l'analisi

Schrems denuncia OpenAI al Garante Privacy austriaco: “Non rispetta il GDPR con le sue allucinazioni. L’AI deve seguire le leggi non il contrario”

di |

L’origine della causa: alla richiesta della data di nascita di un personaggio pubblico, ChatGPT ha ripetutamente fornito informazioni errate invece di dire agli utenti di non disporre dei dati necessari. Secondo un recente report del New York Times, "i chatbot inventano informazioni almeno il 3% delle volte, con punte del 27%". Ma secondo il GDPR le informazioni sulle persone devono essere accurate.

ChatGPT fornisce sempre una risposta, ma non sempre è corretta. E questo è un problema soprattutto quando le informazioni fornite dal chatbot di OpenAI si riferiscono alle persone. Secondo il GDPR, le informazioni sulle persone devono essere accurate. Per questo motivo l’ufficio legale “noyb”, guidato dall’attivista della privacy Max Schrems, ha presentato ieri una denuncia contro OpenAI per violazione del Regolamento europeo sulla protezione dei dati al Garante Privacy austriaco.

Cosa prevede il GDPR

L’origine della causa: alla richiesta della data di nascita di un personaggio pubblico, ChatGPT ha ripetutamente fornito informazioni errate invece di dire agli utenti di non disporre dei dati necessari.

Questa prassi di “inventare le risposte va bene per i compiti degli studenti, ma non per i dati sulle persone”, fa notare noyb. Dal 1995, la legislazione dell’Unione Europea richiede che i dati personali siano accurati. Attualmente, ciò è sancito dall’articolo 5 del GDPR. Le persone hanno anche il diritto di rettificare i dati inesatti ai sensi dell’articolo 16 del GDPR e possono richiedere la cancellazione di informazioni false. Inoltre, in base al “diritto di accesso” di cui all’articolo 15, le aziende devono essere in grado di mostrare quali dati conservano sulle persone e quali sono le fonti. 

Noyb: “Se un sistema non è in grado di produrre risultati accurati e trasparenti non può essere utilizzato per generare dati sulle persone

“Inventare informazioni false è di per sé abbastanza problematico”, ha commentato Maartje de Graaf, avvocato specializzato in protezione dei dati presso noyb. “Ma quando si tratta di informazioni false sulle persone, le conseguenze possono essere gravi. È chiaro che le aziende non sono attualmente in grado di rendere i chatbot come ChatGPT conformi alla legge dell’UE, quando trattano dati relativi a persone fisiche. “Se un sistema non è in grado di produrre risultati accurati e trasparenti”, ha aggiunto, “non può essere utilizzato per generare dati sulle persone. La tecnologia deve seguire i requisiti legali, non il contrario”.

Il problema è chiaro anche ad OpenAI, secondo la quale l’applicazione genera solo “risposte alle richieste degli utenti prevedendo le prossime parole più probabili che potrebbero apparire in risposta a ogni richiesta”.In altre parole: sebbene l’azienda disponga di ampi dati di addestramento, al momento non c’è modo di garantire che ChatGPT mostri agli utenti informazioni effettivamente corrette. Al contrario, gli strumenti di intelligenza artificiale generativa sono noti per avere regolarmente delle “allucinazioni”, ovvero per inventare semplicemente delle risposte.

ChatGPT e simili non sono altro che “pappagalli stocastici”?

In sostanza ChatGPT e simili non sono altro che “pappagalli stocastici”. Così sono stati definiti in questo studio scientifico scritto, tra gli altri, da Timnit Gebru, poi licenziata da Google per aver denunciato lo sviluppo dell’intelligenza artificiale di Big G basata su pregiudizi di stampo razzista e sessista. La scienziata Gebru e i suoi colleghi sono giunti alla conclusione che i Language Model nell’Intelligenza artificiale sono “usati come pappagalli stocastici”. Questi sistemi di Large Language Model non hanno alcuna comprensione del significato delle parole o delle espressioni che generano, perché non sono costruiti per averlo, ma piuttosto individuano, velocemente sul web, degli schemi verbali ricorrenti nei dati e li “ripetono”, proprio come pappagalli. Questo studio trova conferma nel recente rapporto del New York Times, secondo il quale “i chatbot inventano informazioni almeno il 3% delle volte, con punte del 27%”.

Nessun diritto GDPR per le persone finite dentro ChatGPT? 

Nonostante il fatto che la data di nascita del denunciante fornita da ChatGPT sia errata, OpenAI ha rifiutato la sua richiesta di rettifica o cancellazione dei dati, sostenendo che non è possibile correggere i dati. OpenAI afferma di poter filtrare o bloccare i dati su alcuni prompt (come il nome del reclamante), ma non senza impedire a ChatGPT di filtrare tutte le informazioni sul reclamante. OpenAI non ha inoltre risposto adeguatamente alla richiesta di accesso del reclamante. Sebbene il GDPR dia agli utenti il diritto di chiedere alle aziende una copia di tutti i dati personali che vengono trattati su di loro, OpenAI non ha rivelato alcuna informazione sui dati trattati, sulle loro fonti o sui destinatari.

Ancora una volta l’avvocato Maartje de Graaf ha fatto notare che “L’obbligo di soddisfare le richieste di accesso si applica a tutte le aziende. È chiaramente possibile tenere un registro dei dati di formazione che sono stati utilizzati, almeno per avere un’idea delle fonti di informazione. Sembra che ad ogni ‘innovazione’, un altro gruppo di aziende pensi che i suoi prodotti non debbano rispettare la legge”.

