Alcuni giorni dopo che OpenAI ha annunciato una suite di controlli sulla privacy per il suo chatbot generativo AI, ChatGPT, il servizio è nuovamente disponibile per gli utenti in Italia, completando (per ora) una sospensione normativa iniziale in uno dei 27 stati membri dell’UE. , anche se continuano le indagini locali sulla sua conformità alle norme regionali sulla protezione dei dati.

Al momento della stesura di questo documento, gli utenti Internet che navigano su ChatGPT da un indirizzo IP italiano non vengono più accolti con una notifica che il servizio è “disabilitato per gli utenti in Italia”. Invece, sono stati accolti con una nota in cui si diceva che OpenAI è “lieta di rilevare l’offerta ChatGPT in Italia”.

Un pop-up afferma quindi che gli utenti devono confermare di avere almeno 18 anni con il consenso dei genitori o del tutore per utilizzare il servizio, facendo clic su un pulsante che dice “Soddisfo il requisito di età ‘Open AI’.

Il testo della notifica richiama inoltre l’attenzione sulla politica sulla privacy di OpenAI e un collegamento a un articolo del Centro assistenza in cui la società afferma di fornire informazioni su “come sviluppiamo e addestriamo ChatGPT”.

Le modifiche al modo in cui OpenAI porta ChatGPT agli utenti in Italia mirano a soddisfare una serie iniziale di requisiti stabiliti dall’autorità locale per la protezione dei dati (DPA) al fine di continuare il servizio con rischi normativi controllati.

Un breve riepilogo dei precedenti qui: alla fine del mese scorso, il Garante Italia ha ordinato un’interruzione temporanea dell’elaborazione su ChatGPT, affermando di temere che il servizio potesse violare le leggi sulla protezione dei dati dell’UE. Ha inoltre avviato un’indagine su presunte violazioni del Regolamento generale sulla protezione dei dati (GDPR).

OpenAI ha risposto rapidamente all’intervento bloccando gli utenti con indirizzi IP italiani all’inizio di questo mese.

A questa decisione ha fatto seguito, diverse settimane dopo, la pubblicazione da parte del Garante di un elenco di azioni che OpenAI deve mettere in atto affinché il provvedimento di sospensione possa essere revocato entro fine aprile, tra cui l’aggiunta di un limite di età per impedire l’accesso ai minori il servizio. e modificare la base legale rivendicata per l’elaborazione dei dati degli utenti locali.

I regolatori hanno affrontato critiche politiche in Italia e altrove in Europa per l’intervento. Sebbene non sia l’unica autorità per la protezione dei dati a sollevare preoccupazioni, e all’inizio di questo mese, i regolatori del blocco hanno concordato di lanciare una task force incentrata su ChatGPT nel tentativo di supportare le indagini e la cooperazione su qualsiasi app.

In un conferenza personale pubblicato oggi annunciando la ripresa dei servizi in Italia, il Garante afferma che OpenAI ha inviato una lettera che dettaglia le misure attuate in risposta a un precedente ordine – scrivendo: “OpenAI spiega di aver ampliato le informazioni europee per utenti e non utenti, che ha cambiato e ha chiarito alcuni meccanismi e implementato una soluzione modulare per consentire a utenti e non utenti di esercitare i propri diritti. Sulla base di questi miglioramenti, OpenAI ha ripristinato l’accesso a ChatGPT per gli utenti italiani. »

Elaborando più in dettaglio i passi compiuti da OpenAI, il DPA ha sottolineato che OpenAI ha ampliato la propria politica sulla privacy e ha fornito agli utenti e ai non utenti maggiori informazioni sui dati personali che elabora per addestrare i suoi algoritmi, in particolare stabilendo che Ognuno ha il diritto di recesso. . tale elaborazione – indica che la società ora fa affidamento su rivendicazioni di interesse legittimo come base legale per l’elaborazione dei dati per addestrare i suoi algoritmi (poiché questa base richiede che offra opzioni di prelievo).

Inoltre, il Garante rivela che OpenAI ha adottato misure per consentire agli europei di richiedere che i loro dati non vengano utilizzati per addestrare l’IA (le richieste possono essere effettuate tramite un modulo online) e per fornire loro un “meccanismo” per richiedere che i loro dati vengano cancellati .

Ha anche detto alle autorità di regolamentazione che in questa fase non è stato in grado di correggere un punto debole nei chatbot che forniscono informazioni false su individui nominati. Da qui l’introduzione di un “meccanismo che consenta all’interessato di ottenere la cancellazione delle informazioni ritenute inesatte”.

Gli utenti europei che desiderano opporsi al trattamento dei propri dati personali per la loro formazione AI possono farlo anche tramite un modulo fornito da OpenAI che, secondo DPA, “filtrerà così le loro chat e la cronologia delle chat dai dati utilizzati per la formazione”. algoritmo”.

