Generative AI e diritti individuali: istruzioni per l’uso (Parte 2)
L’intervento dell’Autorità Garante per la protezione dei dati personali italiana e quelli di altri Paesi europei.
Come accennato nello scorso articolo, in data 30 marzo 2023 è stata adottata dall’Autorità Garante per la protezione dei dati personali Italiana una misura di limitazione provvisoria del trattamento dei dati personali nei confronti di OpenAI L.L.C., società che ha sviluppato e gestisce ChatGPT, in risposta a gravi violazioni del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 e del Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196).
Dal punto di vista di chi scrive, il Garante per la protezione dei dati personali, in considerazione della situazione delineata, ha agito tempestivamente per tutelare la riservatezza e il diritto alla protezione dei dati personali degli utenti italiani, con l’obiettivo di garantire un trattamento corretto e conforme alle normative vigenti.
In effetti, tra le violazioni riscontrate, si erano evidenziate, l’inaccuratezza delle risposte fornite da ChatGPT e l’assenza di un meccanismo di verifica dell’età degli utenti, in contrasto con i termini pubblicati da OpenAI L.L.C., che limitavano l’utilizzo del servizio ai soggetti di almeno 13 anni. Ciò ha comportato risposte inappropriate per i minori di età inferiore a 13 anni, non adattate al loro grado di sviluppo e autoconsapevolezza.
Il Garante per la protezione dei dati personali, nello specifico, aveva preso atto dell’assenza di un’adeguata informativa agli utenti e agli interessati i cui dati sono stati raccolti e trattati tramite il servizio di ChatGPT e aveva ordinato a OpenAI di adottare misure concrete entro il 30 aprile, compresa la creazione di un’informativa trasparente sul proprio sito, in cui vengono illustrate le modalità e la logica del trattamento dei dati necessari per il funzionamento di ChatGPT, nonché i diritti degli utenti e degli interessati non utenti.
Tale informativa, aveva specificato l’Autorità, per i nuovi utenti italiani, deve essere presentata prima della registrazione e consentire di dichiarare di essere maggiorenni, mentre gli utenti già registrati devono poter visualizzare l’informativa al primo accesso successivo alla riattivazione del servizio e devono superare un controllo di età che escluda gli utenti minorenni.
Inoltre, è stato rilevato come non esistesse una base giuridica sufficiente per la raccolta e il trattamento dei dati personali a fini di addestramento degli algoritmi di ChatGPT e l’Autorità ha ordinato a OpenAI di eliminare il riferimento all’esecuzione di un contratto e di indicare il consenso o il legittimo interesse come presupposto per l’utilizzo dei dati di addestramento, riservandosi il diritto di verificare tale scelta.
Il Garante aveva infine invitato Open AI a comunicare entro 20 giorni le iniziative intraprese per adeguarsi alle prescrizioni e fornire ulteriori elementi utili a giustificare le violazioni riscontrate e in data 27 Aprile 2023 è cessata la limitazione del trattamento.
Le obiezioni di alcune Agenzie di altri Paesi europei
L’Agenzia spagnola per la protezione dei dati (AEPD) ha avviato, il 13 aprile 2023, procedimenti di indagine contro OperAI per una possibile violazione del GDPR, ed in secondo luogo che l’autorità tedesca per la protezione dei dati (BfDI – Bundesbeauftragte für den Datenschutz und die Informationsfreiheit) ha chiesto a OpenAI informazioni sul modo in cui vengono gestiti i dati personali da ChatGPT, compreso se le domande poste a ChatGPT vengono utilizzate anche per addestrare l’algoritmo e, in tal caso, come.
Più nel dettaglio, il Garante tedesco, da una parte, ha espresso preoccupazioni in ordine al ‘se e come’ OpenAI possa rettificare o eliminare i dati personali degli interessati e, dall’altra ha manifestato analoghe perplessità riguardo alle informazioni che ChatGPT ‘genera’ nelle sue risposte poiché i contenuti generati possono essere inesatti, obsoleti, inappropriati oppure offensivi e possono essere conseguenza delle cosiddette ‘allucinazioni’.
Ancora, più recentemente, con riferimento a uno dei principali competitor di OpenAI, vale a dire Bard, realizzato da Google, il Garante irlandese per la protezione dei dati personali ha dichiarato di aver chiesto e di essere in attesa che l’azienda fornisca una valutazione d’impatto dettagliata e risponda a specifiche domande su come Bard si conforma alle regole di protezione dei dati dell’UE e il Board dei Garanti per la protezione dei Dati Personali (EDPB) ha appositamente creato una task force con l’intento di promuovere la cooperazione e lo scambio di informazioni sulle possibili azioni di tutela condotte dalle autorità di protezione dei dati.
I rischi potenziali dell’intelligenza artificiale
Alla luce del quadro regolatorio sopra illustrato, sembra appropriato svolgere alcune sintetiche osservazioni preliminari, dalle quali muovere, per una successiva analisi più specifica delle possibili interferenze con i diritti fondamentali, vale a dire:
a) L’intelligenza artificiale generativa può essere utilizzata per elaborare dati personali e generare informazioni potenzialmente sensibili.
b) Modelli di intelligenza artificiale generativa possono essere soggetti a bias, il che potrebbe portare alla generazione involontaria di contenuti discriminatori o offensivi.
c) I dati di addestramento per i modelli di intelligenza artificiale generativa possono contenere informazioni sensibili, che potrebbero essere generate involontariamente.
d) I modelli di intelligenza artificiale generativa possono essere utilizzati per raccogliere ed elaborare dati personali senza il consenso o la conoscenza degli utenti.
Inoltre, come accennato nello scorso articolo, si osserva, da una parte, che la possibilità che l’intelligenza artificiale generativa venga utilizzata per creare deep fake o altri contenuti sintetici che potrebbero essere utilizzati per manipolare l’opinione pubblica o comportare rischi per la sicurezza pubblica, è una minaccia attuale e, dall’altra, che il rischio di bias intrinseco negli algoritmi generativi non può essere sottovalutato, per gli effetti che potrebbe avere sui diritti e sulle libertà degli individui.
Ciò specificato, prima di analizzare nel dettaglio gli argomenti sopra illustrati, al fine di individuare soluzioni di mitigazione dei rischi che ne potrebbero derivare, sembra opportuno soffermarsi, per quanto possibile, data la complessità dell’argomento, su una delle caratteristiche più problematiche dei modelli generativi, vale a dire la soggezione alle già citate ‘allucinazioni’.
Nel suo technical Report GPT 4.0, dello scorso 27 Marzo, la stessa Open AI ha precisato che GPT-4, come del resto gli altri sistemi di intelligenza artificiale generativa, ha la tendenza ad ‘allucinare’, cioè: “Produrre contenuti privi di senso o non veritieri rispetto a determinate fonti”.
Questa tendenza può essere particolarmente dannosa man mano che i modelli diventano sempre più convincenti e credibili, portando a un eccessivo affidamento da parte degli utenti e, in modo controintuitivo, le allucinazioni possono diventare più pericolose quando i modelli diventano più veritieri, poiché gli utenti sviluppano fiducia nel modello quando fornisce informazioni veritiere in aree in cui hanno una certa familiarità.
Inoltre, poiché questi modelli vengono integrati nella società e utilizzati per automatizzare vari sistemi, questa tendenza all’allucinazione è uno dei fattori che può portare alla degradazione complessiva della qualità delle informazioni e a ridurre ulteriormente la veridicità e la fiducia nelle informazioni liberamente disponibili.