Dopo l’incessante campagna informativa condotta da OpenAI su tutti i principali mezzi di comunicazione di massa italiani (radio, televisione, giornali e Internet) a partire dal 15 maggio u.s., con cui siamo stati informati dell’avvenuta probabile raccolta dei nostri dati personali ai fini dell’addestramento di ChatGPT e della conseguente possibilità di chiedere e ottenerne la cancellazione, a partire dal 30 settembre sono state implementate le nuove misure di age verification idonee a escludere l’accesso al servizio agli utenti infratredicenni e a quelli minorenni in assenza di un’espressa manifestazione di volontà da parte di chi esercita sugli stessi la responsabilità genitoriale.
Se, cari lettori, la vostra espressione si è fatta perplessa perché non ricordate alcuna campagna informativa e le modalità di iscrizione ed accesso a ChatGPT sono sempre le stesse, non vi preoccupate, non avete vissuto in una realtà parallela. Quella campagna informativa non c’è mai stata e quelle misure non sono state mai adottate.
In Italia memoria corta
In un Paese la cui capacità di ricordare è la stessa del protagonista del film “Memento” (per chi non avesse visto la pellicola, egli non era in grado di immagazzinare nuove informazioni per più di alcuni minuti), ai più sarà sfuggito che il provvedimento del garante privacy dell’11 aprile u.s. con cui l’Autorità aveva sospeso il provvedimento di limitazione provvisoria del trattamento dei dati degli utenti italiani preso nei confronti della società statunitense, prevedeva due obblighi pro futuro a carico di Open AI, in particolare:
- Sottoporre al Garante, entro il 31 maggio 2023, un piano per l’adozione di strumenti di age verification idoneo a escludere l’accesso al servizio agli utenti infratredicenni e a quelli minorenni in assenza di un’espressa manifestazione di volontà da parte di chi esercita sugli stessi la responsabilità genitoriale. L’implementazione di tale piano doveva decorrere, al più tardi, dal 30 settembre 2023;
- promuovere, entro il 15 maggio 2023, una campagna di informazione, di natura non promozionale, su tutti i principali mezzi di comunicazione di massa italiani (radio, televisione, giornali e Internet) i cui contenuti andavano concordati con il Garante, allo scopo di informare le persone dell’avvenuta probabile raccolta dei loro dati personali ai fini dell’addestramento degli algoritmi, dell’avvenuta pubblicazione sul sito internet della Società di un’apposita informativa di dettaglio e della messa a disposizione, sempre sul sito internet della Società, di uno strumento attraverso il quale tutti gli interessati potevano chiedere e ottenere la cancellazione dei propri dati personali.
Due domande per OpenAI e Garante privacy
Ora, poiché nulla è stato fatto[1] (e, per la verità, con riferimento all’age verification, nulla avrebbe dovuto essere fatto perché l’iscrizione a chatGPT ha incluso da sempre un sistema di “phone verification” e, come noto, in Italia, per poter essere titolari di una SIM card occorre aver compiuto 15 anni.), ci sono due domande a cui OpenAI e/o il nostro Garante privacy dovrebbero rispondere:
- Poiché i contenuti della campagna di informazione che doveva partire entro il 15 maggio u.s. dovevano essere concordati con il Garante, la campagna non è partita perché OpenAI non ha mai sottoposto alcunché all’Autorità o perché non è stato trovato l’accordo?
- Poiché il piano per l’adozione di strumenti di age verification ulteriori rispetto a quelli già in essere doveva essere sottoposto al Garante entro il 31 maggio u.s. ed implementato, al più tardi, entro il 30 settembre u.s., tali strumenti non sono stati implementati perché il piano non è mai stato formalmente presentato da OpenAI, oppure perché il Garante lo ha ritenuto inadeguato?
Le risposte ai due quesiti non sono prive di conseguenze: perché, se per entrambi, ad essere corretta fosse la prima alternativa, allora ci troveremmo di fronte ad un palese inadempimento del provvedimento dell’11 aprile u.s. da parte di OpenAI, con il conseguente dovere per il nostro Garante di intervenire nuovamente a tutela degli interessati collocati nel territorio italiano.
Del resto, il predetto provvedimento si concludeva con la “salvezza di ogni ulteriore intervento, anche di carattere urgente e temporaneo, nel caso di inidonea o insufficiente attuazione delle prescrizioni sopra indicate”.
L’inadempimento delle due prescrizioni è oggettivo: gli utenti italiani hanno diritto di sapere cosa è successo e cosa sarà fatto per tutelarli, con l’eventuale opzione che “ci penserà l’Europa” vista la creazione di un’apposita task force da parte dell’EDPB.
[1] A scanso di equivoci, l’introduzione dell’age gate con cui semplicemente si “autocertifica” di avere l’età giusta per accedere al servizio, introdotto in sede di “riapertura” del servizio da parte di OpenAI era stata qualificata dallo stesso Garante, nelle numerose interazioni sui social network, come misura transitoria in attesa dell’implementazione del piano richiamato nel provvedimento.