Il Garante Privacy ha imposto a “OpenAI L.L.C., società statunitense sviluppatrice e gestrice di ChatGPT … la misura della limitazione provvisoria del trattamento dei dati personali degli interessati stabiliti nel territorio italiano”.
L’iniziativa dell’Autorità – come si legge nel provvedimento numero 112 del 30 marzo 2023 – è innescata dai “numerosi interventi dei media relativamente al funzionamento del servizio di ChatGPT” e rileva una serie di possibili violazioni.
In primo luogo contesta che “da una verifica effettuata in merito … non viene fornita alcuna informativa agli utenti, né agli interessati i cui dati sono stati raccolti da OpenAI, L.L.C. e trattati tramite il servizio di ChatGPT”.
L’informativa senza dubbio era da migliorare e in tempi recenti è stata oggetto di integrazioni e perfezionamenti non ritenuti comunque sufficienti, ma il provvedimento non sembrerebbe chiaro quando asserisce che “il trattamento di dati personali degli interessati risulta inesatto in quanto le informazioni fornite da ChatGPT non sempre corrispondono al dato reale”.
ChatGPT – a differenza di Google, Bing o altri “motori” – non offre un elenco di pagine web o di documenti online corrispondenti o vicini alla chiave di ricerca usata dal suo utilizzatore, ma è una macchina che sforna la sintesi di quel che trova su Internet su un determinato argomento.
A differenza dei cosiddetti “search engine” ha capacità di comprendere richieste dialettiche (ossia domande formulate come lo si farebbe con un amico) e non è vincolato all’uso di parole combinate tra loro con operatori booleani (and, not…) per affinare la “caccia” a quel che serve. Va a pescare la documentazione, ne seleziona i contenuti ritenuti più aderenti all’istanza dell’utente, struttura un certo assetto espositivo e dopo un attimo comincia a spiattellare con grande rapidità il “temino” che gli ha affibbiato chi ha posto il quesito.
ChatGPT è velocissimo anche perché ricicla abilmente le risposte date per analoghe domande in precedenti sollecitazioni. Si prospetta come un cuoco gelosissimo dei propri segreti in cucina e quindi non rivela le fonti da cui ha tratto gli ingredienti dell’elaborato prodotto.
E’ ovvio che se, setacciando la Rete per “finire il compito”, ChatGPT incappa in una panzana il “dattiloscritto” che verrà prodotto è foriero di sorprese tutt’altro che piacevoli.
Questa circostanza è ben segnalata nelle condizioni di utilizzo che avvertono chiaramente che questo strumento deve essere usato in modo responsabile e nella consapevolezza di avere a che fare con qualcosa che è ancora nella fase sperimentale. Le cosiddette “Safety Best Practices”, ossia le “raccomandazioni a non farsi del male”, dicono chiaro e tondo che i risultati forniti da ChatGPT devono essere sottoposti ad una revisione “umana”. Chi ha inventato questo “giocattolo” ha ben chiara la pericolosità di un simile aggeggio.
Le risposte di ChatGPT possono non essere attendibili e la significativa presenza di “fake news” in Rete può effettivamente portare alla produzione di testi praticamente devastati dalla disinformazione.
Le “istruzioni per l’uso” purtroppo non le legge nessuno e parecchia gente agisce senza sapere a quali rischi si espone avvalendosi di un aiuto tecnologico che avrebbe qualche controindicazione e che nella fattispecie può mettere pericolosamente fuori strada l’utente.
L’altro rilievo del Garante Privacy riguarda il tema dei minori di anni 13 e dell’irrisolvibile questione del corretto riconoscimento dell’età di chi accede. Tema senza via d’uscita che tornerò a trattare volentieri per la sua valenza a qualsivoglia sito web…
L’Autorità precisa che “avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati”.
Come il Garante ben sa (e lo dice anche nel comunicato stampa che reclamizza l’azione istituzionale) OpenAI non ha sede nel territorio comunitario (perché soltanto “ha designato un rappresentante nello Spazio economico europeo”) e quindi ancor meno in Italia.
Cosa succede se l’azienda si oppone a qualsivoglia provvedimento dell’Autorità per la Protezione dei Dati Personali italiana? Se “ricorre”, il Garante deve costituirsi in giudizio a San Francisco “ove ha la residenza il titolare del trattamento dei dati”?
