ChatGPT violerebbe il diritto all’esattezza del dato e il diritto alla rettifica.

Non solo: il modello di linguaggio non offre la possibilità di sapere quali siano i dati sull’interessato che ha processato e come ne sia venuto a “conoscenza”.

OpenAI avrebbe dovuto trovare un modo di rendere trasparente almeno questi elementi per rendersi conforme al GDPR, dopo che le erano stati inviati messaggi forti: il blocco temporaneo del trattamento da parte del Garante italiano nell’aprile 2023 e la costituzione di una task force europea sotto l’egida dell’EDPB.

In principio fu il Garante italiano

Esattamente un anno fa l’Autorità Garante per il Trattamento dei dati personali prese una decisione forte e controcorrente: imporre un blocco temporaneo del trattamento dei dati ad OpenAI sul territorio italiano.

Seguì un mese di confronto febbrile, in seguito al quale OpenAI recepì le indicazioni sulle violazioni più macroscopiche (assoluta assenza di privacy policy e di consenso informato nelle T&C).

Il provvedimento venne rimosso a maggio 2024 in seguito all’interlocuzione con OpenAI ed all’instaurazione della task force europea.

Attualmente l’istruttoria è ancora in corso perché il procedimento sanzionatorio è stato comunque aperto: a questo punto è difficile che la sanzione sarà “lieve”.

Il dott. Agostino Ghiglia, membro del Collegio dell’Autorità Garante, commenta la vicenda in questi termini sul proprio profilo Linkedin: “Ci auguriamo che la task force promossa dall’EDPB nel 2023 giunga presto a qualche conclusione perché come dice Maartje de Graaf, avvocato di Noyb: la tecnologia deve seguire le leggi non il contrario… Giusto no!?”.

Va detto che difficilmente l’affermazione di Sam Altman, Ceo di OpenAI, per cui è impossibile rettificare i dati degli interessati, può essere stata pronunciata prima di quando è arrivata alle “orecchie” di noyb.eu: in altri termini, è verosimile che OpenAI, in precedenza, non abbia giocato a carte scoperte (con conseguente valutazione della sua condotta nel contesto sanzionatorio).

E l’articolo 22 del GDPR?

Se è vero che Open AI non è in grado di rettificare i dati sugli interessati, un’altra violazione si staglia all’orizzonte per ChatGPT: il divieto di essere sottoposti a processo decisionale automatizzato.

Merita riportare il testo dell’articolo 22 del GDPR, rubricato “Processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione”.

“1. L’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona.

2. Il paragrafo 1 non si applica nel caso in cui la decisione:

a) sia necessaria per la conclusione o l’esecuzione di un contratto tra l’interessato e un titolare del trattamento;

b) sia autorizzata dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento, che precisa altresì misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato;

c) si basi sul consenso esplicito dell’interessato.

3. Nei casi di cui al paragrafo 2, lettere a) e c), il titolare del trattamento attua misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato, almeno il diritto di ottenere l’intervento umano da parte del titolare del trattamento, di esprimere la propria opinione e di contestare la decisione.

4. Le decisioni di cui al paragrafo 2 non si basano sulle categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, a meno che non sia d’applicazione l’articolo 9, paragrafo 2, lettere a) o g), e non siano in vigore misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato”.

Nel caso di ChatGPT si assiste ad un webscraping indiscriminato che determina l’impossibilità per gli interessati di prestare qualunque consenso sulla gestione dei propri dati.

L’impossibilità di evitare “allucinazioni”, poi, imporrebbe a maggior ragione una possibilità di rettifica, che tecnicamente risulta, a sua volta, impossibile.

In altri termini, dato che queste problematiche non sono tecnicamente risolvibili ad oggi, il LLM di ChatGPT potrebbe essere del tutto illegale nell’Unione europea.

Conclusioni

Sullo sfondo di questa vicenda si stagliano numerose questioni.

Prima su tutte l’assoluta assenza di scrupoli nell’impostazione del modello di ChatGPT, di certo pensato per fare business, ma non per essere GDPR compliant.

L’arretratezza dell’Unione europea in materia di AI suggerisce che, sul piano politico, si voglia spostare la guerra industriale dal mercato al piano della tutela dei diritti, dove OpenAI ha oggettivamente più torto che ragione, almeno nell’UE.

ChatGPT è stata immessa sul mercato senza mezze misure, mentre ora, con l’AI Act, sono previsti i sandboxes per testare i modelli senza ledere i diritti degli interessati.

In conclusione, chi pensava che il GDPRT avesse già detto tutto e che ora la palla fosse passata a DSA e AI Act, ha preso un solenne granchio: la normativa va letta complessivamente, ma il GDPR resta il fratello maggiore.