OpenAI, una campagna sui diritti degli utenti di intelligenza artificiale

Con una sanzione di 15 milioni di euro e con l’obbligo di svolgere una campagna informativa si chiude (per ora?) l’intervento del Garante della privacy italiana su OpenAI, gestore del servizio di intelligenza artificiale ChatGPT. Un’istruttoria avviata nel marzo 2023 quando il Garante per la protezione dei dati personali, per la prima volta in Europa, aveva disposto, con effetto immediato e per un periodo di tempo indeterminato, la limitazione provvisoria del trattamento dei dati degli utenti italiani nei confronti di OpenAI, la società statunitense che ha sviluppato e gestisce la piattaforma.

Il coordinamento europeo

La pionieristica iniziativa del Garante contribuì poi a un successivo parere dell’Edpb (Comitato europeo per la protezione dei dati) con il quale venne concordato un approccio comune tra le diverse Authority ad alcune delle più rilevanti questioni sul trattamento dei dati personali nel contesto della progettazione, sviluppo e distribuzione di servizi basati sull’intelligenza artificiale.

Le condotte incriminate

Per l’Autorità italiana la società statunitense è colpevole per diverse condotte. Innanzitutto ha creato e gestisce il chatbot di intelligenza artificiale generativa trattando dati personali degli utenti per addestrare ChatGPT senza aver prima individuato un’adeguata base giuridica; inoltre ha violato il principio di trasparenza e i relativi obblighi informativi nei confronti degli utenti. Ancora, OpenAI non ha previsto meccanismi per la verifica dell’età, con il conseguente rischio di esporre i minori di 13 anni a risposte non coerenti con il grado di sviluppo.

Il caso

Il caso era esploso perchè, a causa di un bug, sulla pagina principale del servizio ChatGPT, l’utente visualizzava la cronologia dei titoli delle chat di altri utilizzatori del servizio anziché le proprie. In seguito OpenAI ha pubblicamente confermato l’accaduto e ha precisato che i dati coinvolti nella problematica tecnica che avrebbero potuto essere visualizzati da utenti diversi dagli interessati erano il nome, il cognome, l’indirizzo e-mail, oltre alle ultime quattro cifre e alla scadenza della carta di credito utilizzata per il pagamento del servizio ChatGPT Plus (la versione a pagamento del servizio).

La gravità

Ma a corroborare la valutazione di estrema gravità delle violazione, sottolinea il provvedimento del Garante, c’è il fatto che il numero di interessati convolti è altissimo: 1,8 milioni di utenti italiani mensili attivi del servizio ChatGPT nel marzo 2023, ma soprattutto «potenzialmente l’intera popolazione italiana a cui sia riconducibile una informazione pubblicamente disponibile sul web raccolta, direttamente o indirettamente da OpenAI per l’addestramento dei modelli GPT sottesi al servizio ChatGPT».