OpenAI, la celebre azienda di intelligenza artificiale, è al centro di un’inchiesta da parte dell’Unione Europea per presunte violazioni della privacy legate al suo chatbot, ChatGPT. L’autorità italiana per la protezione dei dati, il Garante, ha notificato a OpenAI le accuse e ha concesso 30 giorni di tempo per rispondere alle accuse.
Le violazioni confermate del regolamento dell’UE possono portare a multe fino a 20 milioni di euro o al 4% del fatturato globale annuo. Oltre alle sanzioni finanziarie, le autorità di protezione dei dati possono emettere ordini che richiedono cambiamenti nei processi di gestione dei dati per porre fine alle violazioni confermate. Questo potrebbe costringere OpenAI a modificare il suo modo di operare o addirittura a ritirare il servizio dagli Stati membri dell’UE che impongono cambiamenti indesiderati.
Le accuse riguardano la conformità di OpenAI al Regolamento Generale sulla Protezione dei Dati (GDPR) dell’UE. L’anno scorso, il Garante aveva emesso un divieto temporaneo sul trattamento locale dei dati da parte di ChatGPT, che aveva portato alla temporanea sospensione del chatbot. L’autorità ha sollevato preoccupazioni sulla mancanza di una base legale adeguata per la raccolta e l’elaborazione dei dati personali per la formazione degli algoritmi di ChatGPT, nonché sulla tendenza dello strumento a produrre informazioni inaccurate e sulla sicurezza dei minori.
OpenAI è stata in grado di ripristinare il servizio in Italia relativamente rapidamente, affrontando alcune delle preoccupazioni sollevate dall’autorità. Tuttavia, il Garante ha continuato l’indagine sulle presunte violazioni, giungendo ora a conclusioni preliminari che suggeriscono una violazione della legge dell’UE.
Una delle principali questioni in discussione riguarda la base legale che OpenAI sostiene per il trattamento dei dati personali per addestrare i suoi modelli di intelligenza artificiale. ChatGPT è stato sviluppato utilizzando una vasta quantità di dati raccolti dal web, compresi i dati personali delle persone. Nell’UE, il trattamento dei dati personali richiede una base legale valida, e il GDPR elenca sei possibili basi giuridiche. OpenAI ha inizialmente affermato la “esecuzione di un contratto”, ma il Garante l’ha esortata a rimuovere tale riferimento. Rimaste solo due opzioni: consenso o interessi legittimi.
Poiché OpenAI non ha cercato il consenso degli utenti web i cui dati ha elaborato, sembra difficile sostenere che abbia ottenuto il permesso degli europei per il trattamento dei dati. La base legale degli “interessi legittimi” richiede inoltre al processore di dati di consentire agli utenti di opporsi e fermare il trattamento delle loro informazioni. Come OpenAI potrebbe attuare ciò nel contesto di un chatbot è ancora un’incognita.
Il Garante ha dichiarato che l’indagine non è ancora conclusa e attende la risposta di OpenAI prima di prendere una decisione definitiva. Nel frattempo, OpenAI sta cercando di mitigare i rischi regolatori in tutta l’UE stabilendo una base fisica in Irlanda. Tuttavia, la situazione è complessa, e le indagini potrebbero continuare anche in altri paesi dell’UE. La cooperazione tra le autorità di protezione dei dati europee attraverso un gruppo di lavoro potrebbe portare a decisioni più armonizzate, ma la conclusione finale rimane incerta.
Il futuro di ChatGPT in Europa è ora in bilico, e l’indagine rappresenta un ulteriore capitolo nella crescente attenzione dei regolatori sulla privacy e l’etica nell’uso dell’intelligenza artificiale.