Il provvedimento del Garante su ChatGpt è 'anticipatorio' di una nuova epoca
In data 30 marzo 2023 il Presidente della Autorità italiana garante per la protezione dei dati personali, avvalendosi dei poteri d’urgenza previsti dall’art.5.comma 8 del Regolamento 1/200058 e di quanto disposto dall’art.58 par. 2, lettera f) del GDPR, ha adottato un provvedimento di urgenza [doc. web 9870832] nei confronti della società OpenAi quale società sviluppatrice e gestrice di ChatGPT, col quale ha disposto con effetto immediato la limitazione provvisoria del trattamento di dati di utenti italiani.
Il provvedimento è conseguente all’allarme scattato in seguito alla pubblicazione di dati sensibili degli utenti avvenuto a causa di un bug contenuto in una libreria open source usata da OpenAi per il servizio di ChatGPT.
Il provvedimento, che dovrà essere ratificato dal Collegio nella prima seduta utile, sembra basarsi su due motivi diversi:
- il primo riguarda la assenza di una adeguata informativa sui trattamenti dei dati personali degli interessati, come dimostrerebbe il fatto che le informazioni fornite da ChatGPT “non sempre corrispondono al dato reale”;
- il secondo attiene invece al fatto che nel sistema ChatGPT manca la previsione di “qualsivoglia verifica dell’età degli utenti dei servizi forniti da ChatGPT” malgrado che i termini di uso del servizio specifichino che esso “è riservato a soggetti che abbiano compiuto almeno 13 anni”.
In base a questi due motivi, il primo dei quali solo affermato ma non chiaramente motivato stante la urgenza del provvedimento che non ha consentito, si direbbe, una istruttoria adeguata, il Presidente del Garante, avvalendosi appunto dei suoi poteri di urgenza, ha imposto “la limitazione dei trattamenti dei dati personali degli interessati stabiliti sul territorio italiano”.
Poiché, come è ben noto, ChatGPT utilizza un sistema di IA per il suo funzionamento, con particolare riguardo all’analisi dei dati necessaria per interloquire con gli utilizzatori della Chat, il provvedimento del Presidente del Garante ha attirato una singolare ma spiegabile attenzione, compresa la ricerca, non nuova in casi come questi, dell’eventuale esistenza di modalità idonee ad aggirare l’eventuale limitazione dell’uso di questa Chat da parte di interessati stabiliti in Italia.
Sul secondo punto ha fatto molto rumore fra alcune categorie di addetti ai lavori la riflessione che comunque con un adeguato uso di reti VPN la Chat continua ad essere utilizzabile anche da stabilimenti situati in territorio italiano malgrado eventuali, e più che prevedibili, modalità di limitazione dell’uso adottate da OpenAI per conformarsi alla decisione del Garante.
Sul primo, e certamente più importante, punto invece la discussione si è rapidamente concentrata su due piani distinti ma collegati.
Da un lato molti giuristi hanno analizzato il provvedimento dal punto di vista giuridico sia con riguardo alle motivazioni adottate e alle violazioni affermate che con riguardo alla chiarezza e persuasività delle argomentazioni esposte. Da questo punto di vista non è mancato chi ha lamentato una certa assertività delle affermazioni fatte in ordine alle violazioni che si dichiara di aver riscontrato; assertività che certamente potrà essere corretta e superata a valle del completamento della fase istruttoria dopo le risposte che eventualmente OpenAI vorrà fornire, ma che allo stato sono difficilmente confutabili.
Sul secondo piano invece le sottolineature tecnologiche relative alla facile aggirabilità del provvedimento appaiono francamente poco interessanti perché ben note e strettamente connesse agli aspetti propri della rete digitale e del suo uso.
Ciò detto, e in attesa dello sviluppo della vicenda e, in particolare, dell’auspicabile contradditorio tra il Garante e OpenAI, vale la pena di osservare che forse, anche come conseguenza della suggestione provocata dal fatto che, sia pure indirettamente, il provvedimento coinvolge anche la nuova tecnologia della IA, merita richiamare l’attenzione su quello che a me pare essere il punto centrale del provvedimento, e cioè la mancanza di una adeguata informazione che renda agevole agli interessati far valere i loro diritti, a cominciare da un uso consapevole e responsabile della Chat.
È questo, del resto, anche il profilo che lega il motivo generale della mancanza di una informativa adeguata e quello più specifico della mancanza di una attenzione adeguata all’età di chi fa uso della Chat. Da questo punto di vista il provvedimento in questione è assolutamente importante e meritevole della massima valorizzazione.
Come chi scrive ha già detto in diverse occasioni, da ultimo nell’intervento alla giornata organizzata dal Garante per il 25 anniversario della istituzione dell’Autorità, è assolutamente essenziale che nella società digitale sia adeguatamente tutelato e garantito il diritto di coloro che si avvalgono della rete di poter conoscere come sono trattati i dati e da chi, ma soprattutto “chi sono” “come operano” gli interlocutori che ciascuno può incontrare sulla rete e con i quali può entrare in relazione.
Nella società digitale non si tratta più solo di tutelare il tradizionale diritto alla privacy inteso come diritto individuale relativo all’uso dei dati "riferiti o riferibili a una persona individuata o individuabile”. Certo, questo diritto resta ed assume anche una nuova centralità: non a caso tutti i provvedimenti relativi all’uso di tecnologie digitali che si avvalgono del trattamento di dati ribadiscono sempre la loro compatibilità col GDPR e i diritti in esso garantiti.
(Nella foto: Francesco Pizzetti, Presidente emerito del Garante per la protezione dei dati personali. Ha guidato l'Autorità dal 2005 al 2012)
Tuttavia è altrettanto evidente che una società come quella digitale, sempre più basata su relazioni che comportano scambi di dati, non può limitarsi a tutelare i dati e le reti come infrastrutture tecniche.
