Per capire cosa è successo con ChatGPT e il Garante Privacy, bisogna partire dall’inizio con una doverosa premessa. C’era una volta ChatGPT. Era una gran bella novità, effettivamente. Una AI presentata ad un’Italia che all’apparenza nel digitale ancora non sa che pesci pigliare e che è rimasta fedele all’arabesco. E in quell’Italia in cui l’innovazione si fa per strumenti e narrazioni, c’è stato l’entusiasmo cui già si è assistito quando si applaudivano Immuni, o i sistemi di Social Scoring, o taluni eccessi di videosorveglianza “intelligente” dei Comuni. Ma l’amor di novità è lesto a diradarsi e con ancor più fretta vuol essere dimenticato. Perché altrimenti sarebbe ricordato come un pessimo esempio, e non si riproporrebbe poi.
Il data breach di ChatGTP citato dal Garante Privacy
Nel comunicato del Garante è citato un data breach di ChatGTP risalente al 20 marzo 2023: ma di cosa si è trattato?
Alcuni utenti su Reddit avevano segnalato alcuni problemi di confidenzialità delle conversazioni per cui si potevano visualizzare delle chat in cronologia non appartenenti al proprio account:
Lo stesso Sam Altman, CEO di OpenAI, ha confermato il problema in un tweet del 22 marzo:
Il 24 marzo, è la stessa OpenAI a comunicare i dettagli e la risoluzione del bug dopo aver messo offline il servizio per alcune ore per manutenzione nei giorni precedenti.
L’analisi dell’incidente ha riportato le seguenti informazioni:
– ha riguardato l’1,2% degli utenti iscritti a ChatGPT Plus attivi durante una finestra temporale di 9 ore fra l’una di notte e le 10 del mattino PDT (ora italiana: fra le 10 di mattino e le 19) del 20 marzo;
– ha esposto nome e cognome, indirizzi e-mail, indirizzi di fatturazione, ultime 4 cifre e scadenza della carta di credito ad altri utenti (viene esclusa l’esposizione dell’intera sequenza dei dati della carta di credito).
Da quel che si apprende dalle segnalazioni, però, il bug ha consentito ad alcuni utenti di visualizzare nella propria cronologia chat di altri utenti. E dunque di apprendere le informazioni contenute sia nei prompt che negli output generati. Inclusi eventuali dati personali, di natura sensibile o riservata.
Il contenuto del provvedimento del Garante Privacy verso ChatGPT
All’interno del provvedimento di limitazione provvisoria del trattamento, il Garante Privacy contesta a OpenAI la violazione degli articoli 5, 6, 8, 13 e 25 del GDPR in seguito ai seguenti rilievi che si riportano di seguito:
(i) assenza di un’informativa agli utenti, né agli interessati i cui dati sono stati raccolti da OpenAI, L.L.C. e trattati tramite il servizio di ChatGPT;
(ii) assenza di una base giuridica in relazione alla raccolta dei dati personali e al loro trattamento per scopo di addestramento degli algoritmi sottesi al funzionamento di ChatGPT;
(iii) inesattezza del trattamento dei dati personali in quanto le informazioni fornite da ChatGPT non sempre corrispondono al dato reale;
(iv) l’assenza di qualsivoglia verifica dell’età degli utenti in relazione al servizio ChatGPT che, secondo i termini pubblicati da OpenAI L.L.C., è riservato a soggetti che abbiano compiuto almeno 13 anni.
Da cui deriva l’applicazione urgente della misura della limitazione provvisoria del trattamento dei dati personali degli interessati stabiliti nel territorio italiano, nonché la richiesta di “comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto prescritto e di fornire ogni elemento ritenuto utile a giustificare le violazioni sopra evidenziate” entro 20 giorni dalla ricezione del provvedimento.
E quindi? Don’t Panic.
Il mistero dell’informativa di OpenAI
Alcuni hanno sagacemente fatto notare che l’informativa utenti esiste ed è aggiornata al 14 marzo 2023.
Consultando la wayback machine, però, l’informativa precedentemente pubblicata fino al 13 marzo 2023 non conteneva gli elementi prescritti dal GDPR: mancava infatti ad esempio l’indicazione di un rappresentante nel territorio dell’Unione (VeraSafe Ireland Ltd), così come quella delle basi giuridiche impiegate.
Nella versione corrente manca l’indicazione di una delle condizioni di cui all’art. 9.2 GDPR per le ipotesi in cui siano coinvolti dati di categorie particolari, ma ragionevolmente forse si potrebbe individuare nella lett. e) per una parte, ovverosia quando il trattamento riguarda dati personali resi manifestamente pubblici dall’interessato. Meno immediato identificare l’eccezione per gli altri casi.
Nulla si dice poi dell’esportazione dei dati verso gli Stati Uniti, se non che si svolgono trasferimenti extra-UE nel rispetto della legge praticamente.
