Nel marzo del 2023, l’Italia è diventata il primo Paese occidentale a bloccare il chatbot avanzato noto come ChatGPT. L’autorità italiana per la protezione dei dati, il Garante, nel prendere questa decisione ha menzionato le preoccupazioni per la protezione dei dati personali. L’autorità ha dato tempo fino alla fine di aprile a OpenAI, l’azienda californiana che ha creato ChatGPT, per adempiere alle sue richieste.
Il Garante sostiene che ChatGPT raccoglie i dati in un modo che non è compatibile con le norme sulla protezione dei dati. Un ulteriore motivo addotto dal Garante è la mancata previsione, da parte della piattaforma, della verifica dell’età dell’utente, con il rischio di esporre i minori a contenuti dannosi. Per questi motivi ha fatto ricorso a una procedura di urgenza per sospendere temporaneamente il trattamento dei dati personali da parte di OpenAI.
La notizia del divieto temporaneo si è diffusa in tutto il mondo, sollevando preoccupazioni sulle conseguenze che decisioni come questa possono avere sullo sviluppo di nuove applicazioni di intelligenza artificiale (AI).
La mossa ha coinciso anche con l’appello di esperti e uomini d’affari – tra cui il cofondatore di OpenAI, Elon Musk – perché si pongano limiti allo sviluppo di applicazioni basate sull’IA, fino a quando non sarà stato possibile valutarne meglio i rischi.
Il divieto temporaneo potrebbe offrire alcune importanti lezioni sulla proporzionalità e l’efficacia dei divieti applicati alle tecnologie in fase di sviluppo, sul coordinamento tra gli Stati membri a livello europeo e su come trovare un equilibrio tra garantire l’accesso ai servizi e la necessità di proteggere i minori dal rischio di trovarsi di fronte a contenuti dannosi.
L’ordinanza, emessa il 30 marzo, è stata firmata da Pasquale Stanzione, presidente dell’Autorità italiana per la protezione dei dati. Il provvedimento fa seguito alla notifica di una violazione dei dati degli utenti di ChatGPT, denunciata dieci giorni prima.
Trattamento dei dati. Il Garante ha sinteticamente giustificato i provvedimenti adottati facendo riferimento alla mancanza di informazioni a disposizione degli utenti e degli interessati sui dati trattati da OpenAI. Ha inoltre citato il trattamento su larga scala dei dati personali per addestrare sistemi generativi come ChatGPT.
I termini di OpenAI affermano che ChatGPT è fornito solo agli utenti di età superiore ai 13 anni. Tuttavia, questo non ha soddisfatto l’autorità italiana per la protezione dei dati, preoccupata per la mancata verifica dell’età degli utenti.
OpenAI ha reagito, in primo luogo, bloccando l’accesso a ChatGPT in Italia e, in secondo luogo, dimostrando la propria disponibilità a collaborare con il Garante per conformarsi all’ordinanza temporanea.
La conformità comporterebbe l’implementazione da parte di OpenAI di misure di salvaguardia tra cui la predisposizione di un’informativa sulla privacy che offra agli utenti la possibilità di esercitare diritti individuali sulla protezione dei dati e, inoltre, la diffusione di informazioni sulle norme giuridiche alla base del trattamento dei dati personali da parte dell’azienda.
Il Garante ha accolto con favore questi impegni. Ha sospeso l’ordine temporaneo e ha chiesto a OpenAI di attuare queste garanzie entro la fine di aprile 2023.
Un quadro armonizzato. Tuttavia, da questo caso emergono almeno tre importanti lezioni che riguardano la mancanza di coordinamento europeo nella regolamentazione di questa tecnologia; l’efficacia e la proporzionalità di questa misura e la protezione dei minori.
In primo luogo, è necessario un maggiore coordinamento europeo sulle questioni più generale che riguardano la tecnologia AI. La legge sull’IA proposta dall’UE è solo un passo avanti verso un quadro armonizzato che garantisca lo sviluppo di tecnologie IA in linea con i valori europei. E, come ha dimostrato il divieto italiano, il modello normativo dell’UE può facilmente frammentarsi se le autorità nazionali seguono proprie strategie.
In particolare, la connessione tra IA e protezione dei dati consente alle autorità nazionali di reagire allo sviluppo di nuove tecnologie di IA. Inoltre, appare necessario un maggiore coordinamento tra gli Stati membri europei in materia di regolamentazione, quale che ne sia l’ambito.
Pianificare, non vietare. In secondo luogo, le misure adottate dall’autorità italiana per la protezione dei dati sollevano questioni sia di efficacia che di proporzionalità.
Per quanto riguarda l’efficacia, vale la pena di notare che, dopo la notizia dell’introduzione del divieto, è stato registrato un aumento del 400% dei download di VPN in Italia, che potrebbe dipendere dall’intenzione degli utenti di aggirare quel divieto.
Per quanto riguarda la proporzionalità, un divieto generale non sembra assicurare l’equilibrio tra i contrastanti interessi costituzionali in gioco. La misura temporanea non menziona in che modo è stato tenuto conto della protezione di altri interessi, come la libertà degli utenti di accedere a ChatGPT.
Anche se il divieto è temporaneo, la situazione avrebbe potuto beneficiare del coinvolgimento tempestivo di altri membri del consiglio dell’autorità italiana per la protezione dei dati. Inoltre, uno scambio preliminare con OpenAI avrebbe potuto evitare del tutto il divieto. Questa linea d’azione avrebbe potuto preludere all’adozione di ulteriori misure di salvaguardia per assicurare la protezione dei dati.
I modi migliori per proteggere i minori. Infine, la decisione solleva interrogativi sui modi migliori per proteggere i minori da eventuali contenuti dannosi creati da queste applicazioni. L’introduzione di un sistema di verifica dell’età o di avvisi sui contenuti dannosi avrebbero potuto essere oggetto di discussione, se le parti si fossero impegnate a tenere un dialogo continuo.
Questo caso offre un esempio di come i divieti generali imposti alle nuove applicazioni tecnologiche siano di solito il risultato di reazioni rapide che non scaturiscono da una valutazione approfondita dell’efficacia e della proporzionalità della misura.
Anche se si sostiene che la decisione tende a tutelare i diritti fondamentali, in primo luogo la protezione dei dati e la tutela dei minori, essa genera maggiore incertezza.
Un approccio preventivo e collaborativo con OpenAI avrebbe ridotto al minimo il rischio di blocco del servizio in Italia. Un continuo confronto tra OpenAI e le autorità italiane è fondamentale.
* Questo articolo è stato originariamente pubblicato in inglese su The Conversation (www.theconversation.com) il 23 aprile 2023.