Proprio perché le relazioni (personali, sociali, economiche) si basano su dati che non sono solo scambiati nell’ambito della relazione ma anche usati e trattati per definire chi sia l’interlocutore col quale si entra in relazione e se i dati che in rete lo rappresentano e ne definiscono le attività siano o no esatti e affidabili, il diritto degli interessati (che in questa logica diventano tutti gli utenti della rete) ad essere adeguatamente informati sull’uso e l’affidabilità dei dati che concorrono anche a definire i loro interlocutori, e dunque incidono direttamente sulla affidabilità della relazione, diventa assolutamente centrale.
Ovviamente il GDPR, proprio perché pensato da chi ben sapeva che stava arrivando la società digitale e voleva predisporre un apparato normativo adeguato alle nuove esigenze, prima fra tutte quella di consolidare la fiducia degli utenti nella società digitale, contiene già norme utilizzabili nella nuova società digitale, prima fra tutte la tante volte citata regola contenuta nell’art.22 circa i trattamenti interamente automatizzati.
È evidente però, e sempre più lo sarà, che malgrado ogni sforzo il GDPR presto non sarà più sufficiente e richiederà un aggiornamento profondo. Lo stesso destino, insomma, che toccò a suo tempo alla nota Direttiva “madre” 95/46/CE che proprio il GDPR superò al fine di preparare regole idonee agli sviluppi tecnologici che stavano per arrivare.
In questo quadro è evidente che il provvedimento in discussione, non a caso tutto incentrato sull’assenza di adeguata informativa sui trattamenti dei dati, è molto importante proprio per il suo carattere “anticipatorio” di una nuova epoca ormai già in pieno sviluppo. Che poi questo provvedimento utilizzi dal punto di vista giuridico la norma relativa all’informativa relativa ai trattamenti dei dati personali può certamente presentare limiti e legittimare critiche, come del resto è avvenuto.
Tuttavia è evidente che in una situazione come questa, analogamente a quanto accadeva negli anni immediatamente precedenti al GDPR, i Garanti si trovano costretti a usare una “cassetta degli attrezzi” inadeguata elle necessità e segnata da una evidente crescente obsolescenza. Per questo le critiche dei giuristi, molte delle quali in diritto appezzabili e interessanti, non vanno troppo enfatizzate. Esse sono certamente utili a segnalare l’urgenza delle innovazioni normative necessarie e la crescente inadeguatezza di quelle in vigore oggi.
Sono anche preziose per indicare i problemi più urgenti da risolvere e per guidare i Garanti e i futuri legislatori sulla strada di un utile e proficuo aggiornamento della regolazione, senza il quale il rischio concreto è che la società digitale metta in pericolo i nostri diritti fondamentali complessivamente intesi, anche al di là della protezione dei dati in quanto tale.
Un’ultima considerazione merita di essere fatta anche tenendo conto delle sottili ma fondate critiche fatte dai tecnologici circa la facile aggirabilità in concreto del provvedimento.
Queste critiche, pur prevedibili e in parte “maliziose”, mettono in rilievo la debolezza della protezione dei dati o della società digitale operata, pur con ogni sapienza, da una singola Autorità nazionale.
Come tutti constatiamo ogni giorno la società digitale è per sua natura globale e soprattutto la Unione, proprio per consolidare le sue stesse ragioni d’essere, sempre più deve garantire lo “spazio unico digitale europeo”, inteso come uno spazio unico caratterizzato dalla valenza di regole omogenee e di reti interoperabili.
Dunque, è pacifico che le Autorità possono utilmente anticipare tutele e garantire modalità di funzionamento della società digitale europea solo se operano in sintonia tra loro e in modo coordinato.
Anche questo era ben noto agli estensori del GDPR che non a caso hanno tanto insistito sul rafforzamento dello European Data Protection Board (EDPB) e sulle norme che garantiscono la “cooperazione e coerenza” tra le Autorità di protezione dati.
Dunque un limite del provvedimento del Garante italiano è certamente quello di esser stato adottato, proprio per l’urgenza, in solitudine e senza adeguata consultazione delle altre Autorità.
Tuttavia anche questo limite può trasformarsi in un comportamento virtuoso se, come è auspicabile, non solo il Collegio dell’Autorità ratificherà il provvedimento del Presidente, ma se l’Autorità promuova e stimoli un’adeguata attenzione da parte di tutte le Autorità nazionali proprio nell’ambito dello EDPB.
Infine, proprio tenendo conto delle cose dette, è bene che ci prepariamo fin d’ora a un’epoca che vedrà sempre più crescere il ruolo dell’Autorità Garanti e gli strumenti di cooperazione tra di loro.
L’evoluzione tecnologica tipica della società digitale è inevitabilmente rapida e continua: per questo i provvedimenti più recenti ampliano i poteri della commissione di adottare atti delegati e tendono a istituire nuovi Comitati e nuove sedi di cooperazione tra le Autorità (si pensi al Regolamento sulla IA attualmente ancora in discussione).
Tuttavia non basteranno i poteri normativi della Commissione e far fronte a evoluzioni così rapide. Sarà certamente necessario e fondamentale che le autorità garanti rafforzino sempre di più il loro ruolo di correttori e vigilatori della società digitale anche adottando provvedimenti che, come quello qui in esame, siano anticipatori e fortemente innovativi.
Gli studiosi di questa materia, destinata ad essere sempre più affascinante, tengono conto di questa evoluzione che riguarderà anche loro e in particolare i Data Protection Officer e in generale i responsabili dell’uso dei dati nella società tecnologica.
di Francesco Pizzetti (Fonte: Agenda Digitale)
