatore da qualsiasi responsabilità.
Molti anni dopo, e dopo diversi aggiornamenti del quadro, la questione è di nuovo al centro del dibattito anche negli Stati Uniti. Ci sono pressioni per reinterpretare o riscrivere la Sezione 230 del Telecommunications Act del 1996 in modo da ridefinire il perimetro della responsabilità dell’operatore.
Oggi ci si rammarica per l’azione del DPA contro OpenAI, ma anche oggi il caso non sembra così scontato, e non solo per le ragioni che già sono state addotte.
In sintesi, a quanto ho capito, il DPA solleva tre obiezioni principali: la mancanza di informativa sulla privacy, il trattamento dei dati dei minori e la mancanza di base giuridica.
Lascio agli esperti legali approfondire il merito.
Mi sembra che tutti i monopolisti aprano datacenter nell’UE per ospitare i dati degli utenti, promettano di resistere alle richieste di informazioni da parte delle autorità statunitensi per cercare di assomigliare alla conformità al GDPR, costruiscano sofisticati meccanismi legali per ridurre al minimo il rischio di elaborare i dati dei bambini, ecc. il fatto che OpenAI non stia ancora facendo queste cose, essendo diventato follemente rilevante in tempo zero, beh, mi sembra che qualche sforzo in più da parte dell’azienda non sia fuori luogo.
La questione della divulgazione e della base giuridica è abbordabile, come stanno facendo molte multinazionali. Abbordabile à anche la riduzione del rischio derivante dal trattamento dei dati dei minori. È un problema comune a tutti coloro che raccolgono i dati degli utenti per creare profili a scopo pubblicitario. OpenAI sarà in grado di affrontare il problema come hanno fatto Facebook, Instagram, ecc.
A quanto ho capito, il DPA non ha bloccato il servizio, ma il trattamento dei dati. Mi sembra che il servizio poteva continuare, bastava che OpenAi interrompesse la raccolta e il trasferimento negli Stati Uniti di tutti i dati degli utenti italiani. Non dubito che l’azienda troverà una soluzione per mettersi sullo stesso terreno degli altri operatori statunitensi, se lo vorrà. (Non è certo che la soluzione alla fine sarà in grado di resistere a una futura sentenza Schrems 3 – possiamo scommettere che arriverà – ma nel frattempo le cose possono continuare.)
La DPA ha sollevato la questione con un provvedimento d’urgenza nel corso di un’istruttoria incompiuta, senza confronto con le altre DPA dell’UE (riunite nella cosiddetta “Task Force Art. 29”). Questa mi sembra una scelta imprudente, e ha giustamente raccolto un clamore che si riverbera in tutto il mondo e porterà a una riflessione all’interno della Task Force.
Ma come ho detto, queste questioni mi sembrano poco preoccupanti. Tuttavia il vaso di Pandora è stato aperto, per ora ne è uscito questo.
Ma quando le DPA UE se ne occuperanno, a mio avviso troveranno un altro aspetto degno di riflessione e probabilmente di censura, ancora inedito, qualcosa che è proprio del Machine Learning: qual è il rapporto giuridico tra dato personale e modello, da il punto di vista del GDPR?
Nel caso in cui un utente decida di dissociarsi e di cancellarsi dal servizio, è sufficiente che l’operatore cancelli i dati che si riferiscono a questa persona? O dovrà cancellare le tracce inerenti a questa persona, che si trovano sparse nel modello, distillato anche da quei dati? L’azienda dovrà effettuare una riqualificazione del modello ogni volta che un utente decide di abbandonare il servizio?
Mi sembra ragionevole che la risposta sia sì: se l’utente chiede all’operatore di dimenticarsi di lui, non basta cancellare i dati, è necessario anche che l’“intelligenza artificiale” SALAMI (Systematic Approaches to Learning Algorithms and Machine Inference) si dimentichi di lui.
Le conseguenze potrebbero essere poco importanti per OpenAI, che non ha un modello di business incentrato sulla profilazione degli utenti, ma potrebbero esserlo molto di più per i “capitalisti della sorveglianza”, alcuni dei quali già promettono di cancellare i dati dopo poco tempo, come hanno fatto comunque i modelli
Questa è quella che penso sarà la sorpresa più rilevante che uscirà dal vaso di Pandora scoperto dal DPA italiano.
Prepariamo i popcorn.
Guida alla lettura
- Il testo presuppone che il lettore abbia chiare alcune info di contesto: ricostruitele riassumendo le info di cronaca (chi, cosa, dove, quando e perché) dei seguenti fatti:
- la vicenda processuale “Vivi Down vs Google”;
- la riscrittura della Sezione 230 del Telecommunications Act del 1996;
- le sentenze Schrems.
- Pe rendere più leggibile il testo, suddividetelo in paragrafi cui dare un titolo che ostruisca così la scaletta dell’intero discorso.