Il “blocco” di ChatGPT aveva suscitato reazioni contrastanti e toni allarmistici, diffondendo una narrazione dei fatti distorta, secondo cui il Garante per la protezione dei dati personali si vorrebbe opporre allo sviluppo tecnologico, condannando il Paese all’immobilismo e all’arretratezza. Alcuni avevano addirittura scomodato paragoni illogici, equiparando l’Italia alla Corea del Nord, dimenticando, evidentemente, che in quest’ultimo caso l’intervento era il frutto di una scelta politica, mentre, nel caso dell’Italia, l’autorità preposta all’applicazione della normativa in materia di protezione dei dati personali si era limitata a rilevare talune irregolarità.
Insomma, un inutile sensazionalismo, che aveva nuociuto alla costruzione di un dibattito sereno e alla comprensione degli avvenimenti. È quindi una buona notizia che il Garante si sia seduto al tavolo con OpenAI e abbia discusso i termini del problema e individuato le possibili soluzioni, che dovranno essere adottate dalla società statunitense entro il prossimo 30 aprile.
Alcune di queste soluzioni erano evidenti. Pubblicare un’informativa al trattamento dei dati in linea con quanto previsto con il GDPR, illustrando compiutamente le modalità di utilizzo dei dati, la logica alla base del trattamento necessario al funzionamento del servizio, i diritti riconosciuti agli utenti.
Proprio quest’ultimo aspetto appare centrale nel provvedimento dell’11 aprile, tenendo conto delle peculiarità della tecnologia adottata. Il Garante, infatti, aveva notato che i risultati forniti da ChatGPT erano spesso errati (le cosiddette “allucinazioni” della macchina), ricostruendo un profilo errato o quanto meno non aggiornato di molte persone. Non bisogna dimenticare, infatti, che i dati utilizzati dalla macchina sono, per dir così, “congelati” al momento del suo allenamento e, quindi, inevitabilmente potrebbero non corrispondere al profilo esatto di un individuo, andando ad incidere anche sul suo diritto all’identità personale.
Nel provvedimento del Garante si riconosce a questi soggetti il diritto all’aggiornamento dei propri dati, in linea con quanto previsto con gli articoli 5 e 15 del GDPR. Importante è anche l’inciso dove si prevede che, nel caso in cui tale rettifica non sia possibile, si dovrà procedere, su richiesta dell’interessato, alla cancellazione dei dati. OpenAI, inoltre, dovrà mettere a disposizione degli utenti strumenti che consentano l’esercizio di tali diritti: si potrebbe ipotizzare – ma il punto andrà chiarito in sede di adeguamento da parte della società alle prescrizioni dell’autorità – un modulo che semplifichi la formulazione di tali richieste.
Resta il nodo dell’accesso dei minori. Dal provvedimento, sembra che il riconoscimento dell’età avverrà con due step successivi. In un primo momento, ChatGPT dovrà solo chiedere di confermare l’età; successivamente, entro il 30 settembre 2023, dovrà adottare un sistema di age verification, in grado di escludere l’accesso agli utenti infratredicenni: una misura che era stata richiesta anche a TikTok, per i suoi servizi, e che, verosimilmente, potrebbe utilizzare strumenti di biometria, senza conservazione dei dati, per identificare, con un basso margine di errore, l’età degli utenti.
In ogni caso, in attesa dei (prevedibili) passi di OpenAI, siamo al cospetto di una buona notizia. Assistiamo, infatti, alla conferma che il Garante è attivo (fin troppo, secondo i suoi detrattori) e attento ai rischi connessi agli sviluppi tecnologici, ponendosi quale baluardo della tutela dei diritti fondamentali.
È pur vero che, come da alcuni notato, che l’intervento dell’autorità avrebbe potuto essere concertato con gli altri garanti europei; ma qui entreremmo in un campo tecnico, dovendo spiegare i motivi per cui tale intervento – che non è da escludere nel prossimo futuro – avrebbe richiesto tempi incompatibili con le esigenze di tutela. Il punto che il Garante ha sottolineato, con forza, a costo di essere impopolare, è che la tutela dei diritti fondamentali non può essere subalterna alle esigenze delle imprese, confermando una contrapposizione tra il modello liberista americano e l’approccio europeo, che pone al centro la tutela della persona umana e delle sue libertà.
L’Europa, seppur non trainante, è ancora un mercato strategico per le multinazionali, non solo del settore tecnologico: la tutela dei diritti fondamentali, come dimostrano i casi Schrems I e Schrems II decisi dalla Corte di Giustizia, può condurre sì allo scontro tra Stati, ma, nel lungo periodo, impone la necessità, per operare nell’UE, di adeguarsi alle regole giuridiche europee e ai valori ad esse sottostanti.