Il provvedimento del Garante su ChatGpt è "anticipatorio" di una nuova epoca

In data 30 marzo 2023, il Presidente dell'Autorità italiana garante per la protezione dei dati personali, avvalendosi dei poteri d’urgenza previsti dall’art.5.comma 8 del Regolamento 1/200058 e di quanto disposto dall’art.58 par. 2, lettera f) del GDPR, ha adottato un provvedimento di urgenza [doc. web 9870832] nei confronti della società OpenAi quale società sviluppatrice e gestrice di ChatGPT, col quale ha disposto con effetto immediato la limitazione provvisoria del trattamento di dati di utenti italiani.

Il provvedimento è conseguente all’allarme scattato in seguito alla pubblicazione di dati sensibili degli utenti avvenuto a causa di un bug contenuto in una libreria open source usata da OpenAi per il servizio di ChatGPT. 

Il provvedimento dovrà essere ratificato dal Collegio nella prima seduta utile e sembra basarsi su due motivi diversi:

- il primo riguarda l'assenza di un'adeguata informativa sui trattamenti dei dati personali degli interessati, come dimostrerebbe il fatto che le informazioni fornite da ChatGPT “non sempre corrispondono al dato reale”;

- il secondo attiene invece al fatto che nel sistema ChatGPT manca la previsione di “qualsivoglia verifica dell’età degli utenti dei servizi forniti da ChatGPT” malgrado che i termini di uso del servizio specifichino che esso “è riservato a soggetti che abbiano compiuto almeno 13 anni”.

In base a questi due motivi, il primo dei quali solo affermato ma non chiaramente motivato stante la urgenza del provvedimento che non ha consentito, si direbbe, una istruttoria adeguata, il Presidente del Garante, avvalendosi appunto dei suoi poteri di urgenza, ha imposto “la limitazione dei trattamenti dei dati personali degli interessati stabiliti sul territorio italiano”.

Poiché, come è ben noto, ChatGPT utilizza un sistema di IA per il suo funzionamento, con particolare riguardo all’analisi dei dati necessaria per interloquire con gli utilizzatori della Chat, il provvedimento del Presidente del Garante ha attirato una singolare ma spiegabile attenzione, compresa la ricerca, non nuova in casi come questi, dell’eventuale esistenza di modalità idonee ad aggirare l’eventuale limitazione dell’uso di questa Chat da parte di interessati stabiliti in Italia.

Qualche riflessione sul tema

Sul secondo punto ha fatto molto rumore fra alcune categorie di addetti ai lavori la riflessione che comunque con un adeguato uso di reti VPN la Chat continua ad essere utilizzabile anche da stabilimenti situati in territorio italiano malgrado eventuali, e più che prevedibili, modalità di limitazione dell’uso adottate da OpenAI per conformarsi alla decisione del Garante.

Sul primo, e certamente più importante, punto invece la discussione si è rapidamente concentrata su due piani distinti ma collegati.

Da un lato molti giuristi hanno analizzato il provvedimento dal punto di vista giuridico sia con riguardo alle motivazioni adottate e alle violazioni affermate che con riguardo alla chiarezza e persuasività delle argomentazioni esposte. Da questo punto di vista non è mancato chi ha lamentato una certa assertività delle affermazioni fatte in ordine alle violazioni che si dichiara di aver riscontrato; assertività che certamente potrà essere corretta e superata a valle del completamento della fase istruttoria dopo le risposte che eventualmente OpenAI vorrà fornire, ma che allo stato sono difficilmente confutabili.

Sul secondo piano invece le sottolineature tecnologiche relative alla facile aggirabilità del provvedimento appaiono francamente poco interessanti perché ben note e strettamente connesse agli aspetti propri della rete digitale e del suo uso.

Ciò detto, e in attesa dello sviluppo della vicenda e, in particolare, dell’auspicabile contradditorio tra il Garante e OpenAI, vale la pena di osservare che forse, anche come conseguenza della suggestione provocata dal fatto che, sia pure indirettamente, il provvedimento coinvolge anche la nuova tecnologia della IA, merita richiamare l’attenzione su quello che a me pare essere il punto centrale del provvedimento, e cioè la mancanza di una adeguata informazione che renda agevole agli interessati far valere i loro diritti, a cominciare da un uso consapevole e responsabile della Chat.

È questo, del resto, anche il profilo che lega il motivo generale della mancanza di una informativa adeguata e quello più specifico della mancanza di una attenzione adeguata all’età di chi fa uso della Chat. Da questo punto di vista, il provvedimento in questione è assolutamente importante e meritevole della massima valorizzazione.

E' possibile proseguire la lettura di questa interessante trattazione di Francesco Pizzetti - Professore ordinario di diritto costituzionale a Torino e docente alla Luiss. Presidente Autorita' Garante per la protezione dei dati personali dal 18 aprile 2005 al 17 giugno 2012 - al link seguente