di LUISA DI GIACOMO*
Visto il diffondersi sempre più a macchia d’olio dell’uso di intelligenza artificiale generativa, l’attenzione ai dati, alla loro protezione ed al loro utilizzo conforme alla normativa diventa sempre più cruciale. Se già a partire dal 2018 Pubbliche Amministrazioni e aziende pubbliche e private hanno dovuto fare i conti con il GDPR, il Regolamento per la protezione dei dati personali, e con le sue prescrizioni, l’avvento di modelli di intelligenza artificiale avanzati come ChatGPT, sviluppato da OpenAI, ha amplificato preoccupazioni sui dati, visto che proprio su di loro (il nuovo oro nero e ormai nemmeno più tanto nuovo) si basa tutto il modello GPT che oggi tutti noi conosciamo e usiamo. Recentemente, la task force del Comitato Europeo per la Protezione dei Dati (EDPB) ha pubblicato un rapporto che affronta le implicazioni giuridiche e normative legate all’uso di ChatGPT. Questo articolo esplora i punti salienti del rapporto, con un focus sulla conformità al GDPR e le sfide emergenti per la protezione dei diritti fondamentali degli utenti.
La conformità al GDPR e i principi fondamentali
Il GDPR stabilisce principi rigorosi per il trattamento dei dati personali, inclusi trasparenza, liceità e minimizzazione dei dati. Il rapporto dell’EDPB sottolinea come ChatGPT debba rispettare questi principi, soprattutto considerando le tecniche di raccolta dati su vasta scala come il web scraping. Tale tecnica, utilizzata per raccogliere informazioni da fonti pubblicamente accessibili, pone significative sfide alla protezione dei diritti degli interessati.
Trasparenza: la trasparenza è fondamentale. Gli utenti devono essere chiaramente informati su come i loro dati vengono raccolti e utilizzati. OpenAI deve garantire che le pratiche di raccolta dei dati siano comunicate in modo chiaro e accessibile, in conformità con gli Articoli 13 e 14 del GDPR.
Liceità: ogni fase del trattamento dei dati, dalla raccolta al loro utilizzo per l’addestramento del modello, deve avere una base giuridica solida. OpenAI ha spesso invocato il legittimo interesse come giustificazione, ma questo richiede un attento bilanciamento con i diritti fondamentali degli interessati. L’Articolo 6(1)(f) del GDPR permette il trattamento dei dati basato sul legittimo interesse, ma solo se tale interesse non prevale sui diritti e le libertà fondamentali delle persone coinvolte.
Minimizzazione dei dati: il principio di minimizzazione richiede che solo i dati strettamente necessari siano raccolti e trattati. Questo è particolarmente complesso per i modelli di IA che necessitano di grandi volumi di dati per migliorare le loro prestazioni. OpenAI deve quindi implementare meccanismi efficaci per consentire agli utenti di esercitare i loro diritti di accesso, rettifica e cancellazione dei dati.
>> LEGGI ANCHE L’intelligenza artificiale ci farà perdere il lavoro o ci aiuterà a lavorare e vivere meglio?
Il ruolo della Task Force ChatGPT e l’assenza del meccanismo one-stop-shop
La task force ChatGPT dell’EDPB è stata istituita per promuovere la cooperazione e lo scambio di informazioni tra le autorità nazionali di protezione dei dati. Fino al febbraio 2024, l’assenza del meccanismo One-Stop-Shop (OSS) ha reso necessaria questa cooperazione, poiché ogni autorità nazionale aveva la competenza di avviare indagini e applicare sanzioni indipendentemente.
Il meccanismo OSS, previsto dal GDPR, permette alle aziende che operano in più Stati membri dell’UE di interagire con una sola autorità di controllo, semplificando la supervisione. Con l’istituzione di una sede di OpenAI nell’UE, il meccanismo OSS è ora applicabile, facilitando un coordinamento più efficace delle indagini a livello transfrontaliero.