Noyb chiedeora all’autorità austriaca per la protezione dei dati (DSB) di indagare sul trattamento dei dati da parte di OpenAI e sulle misure adottate per garantire l’accuratezza dei dati personali trattati nel contesto dei grandi modelli linguistici dell’azienda. Inoltre, noyb:

  • chiede al Garante austriaco di ordinare a OpenAI di soddisfare la richiesta di accesso del denunciante e di rendere il suo trattamento conforme al GDPR
  • E chiede, infine, anche una sanzione ad OpenAI.
  • È probabile che questo caso venga trattato attraverso la cooperazione dell’UE.

ChatGPT, il Garante: “OpenAI continua a violare la privacy”. La società rischia multa fino a 20 milioni

È ormai diventato famoso in tutto il mondo il blocco temporaneo di ChatGPT in Italia imposto a marzo 2023 dal nostro Garante Privacy per la “raccolta illecita di dati personali e assenza di sistemi per la verifica dell’età dei minori”.

Poche settimane dopo, il Comitato europeo per la protezione dei dati (EDPB) ha istituito una task force sui ChatGPT per coordinare gli sforzi nazionali. 

A più di 1 anno dal blocco momentaneo del Garante Privacy, OpenAI ha risolto i problemi per i quali il suo utilizzo era stato oggetto del “blocco provvisorio immediato”, ma ad oggi, dalla stessa indagine del Garante Privacy, emerge che non rispetta pienamente la normativa privacy.

Cosa contesta ancora il Garante italiano a OpenAI

Tra le violazioni contestate dal Garante a OpenAI per l’uso di chatGPT ci sono:

la base legale. Manca ancora un’idonea base giuridica in relazione alla raccolta dei dati personali e al loro trattamento per scopo di addestramento degli algoritmi sottesi al funzionamento di ChatGPT.

l’informativa. Prima dell’intervento del Garante italiano, non veniva fornita alcuna informativa agli utenti. Quella attuale non risulta quindi, conforme al GDPR.

l’assenza di qualsivoglia verifica dell’età degli utenti in relazione al servizio ChatGPT che, secondo i termini pubblicati da OpenAI, è riservato a soggetti che abbiano compiuto almeno 13 anni. Ad oggi è sufficiente autocertificare la maggiore età con un semplice click. Ma OpenAI avrebbe dovuto implementare un sistema di age verification entro il 30 settembre 2023.

Allora perché poi chatGPT ha ottenuto il via libera dal Garante Privacy?

La domanda è pertinente. Se OpenAI continua a violare la normativa privacy, perché il Garante ha consentito il riutilizzo della piattaforma di intelligenza artificiale generativa in Italia?

OpenAI, in particolare, ha:

•    predisposto e pubblicato sul proprio sito un’informativa rivolta a tutti gli utenti e non utenti, in Europa e nel resto del mondo, per illustrare quali dati personali e con quali modalità sono trattati per l’addestramento degli algoritmi e per ricordare che chiunque ha diritto di opporsi a tale trattamento;

•    ampliato l’informativa sul trattamento dei dati riservata agli utenti del servizio rendendola ora accessibile anche nella maschera di registrazione prima che un utente si registri al servizio;

•    riconosciuto a tutte le persone che vivono in Europa, anche non utenti, il diritto di opporsi a che i loro dati personali siano trattati per l’addestramento degli algoritmi anche attraverso un apposito modulo compilabile online e facilmente accessibile;

•    ha introdotto una schermata di benvenuto alla riattivazione di ChatGPT in Italia, con i rimandi alla nuova informativa sulla privacy e alle modalità di trattamento dei dati personali per il training degli algoritmi;

•    ha previsto per gli interessati la possibilità di far cancellare le informazioni ritenute errate dichiarandosi, allo stato, tecnicamente impossibilitata a correggere gli errori;

•    ha chiarito, nell’informativa riservata agli utenti, che mentre continuerà a trattare taluni dati personali per garantire il corretto funzionamento del servizio sulla base del contratto, tratterà i loro dati personali ai fini dell’addestramento degli algoritmi, salvo che esercitino il diritto di opposizione, sulla base del legittimo interesse; 

•    ha implementato per gli utenti già nei giorni scorsi un modulo che consente a tutti gli utenti europei di esercitare il diritto di opposizione al trattamento dei propri dati personali e poter così escludere le conversazioni e la relativa cronologia dal training dei propri algoritmi; 

•    ha inserito nella schermata di benvenuto riservata agli utenti italiani già registrati al servizio un pulsante attraverso il quale, per riaccedere al servizio, dovranno dichiarare di essere maggiorenni o ultratredicenni e, in questo caso, di avere il consenso dei genitori;

•    ha inserito nella maschera di registrazione al servizio la richiesta della data di nascita prevedendo un blocco alla registrazione per gli utenti infratredicenni e prevedendo, nell’ipotesi di utenti ultratredicenni ma minorenni che debbano confermare di avere il consenso dei genitori all’uso del servizio.

In conclusione, dal punto di vista del Garante Privacy italiano manca ancora l’implementazione di un sistema di verifica dell’età e la pianificazione e realizzazione di una campagna di comunicazione finalizzata a informare tutti gli italiani di quanto accaduto e della possibilità di opporsi all’utilizzo dei propri dati personali ai fini dell’addestramento degli algoritmi.

Vediamo ora come si pronuncerà il Garante Privacy austriaco.

Leggi le altre notizie sull’home page di Key4biz