ChatGPT: Il garante italiano per la protezione dei dati ha stabilito cosa deve fare OpenAI per revocare L’ordine emesso alla fine del mese scorso, quando ha affermato di sospettare che il servizio di chatbot AI violasse il regolamento generale sulla protezione dei dati (GDPR) dell’UE. e ha ordinato alla società con sede negli Stati Uniti di interrompere l’elaborazione dei dati dei locali.
Il GDPR dell’UE si applica ogni volta che i dati personali vengono elaborati e non c’è dubbio che grandi modelli linguistici come il GPT di OpenAI abbiano recuperato grandi quantità di materiale dall’Internet pubblico per addestrare i loro modelli di intelligenza artificiale generativa per essere in grado di rispondere in modo umano. come un modo per i prompt del linguaggio naturale.
OpenAI ha risposto all’ordine dell’autorità italiana per la protezione dei dati personali bloccando rapidamente l’accesso a ChatGPT . In una breve dichiarazione pubblica, il CEO di OpenAI Sam Altman ha anche twittato la conferma di aver cessato di offrire il servizio in Italia, facendolo insieme al solito avvertimento di Big Tech secondo cui “pensa [s] che stiamo seguendo tutte le leggi sulla privacy”.
Il Garante italiano è evidentemente di diverso avviso.
ChatGPT: le condizioni del Garante
La versione breve della nuova richiesta di conformità del regolatore è questa: OpenAI dovrà diventare trasparente e pubblicare un avviso informativo che dettaglia il suo trattamento dei dati; deve adottare immediatamente il limite dell’età per impedire ai minori di accedere alla tecnologia e passare a misure di verifica dell’età più solide; deve chiarire la base giuridica che rivendica per il trattamento dei dati delle persone per addestrare la sua IA (e non può fare affidamento sull’esecuzione di un contratto, il che significa che deve scegliere tra consenso o interessi legittimi); deve anche fornire agli utenti (e non utenti) modalità per esercitare i diritti sui propri dati personali, inclusa la richiesta di correzioni della disinformazione generata su di loro da ChatGPT (oppure la cancellazione dei propri dati); deve inoltre fornire agli utenti la possibilità di opporsi al trattamento dei loro dati da parte di OpenAI per l’addestramento dei suoi algoritmi;
Il DPA ha dato a OpenAI una scadenza – il 30 aprile – per portare a termine la maggior parte di ciò.
C’è anche un po ‘più di tempo per il requisito aggiuntivo di migrare dalla tecnologia di sicurezza dei bambini di controllo dell’età immediatamente richiesta (ma debole) a un sistema di verifica dell’età più difficile da aggirare. OpenAI ha avuto tempo fino al 31 maggio per presentare un piano per l’implementazione della tecnologia di verifica dell’età per filtrare gli utenti di età inferiore ai 13 anni (e gli utenti di età compresa tra 13 e 18 anni che non avevano ottenuto il consenso dei genitori) – con la scadenza per l’adozione di quel sistema più robusto al 30 settembre.
Il comunicato
In un comunicato stampa che descrive in dettaglio cosa deve fare OpenAI per revocare la sospensione temporanea su ChatGPT, ordinata due settimane fa quando l’autorità di regolamentazione ha annunciato che stava avviando un’indagine formale su sospette violazioni del GDPR, scrive:
OpenAI dovrà ottemperare entro il 30 aprile alle misure dettate dalla SA italiana in materia di trasparenza, diritto degli interessati — utenti e non utenti compresi — e base giuridica del trattamento per la formazione algoritmica affidata agli utenti ‘ dati. Solo in tal caso la SA italiana revocherà l’ordinanza che poneva una limitazione temporanea al trattamento dei dati degli utenti italiani, venendo meno l’urgenza alla base dell’ordinanza, in modo che ChatGPT sia nuovamente disponibile dall’Italia.
Entrando più in dettaglio su ciascuna delle “misure concrete” richieste, il DPA stabilisce che l’informativa obbligatoria deve descrivere “le modalità e la logica del trattamento dei dati richiesti per il funzionamento di ChatGPT insieme ai diritti concessi agli interessati (utenti e non utenti),” aggiungendo che “dovrà essere facilmente accessibile e collocato in modo tale da poter essere letto prima della registrazione al servizio”.
l’altra condizione
Agli utenti dall’Italia deve essere presentato questo avviso prima della registrazione e devono anche confermare di avere più di 18 anni, richiede inoltre. Mentre gli utenti che si sono registrati prima dell’ordine di arresto del trattamento dei dati del DPA dovranno visualizzare l’avviso quando accedono al servizio riattivato e devono anche essere spinti attraverso un limite di età per filtrare gli utenti minorenni.
Sulla questione della base giuridica legata al trattamento dei dati delle persone da parte di OpenAI per l’addestramento dei suoi algoritmi, il Garante ha ristretto a due le opzioni disponibili: consenso o legittimo interesse, stabilendo che deve rimuovere immediatamente ogni riferimento all’esecuzione di un contratto “in linea con il principio di responsabilità [del GDPR].” ( La politica sulla privacy di OpenAI attualmente cita tutti e tre i motivi, ma sembra basarsi maggiormente sull’esecuzione di un contratto per la fornitura di servizi come ChatGPT.)
“Ciò non pregiudicherà l’esercizio dei poteri investigativi ed esecutivi della SA a tale riguardo”, aggiunge, confermando di sospendere il giudizio sulla possibilità che i due motivi rimanenti possano essere utilizzati legalmente anche per gli scopi di OpenAI.
Inoltre, il GDPR fornisce agli interessati una serie di diritti di accesso, compreso il diritto alla correzione o alla cancellazione dei propri dati personali. Questo è il motivo per cui il regolatore italiano ha anche richiesto che OpenAI implementi strumenti in modo che gli interessati – il che significa sia utenti che non utenti – possano esercitare i propri diritti e ottenere la rettifica delle falsità che il chatbot genera su di loro. Oppure, se la correzione delle bugie generate dall’intelligenza artificiale su individui nominati risulta “tecnicamente irrealizzabile”, il DPA stabilisce che l’azienda deve fornire un modo per eliminare i propri dati personali.