A seguito di una violazione di dati (c.d. data breach) che ha riguardato l’applicativo ChatGPT (acronimo di Generative Pretrained Transformer), il Garante per la protezione dei dati personali, ossia l’autorità amministrativa indipendente istituita dalla legge 31 dicembre 1996, n. 675, c.d. legge sulla privacy, con il compito di verificare il rispetto della normativa di settore, si è pronunciata il 30 marzo scorso sul rispetto da parte dello stesso della disciplina relativa al trattamento dei dati personali, contenuta in primis nel Regolamento del Parlamento europeo e del Consiglio del 27 aprile 2016, n. 679, c.d. Regolamento generale sulla protezione dei dati (GDPR nel prosieguo).

Sviluppata e gestita dalla società americana OpenAI, la chatbot costituisce uno dei più noti software di intelligenza artificiale relazionale che, avvalendosi di algoritmi di apprendimento automatico, è in grado di generare risposte simili a quelle umane nell’ambito di una conversazione con l’utente.

All’esito del provvedimento adottato in via d’urgenza, avendo riscontrato alcune violazioni del GDPR, il Garante ha imposto la limitazione del trattamento dei dati personali degli utenti italiani ad OpenAI.

Le violazioni alla normativa di settore hanno riguardato, anzitutto, la mancanza di una informativa sul trattamento dei dati personali rivolta agli utenti ed a tutti gli interessati i cui dati vengono raccolti da OpenAI.

Volendo procedere con ordine, è utile rammentare che a mente dell’articolo 4 del GDPR, che contiene le definizioni utili per orientarsi nella materia della privacy, l’interessato è la persona fisica, identificata o identificabile, cui si riferiscono i dati personali oggetto del trattamento.

Per trattamento, o processing, poi, si intende qualsiasi operazione o insieme di operazioni eseguite su dati personali o su insiemi di dati personali, anche con mezzi automatizzati, quali raccolta, registrazione, organizzazione, strutturazione, conservazione, adattamento o modifica, recupero, consultazione, utilizzo, divulgazione mediante trasmissione, diffusione o messa a disposizione in altro modo, allineamento o combinazione, restrizione, cancellazione o distruzione.

Con riferimento a queste attività, in applicazione dei principi di cui all’articolo 5 del GDPR, specie di quelli di trasparenza e correttezza, il titolare del trattamento deve fornire agli interessati, tra le altre cose, le informazioni richieste dagli articoli 12 e seguenti del GDPR.

Questo avviene attraverso l’informativa. Essa consiste in una comunicazione rivolta all'interessato, con cui quest’ultimo viene reso edotto delle finalità e delle modalità dei trattamenti che avranno ad oggetto i suoi dati personali. Inoltre, essa consente all'interessato di esprimere, qualora richiesto come base giuridica del trattamento, un valido consenso allo stesso.

Come si può agilmente intuire, l’informativa riveste un ruolo centrale nell’assicurare la concreta e corretta applicazione dei principi ispiratori del GDPR, tra cui rientrano quelli sopra citati; per comprendere l’importanza attribuita loro dal legislatore, basti richiamare il concetto della accountability, cioè della responsabilizzazione del titolare del trattamento, chiamato dall’articolo 5 ad essere in grado di comprovare il rispetto dei principi che disciplinano la materia.

In seconda battuta, il Garante ha rilevato l'assenza di una base giuridica che giustifichi la raccolta e la conservazione massiccia di dati personali allo scopo di addestrare gli algoritmi sottesi al funzionamento della piattaforma.

Al fine di comprendere le concrete implicazioni di quanto appena detto, occorre tener presente che le informazioni immesse nell’applicativo vengono utilizzare, oltre che, come detto, per generare risposte nell’ambito di una conversazione, anche per continuare ad alimentare l’algoritmo che vi sta alla base; ciò posto, si pensi al caso di un adolescente utente che, cercando nell’app un supporto psicologico o un amico virtuale con cui condividere gli avvenimenti della propria giovinezza che lo impensieriscono, vi introduca informazioni delicate, magari dati anagrafici di persone reali, che vengono poi riutilizzare dall’algoritmo per allenarsi.

Ancora, le informazioni restituite dal software non corrispondono sempre al dato reale: ciò in quanto la maggior parte delle intelligenze artificiali sono addestrate partendo da fonti aperte, proprio per questo assoggettate a controlli meno rigorosi circa la veridicità delle informazioni in esse contenute. Si determina così un trattamento di dati inesatto.

Infine, sebbene il servizio si rivolga, stando ai termini pubblicati da OpenAI, a soggetti di età superiore ai tredici anni, è stato evidenziato che l’assenza di filtri per la verifica dell’età degli utenti, ovvero di altre misure come ad esempio il blocco dell’app di fronte a dichiarazioni in cui l’utente espliciti la propria minore età, espone i minori a risposte assolutamente inidonee rispetto al loro grado di sviluppo e coscienza.

