La privacy come diritto fondamentale nell’era dell’Intelligenza Artificiale

In Italia e in Europa il tema del rapporto tra il diritto fondamentale alla protezione dei dati personali e i sistemi che offrono servizi basati sull’Intelligenza Artificiale è esploso in modo fragoroso con la vicenda legata ai provvedimenti del Garante italiano relativi a ChatGPT e alle violazioni ravvisate dal Provvedimento del 30 marzo 2023, essenzialmente nella carenza di adeguata informativa agli utenti del servizio circa l’uso e il trattamento di dati personali dell’utente o di terzi e circa le modalità di accesso a tali dati, nonché alla possibilità di esercitare l’eventuale diritto di rettifica o di richiesta di cancellazione ove ricorrano le ipotesi previste a tali fini dal GDPR.

Il secondo importante rilievo alla base del provvedimento del Garante è stato, come è noto, l’assenza di ogni informativa circa le misure adottate da ChatGPT per verificare l’età degli utenti al fine di rispettare in concreto le regole a protezione dei minori disposte dal GDPR e dal Codice Privacy italiano come modificato dopo l’entrata in vigore del Regolamento UE.

A seguito del suddetto provvedimento, adottato in via di urgenza dal Presidente Stanzione e poi ratificato dal Collegio, la società statunitense OpenAI ha fatto sapere di aver adottato sulla propria piattaforma ChatGPT alcune misure orientate a garantire l’accesso degli utenti alle informazioni richieste e di aver dato avvio anche alle iniziative necessarie per corrispondere anche alle altre richieste del Garante, per cui l’Autorità ha disposto la sospensione del provvedimento e stabilito la rinnovata possibilità per OpenAI di assicurare l’accessibilità a ChatGPT anche nel territorio italiano, riservandosi ovviamente di verificare successivamente le ulteriori misure richieste dal Provvedimento in questione.

Attività ispettive anche in altri Paesi

La risonanza della iniziativa del Garante italiano è stata tanto elevata che praticamente tutte le Autorità degli altri Paesi dell’UE hanno avviato attività ispettive sul funzionamento della Chat e dei servizi offerti nel territorio di loro competenza e in data 13 aprile lo European Data Protection Board ha reso noto di aver istituito una task force dedicata a promuovere la cooperazione e scambiare informazioni su possibili misure adottate o da adottare da parte delle Autorità di protezione dati rispetto ai servizi offerti da ChatGPT e alle sue modalità di funzionamento. Della nota vicenda, si osserva che l’episodio in questione è ricco di implicazioni che solo in parte sono già state messe a fuoco dalla pur accesa discussione che si è svolta in Italia e in UE sul provvedimento del Garante italiano e gli sviluppi successivi. 

Qui merita accentare l’attenzione sul fatto che, come è stato subito rilevato, il provvedimento del Garante ha di fatto sindacato il funzionamento di ChatGPT e del sistema di intelligenza artificiale che ne è alla base alla luce del GDPR, dettando poi obblighi basati sul rispetto di alcuni capisaldi della protezione dei dati personali.

Proprio questo aspetto infatti apre il tema del rapporto tra sistemi di AI e la tutela del diritto fondamentale alla protezione dei dati personali affermato dalla Carta dei diritti fondamentali della UE e regolato dal GDPR.

Una domanda di fondo

La domanda di fondo che la vicenda pone è infatti se il funzionamento di una chat o altra applicazione basata sulla AI possa coinvolgere il GDPR che riguarda la tutela del diritto alla protezione dei dati personali, e non riguarda invece direttamente le regole da rispettare rispetto al funzionamento nella UE di applicazioni basate su sistemi di intelligenza artificiale.

Il tema è assai interessante perché muove da un provvedimento concreto adottato da un’Autorità proprio rispetto ad alcuni aspetti molto importanti del funzionamento del servizio offerto, che riguarda anche l’eventuale utilizzazione dei dati personali.

Peraltro sarebbe troppo semplice e sicuramente sbagliato obiettare appunto che la AI e la ChatGPT richiedono per il loro funzionamento l’utilizzazione di grandi quantità di dati, essendo evidente che il loro core business non è l’uso dei dati come tale né il loro trattamento ma piuttosto corrispondere alle richieste formulate dagli utenti del servizio, utilizzando a tal fine i dati a loro disposizione, compresi, si può supporre, anche quelli eventualmente relativi a persone identificate o identificabili.

E' possibile proseguire la lettura di questa interessante e importante disamina a questo link.

L'articolo è di Franco Pizzetti, Presidente emerito del Garante per la protezione dei dati personali.