L’INTELLIGENZA ARTIFICIALE E I LIMITI DEL GDPR: IL CASO CHATGPT

Il 31 marzo scorso, il Garante per la protezione dei dati personali ha disposto, provvisoriamente ma con effetto immediato, la limitazione del trattamento dei dati degli utenti italiani di ChatGPT, un modello di chatbot basato su intelligenza artificiale e apprendimento automatico sviluppato dalla società statunitense OpenAI, lanciato a fine 2022 e divenuto virale in pochissimo tempo dal momento che è in grado di simulare ed elaborare conversazioni umane.  

Alla base delle ragioni del provvedimento, che ha fatto seguito a un data breach che ha coinvolto proprio ChatGPT, è stata individuata una evidente carenza informativa sull’utilizzo e sul trattamento, da parte del programma e della sua società gestrice, dei dati personali forniti da utenti e interessati durante l’interazione con il chatbot: in effetti, una delle molte particolarità dell’ormai famosissimo prodotto di intelligenza artificiale è la possibilità di “ricordarsi” le informazioni scambiate dal singolo utente sulla piattaforma. In altri termini, ChatGPT è in grado di conservare una cronologia delle domande e delle risposte scambiate, senza tuttavia, stando a quanto rilevato dal Garante stesso, fornire una “idonea base giuridica in relazione alla raccolta dei dati personali e al loro trattamento per scopo di addestramento” dell’algoritmo. È proprio l’addestramento dell’algoritmo, tramite la raccolta e la conservazione massiva delle informazioni rese dagli utenti, che permette di perfezionare l’accuratezza delle risposte e, dunque, la funzionalità del sistema.

È stato tuttavia rilevato, come ulteriore motivazione a fondamento del provvedimento del Garante, che le informazioni fornite dal chatbot non sempre corrispondano al dato reale, ingenerando così un inesatto trattamento dei dati e comportando la violazione di numerosi articoli del Regolamento 2016/679 del Parlamento Europeo, di cui il più rilevante è sicuramente quello posto a garanzia della liceità del trattamento dei dati personali.  

Ulteriore considerazione che ha portato alla limitazione del software sul territorio italiano è inoltre l’assenza di qualsivoglia verifica dell’età degli utenti da parte del programma, il cui utilizzo, stando ai termini pubblicati dalla società sviluppatrice, sarebbe escluso ai minori di 13 anni. È evidente come la mancanza di un filtro per tale fascia di età possa comportare conseguenze non irrilevanti, esponendo i minori a “risposte assolutamente non idonee rispetto al loro grado di sviluppo e autoconsapevolezza”.

Tali considerazioni hanno spinto il Garante per la protezione dei dati personali a disporre in via d’urgenza, e nelle more del completamento di una istruttoria nei confronti della OpenAI, la misura della limitazione provvisoria del trattamento a tutti i dati personali degli interessati stabiliti sul territorio italiano; e in effetti, ad oggi l’accesso a ChatGPT è disabilitato per le connessioni di rete del territorio italiano, ma ciò non ha impedito – pare – di poter consentire l’accesso dall’Italia ad altri sistemi di chatbot creati tramite VPN. 

Si tratta di una limitazione provvisoria: alla OpenAI è stato concesso un termine di venti giorni, in scadenza a fine aprile, per la comunicazione delle misure intraprese in attuazione di quanto richiesto dal Garante, pena una sanzione economica; il futuro utilizzo in Italia di ChatGPT, così controverso proprio per le implicazioni che comporterebbe non solo relativamente al mondo del lavoro, ma nella vita di tutti i giorni, ad oggi rimane incerto.