Il Garante non ha “bannato” ChatGPT
Non c’è stato alcun “ban”. Semmai un blocco temporaneo che è stato disposto dalla stessa OpenAI in risposta alla limitazione del trattamento per poter risolvere le questioni sollevate dal Garante e ripristinare al più presto il servizio.
L’azione tempestiva, unitamente alla lettura delle FAQ pubblicate da OpenAI, rivela un intento collaborativo e di interesse nel proseguire la propria attività all’interno dell’Unione Europea. Presumibilmente non solo entro il termine indicato dal provvedimento (20 giorni), ma asap – as soon as possible.
Non sono mancate però reazioni di chi si è stracciato le vesti o ha ululato al medioevo digitale, anziché formulare critiche nel merito. Basti guardare le risposte ad un tweet del Garante che andava a smentire un pesce d’aprile che aveva trovato diffusione. Leggendone il contenuto è un archetipo di quel falso grossolano caro ai manuali, e distinguibile a colpo d’occhio. Eppure si vede che qualcuno ci ha creduto.
Il tutto rende ancora più confuso lo scenario, ma rende una diagnosi decisamente allarmante dello stato della cultura digitale e della privacy del Paese. Ciò non toglie che critiche nel merito e circa l’opportunità del provvedimento possono avere ragion d’essere. Molto meno lo è stato il trend di isteria collettiva.
Prendiamo come esempio il social professionale LinkedIn e una rapida rassegna dei poco professionali commenti tutt’altro che ironici.
Alcune stronzate raccolte da LinkedIn
Ma in fondo è primavera: ecco dunque un estratto delle stronzate che ho letto su LinkedIn sul blocco di ChatGPT da parte del Garante Privacy. Le vado a parafrasare perché ho comunque un rispetto umano degli autori e vorrei evitare che con una ricerca venissero facilmente identificati.
“ChatGPT non raccoglie dati personali dato che sono gli utenti a condividerli volontariamente”
“Non vedo per quale motivo lo Stato dovrebbe limitare la mia libertà di utilizzare uno strumento di cui io posso valutare i rischi”
“Quella del blocco è una fake news, si può accedere!”
“Non è un blocco!” (nota: il Garante stesso utilizza il verbo bloccare nel comunicato stampa)
“Il provvedimento non ha senso perchè si può utilizzare una VPN”
“Ma l’informativa privacy c’è!”
“E allora [qualsiasi altro social o servizio digitale]?” (da leggersi secondo i meme: “E allora i Marò?” o “E allora il Piddì?” in voga alcuni anni fa)
“Addio innovazione in Italia”
“Ennesimo esempio di come la burocrazia italiana ci riporta al medioevo!!!!” (qui Barbero vi menerebbe tantissimo e io con lui)
“ChatGPT chiude in Italia”
“Però i call center no eh?”
“Questa legge italiana non fa fare nulla!”
“Finalmente il Garante blocca l’AI!”
“Voialtri burocrati volete fermare l’innovazione”
Cosa fare, dunque?
Come poteva essere prevedibile, la risposta di OpenAI è arrivata. E ha scelto di sospendere il servizio presumibilmente per verificare se le contestazioni del Garante Privacy sono superabili con l’attuale versione di ChatGPT o se altrimenti dovranno essere programmate delle implementazioni.
Ne potremmo trarre una bella lezione di privacy by design, forse. Anziché limitarci a citarla solo in convegni e formazioni, o quando si deve convincere il pizzicarolo che bisogna adeguarsi al GDPR se intende mettere i propri prodotti in vendita tramite un negozio online.
In questi giorni lato utenti ci si potrà aspettare un impiego massiccio di VPN.
Nel dibattito condiviso si spera di assistere a commenti che entrano nel merito, siano essi in adesione o in critica, purché portati avanti lucidamente. Evitando ogni eccesso “di pancia”, acritico, sragionato in qualsivoglia direzione o seguendo un trend di tifoseria. Segnalo come esempio un’analisi di Andrea Monti che ho avuto molto piacere di leggere, che si pone in modo critico nei confronti dell’intervento del Garante.
Per la prossima volta in cui ci sarà presentato qualche scintillante nuovo giocattolo digitale, la speranza è che si imparino a leggere bene Termini e Condizioni d’uso prima di propagandarne l’impiego e metterli alla prova. Informative privacy incluse che fino al 13 marzo 2023 erano ben poco conformi nei contenuti con i requisiti del GDPR. Mi auguro che nessun DPO, esperto privacy o simile abbia omesso di farlo e nel contempo abbia promosso lo strumento. Altrimenti comprenderei bene come si potrebbe ben sentire in imbarazzo a difendere questa condotta ben poco accorta adesso, cercando di sviare l’attenzione con il tentativo di buttarla in caciara.
In generale magari dovremmo evitare di farci abbagliare da facili eccessi di tecnoentusiasmo. Perché il problema dei minori ad esempio poteva essere rilevato da chiunque. Pensate, ci sono riuscito persino io! Idem l’informativa. Le tecnologie sono belle, i software sono utili, ma sono e restano strumenti. E devono sempre essere posti al servizio dell’uomo.
