Il 30 marzo 2023, il Garante per la protezione dei dati personali ha emesso un provvedimento di limitazione provvisoria contro OpenAI, limitando il trattamento dei dati personali per ChatGPT. OpenAI ha risposto sospendendo l'accesso alla piattaforma per gli utenti italiani, una soluzione temporanea che non affronta il problema alla radice. Dopo una serie di colloqui, il Garante ha presentato nove condizioni che OpenAI deve soddisfare per sospendere il provvedimento.
La prima condizione richiede la pubblicazione di un'informativa dettagliata sul sito di OpenAI, spiegando quali dati vengono raccolti, come vengono trattati, e quali sono i diritti degli utenti. Questo è fondamentale per garantire trasparenza e conformità con il GDPR. Un'altra condizione riguarda la modifica della base giuridica per il trattamento dei dati, che deve passare dal contratto al consenso o al legittimo interesse, permettendo agli utenti di utilizzare il servizio senza obblighi indebiti.
Inoltre, OpenAI deve fornire uno strumento per esercitare il diritto di opposizione all'uso dei propri dati per l'addestramento degli algoritmi. Questo è particolarmente rilevante perché non tutti i servizi di OpenAI utilizzano i dati degli utenti per addestrare i modelli. Un'altra condizione critica è l'implementazione di un sistema di Age Verification per impedire l'accesso ai minori di 13 anni, con un piano più robusto da presentare entro fine anno.
Il Garante richiede anche una campagna informativa per avvisare gli utenti dei loro diritti e delle azioni che possono intraprendere, simile a quanto avviene con i prodotti ritirati dal mercato. Due delle condizioni più complesse riguardano la correzione e la cancellazione dei dati personali inesatti generati dall'algoritmo. Questo richiede a OpenAI di implementare un sistema che permetta agli utenti di correggere o eliminare informazioni errate, un compito tecnicamente impegnativo.
La questione più critica sollevata dal Garante riguarda l'uso di dati raccolti da terzi, come Common Crawl, senza consenso. Attualmente, non esiste un modo per rimuovere selettivamente i dati utilizzati per l'addestramento una volta che il modello è stato addestrato, rendendo questa condizione particolarmente difficile da soddisfare. Questo solleva interrogativi sulla sostenibilità del modello di business di OpenAI e sulla necessità di una nuova categoria normativa per gestire i dati utilizzati dagli LLM (Large Language Models).
La discussione si conclude con la riflessione sulla necessità di una nuova regolamentazione che consideri la natura unica degli LLM, che non rientrano facilmente nelle categorie previste dal GDPR. È un problema complesso che richiede soluzioni innovative, e sarà interessante vedere come OpenAI e altre aziende risponderanno a queste sfide.
In questa Puntata
Il Garante della Privacy italiano ha imposto a OpenAI nove condizioni per la sospensione della limitazione al trattamento dei dati personali. Tra queste, la necessità di un'informativa chiara, strumenti per l'opposizione e la correzione dei dati, e un piano di Age Verification. La questione centrale riguarda l'uso di dati non consensati per l'addestramento degli algoritmi, sollevando interrogativi sulla conformità al GDPR.