L’intervento del DPA italiano ha quindi portato a un cambiamento importante nel livello di controllo che ChatGPT offre agli europei.

Detto questo, non è ancora chiaro se la fretta di implementare OpenAI tweak andrà (o potrà) andare abbastanza lontano da affrontare tutti i problemi del GDPR.

Ad esempio, non è chiaro se i dati personali degli italiani utilizzati storicamente per addestrare il modello GPT, ovvero quando si estraggono dati pubblici da Internet, siano stati elaborati su una base giuridica valida o, in effetti, se i dati utilizzati per addestrare il modello precedente sarebbe o potrebbe essere cancellato se l’utente richiedesse che i suoi dati fossero cancellati ora.

La grande domanda rimane quale base giuridica abbia OpenAI per l’elaborazione delle informazioni delle persone in primo luogo, quando l’azienda non è aperta sui dati che utilizza.

La società statunitense sembra sperare di superare le obiezioni sollevate su ciò che fa con le informazioni degli europei fornendo ora controlli limitati, che vengono applicati ai nuovi dati personali in arrivo, nella speranza che ciò risolva il problema più ampio di tutti i dati personali regionali. l’elaborazione viene eseguita storicamente.

Alla domanda sui cambiamenti in corso di implementazione, un portavoce di OpenAI ha inviato a fr.techtribune.net questa dichiarazione riassuntiva:

ChatGPT è nuovamente disponibile per i nostri utenti in Italia. Siamo felici di riaccoglierli e rimaniamo impegnati a proteggere la loro privacy. Abbiamo affrontato o chiarito questioni sollevate dal Garante, tra cui:

Apprezziamo il Garante per la collaborazione e attendiamo con impazienza il proseguimento di discussioni costruttive.

” Molti dati su Internet si riferiscono a persone, quindi le nostre informazioni sulla formazione includono anche informazioni personali. Non cerchiamo attivamente informazioni personali per addestrare i nostri modelli.

Il che si legge come un buon tentativo di eludere il requisito GDPR di avere una base legale valida per il trattamento dei dati personali che trova.

OpenAI espande ulteriormente le sue difese nella sezione (inequivocabile) intitolata “In che modo lo sviluppo di ChatGPT è conforme alle leggi sulla privacy?” – dove suggerisce di utilizzare legalmente i dati delle persone perché A) vuole che il suo chatbot sia utile; B) non ha scelta perché sono necessari molti dati per creare la tecnologia AI; e C) afferma di non voler avere un impatto negativo sull’individuo.

“Per questo motivo, basiamo la nostra raccolta e utilizzo delle informazioni personali incluse nelle Informazioni per la formazione su interessi legittimi ai sensi delle leggi sulla privacy come il GDPR”, ha anche scritto, aggiungendo: “Per adempiere ai nostri obblighi di conformità, abbiamo anche completato un valutazione dell’impatto protettivo dati per garantire che raccogliamo e utilizziamo queste informazioni in modo legale e responsabile. »

Quindi, ancora una volta, la difesa di OpenAI dalle accuse di violazione della legge sulla protezione dei dati si riduce essenzialmente a “Ma non intendiamo fare del male, agenti!” »

La descrizione offre anche testo in grassetto per sottolineare l’affermazione che questi dati non sono stati utilizzati per creare profili su individui; contattarli o fare pubblicità a loro; o provare a vendergli qualsiasi cosa. Tutto ciò è irrilevante per stabilire se l’attività di trattamento dei dati violi o meno il GDPR.

L’autorità di protezione dei dati italiana ci ha confermato che la sua indagine su questa importante questione sta proseguendo.

Nel suo aggiornamento, gli Underwriters notano inoltre che si aspettano che OpenAI soddisfi le richieste aggiuntive stabilite nell’ordine dell’11 aprile, segnalando l’obbligo di implementare un sistema di verifica dell’età (per impedire ai minori di accedere al servizio in modo più efficace); e condurre campagne di informazione locali per informare gli italiani su come trattare i loro dati e il loro diritto di opporsi al trattamento dei loro dati personali per la formazione sui suoi algoritmi.

“SA Italia [supervisory authority] riconosce i progressi compiuti da OpenAI nel conciliare i progressi tecnologici con il rispetto dei diritti individuali e auspica che l’azienda continui i suoi sforzi per rispettare le leggi europee sulla protezione dei dati”, ha aggiunto, prima di sottolineare che questo è stato solo il primo passo. in questa danza delle regole.

Pertanto, tutte le dichiarazioni di buona fede al 100% di OpenAI non sono state rigorosamente testate.