Come semplificare l’attività amministrativa della P.A. con l’intelligenza artificiale
Sfide del web scraping e liceità del trattamento
Una delle principali preoccupazioni evidenziate dal rapporto riguarda il web scraping. Questa tecnica di raccolta dei dati deve essere giustificata da una base giuridica chiara e deve essere accompagnata da misure di salvaguardia adeguate per proteggere i diritti degli interessati. OpenAI ha invocato l’interesse legittimo come base giuridica, ma questo deve essere bilanciato con i diritti fondamentali degli individui, assicurando che non vi sia un impatto sproporzionato su di essi (peraltro le Autorità Garanti dei vari Paesi dell’Unione hanno espresso dubbi sul fatto che l’interesse legittimo possa effettivamente essere una base giuridica adeguata all’addestramento delle AI generative).
>> LEGGI ANCHE Guida per ripensare la cybersecurity negli Enti locali, dall’intelligenza umana a quella artificiale: il social engineering.
Accuratezza e protezione dei dati, diritti degli interessati
Il principio di accuratezza dei dati è cruciale per garantire che le risposte fornite da ChatGPT siano affidabili e non fuorvianti. Il rapporto sottolinea l’importanza di adottare misure per correggere eventuali inesattezze nei dati utilizzati e generati dai modelli di IA. Questo non solo aiuta a rispettare le normative vigenti, ma è anche fondamentale per mantenere la fiducia degli utenti nelle tecnologie di IA.
La protezione dei dati personali è un altro aspetto critico. OpenAI deve adottare misure tecniche e organizzative adeguate per prevenire accessi non autorizzati, perdite accidentali o attacchi malevoli. Questo è particolarmente importante in un contesto in cui le tecnologie di IA possono essere bersagliate da cyberattacchi sofisticati.
Il trattamento dei dati personali deve rispettare i diritti degli interessati come previsto dal GDPR. Il consenso dell’interessato è una delle basi giuridiche più dirette, ma non sempre praticabile nel contesto di sistemi di intelligenza artificiale complessi. Pertanto, il legittimo interesse è spesso utilizzato come base, ma richiede una rigorosa valutazione degli interessi del titolare del trattamento rispetto ai diritti degli interessati.
La trasparenza gioca un ruolo fondamentale nel garantire che gli utenti siano consapevoli di come i loro dati vengono utilizzati. OpenAI deve fornire informative dettagliate e comprensibili, conformi agli articoli 13 e 14 del GDPR, che specificano i diritti degli interessati e le modalità di esercizio di tali diritti.
>> CONTINUA A LEGGERE L’ARTICOLO INTEGRALE SU DIRITTO.IT.
———————–
* Luisa Di Giacomo è avvocato da oltre quindici anni, dal 2012 è consulente privacy presso diverse aziende nel nord Italia e dal 2018 ricopre l’incarico di DPO presso diverse Pubbliche Amministrazioni (Comuni, Enti di ricerca, Enti socio assistenziali) e società private. Dal 2022 fa parte del pool di consulenti esperti in Data Protection Law istituito presso l’European Data Protection Board.
Formata nell’ambito del diritto civile e commerciale, negli ultimi dieci anni si è dedicata in via esclusiva al diritto di internet, delle nuove tecnologie, della protezione dei dati personali e della cybersecurity.
Ha svolto periodi di studio e di lavoro all’estero, è docente e formatore per Maggioli spa, responsabile della sezione cybersecurity del portale diritto.it, redattrice per la Gazzetta degli Enti Locali.
Parla inglese e francese a livello madrelingua, ed ha una discreta conoscenza dello spagnolo e del portoghese.
Ama scrivere narrativa e dedicarsi all’attività di formazione in aula e online, già autrice per La Gazzetta degli Enti Locali della rubrica I martedì della cybersecurity.
Le piace definirsi Cyberavvocato.
Scrivi un commento
Accedi per poter inserire un commento