Per vero, non è la prima volta che il Garante si pronuncia sulla specifica tematica: alle medesime conclusioni, infatti, è addivenuto con riferimento ad applicativi quali TikTok e, soprattutto, dell’altra chatbot Replika. Questa, grazie all’intelligenza artificiale, è in grado di generare un amico immaginario virtuale che, come si può leggere nella descrizione dell’app stessa, può aiutare l’utente a comprendere i propri pensieri e sentimenti, a tenere traccia dei propri stati d’animo, a calmare l’ansia, a gestire lo stress, a socializzare e trovare l'amore. Replika, al pari di ChatGPT, non è dotata di meccanismi in grado di distinguere tra l’utente maggiorenne e minorenne considerato che non c’è la possibilità di verificarne l’età.

Alla luce di quanto finora rilevato, il Garante ha ritenuto necessario disporre con effetto immediato, in attesa del completamento dell’istruttoria, la limitazione provvisoria del trattamento di tutti i dati personali degli interessati stabiliti nel territorio nazionale ad OpenAI che, dal canto suo, ha deciso di sospendere l’erogazione del servizio.

Al netto del dibattito che ne è derivato e che ha assunto, alle volte, toni oscurantisti, essendo ChatGPT uno dei primi e, ad oggi, più diffusi servizi di intelligenza artificiale generativa ad affermarsi nel panorama nostrano, è bene sottolineare che la decisione del Garante mira a garantire la corretta applicazione del GDPR, di cui alcuni precetti sono stati effettivamente violati dal servizio offerto da OpenAI, ed a salvaguardare i principi ed i diritti che ne costituiscono il fondamento ed il fine ultimo di tutela.

In ragione di ciò, sin da subito la società statunitense si è mostrata intenzionata a collaborare con l’autorità e a adeguarsi alla disciplina normativa, recependo le prescrizioni all’uopo fornite dal Garante, sì da rendere nuovamente accessibile ChatGPT agli utenti italiani.

Così OpenAI ha: ampliato l’informativa relativa al trattamento dei dati personali e l’ha resa accessibile già nella maschera di registrazione al servizio; pubblicato sul proprio sito un’informativa che illustra quali dati personali sono stati trattati, e con quali modalità, per addestrare gli algoritmi e rammentato il diritto di opporsi a tale tipo di trattamento, tramite un modulo online di facile accessibilità e compilazione; dato possibilità agli interessati di cancellare le informazioni che li riguardano se ritenute errate; inserito nella homepage degli utenti italiani già registrati al servizio un pulsante per accedere al servizio, dichiarando di essere maggiorenni o ultratredicenni con consenso dei genitori; inserito nella maschera di registrazione al servizio dei nuovi utenti la richiesta della data di nascita dell’utente, prevedendo un blocco per gli infratredicenni e per quelli ultratredicenni, ma ancora minorenni, richiedendo la conferma del consenso dei genitori all’uso del servizio.

Tanto accertato, il Garante, nelle more del completamento dell’attività istruttoria, ha reso nuovamente accessibile ChatGPT agli utenti italiani, auspicando da parte di OpenAI la realizzazione di due ulteriori accorgimenti – consistenti nell’implementazione del sistema di verifica dell’età e nella pianificazione e realizzazione di una campagna di comunicazione finalizzata a informare tutti gli italiani di quanto accaduto e della possibilità di opporsi all’utilizzo dei propri dati personali ai fini dell’addestramento degli algoritmi - a corredo di quelli appena esposti.

In conclusione, il risultato raggiunto non è affatto di poco conto in quanto sintomatico della possibilità di coniugare l’avanzamento tecnologico con il rispetto dei diritti delle persone.

Non è un caso, oltretutto, che la vicenda abbia valicato i confini nazionali: infatti, non più tardi di un paio di settimane dall’adozione del provvedimento limitativo da parte del Garante italiano, si è tenuta a Bruxelles la riunione dello European Data Protection Board (EDBP), nell’ambito della quale le omologhe autorità europee hanno discusso del caso italiano, determinandosi per l’istituzione di una task force con l’obiettivo di promuovere la cooperazione e lo scambio di informazioni su eventuali iniziative delle autorità di protezione dati per l'applicazione del Regolamento.

Ciò sposta il dibattitto su un piano di ben più ampio respiro: la tematica, infatti, riguardando tutti gli operatori che si trovano nel territorio dell’Unione europea, abbraccia l’intero spazio digitale europeo, con le conseguenti esigenze di uniformità di disciplina, tutela e interpretazione che ne derivano, di cui i garanti europei hanno dimostrato di avere piena consapevolezza.