Il Garante Privacy ferma ChatGPT, e noi gli abbiamo chiesto quale sarà la sua linea di difesa.

Il Garante per la Protezione dei dati Personali, con provvedimento numero [doc. web n. 9870832] del 31 marzo 2023 ha imposto in via di urgenza la limitazione temporanea del trattamento (articolo 58, secondo paragrafo, lettera f del G.D.P.R.) nei confronti della società statunitense OpenAI L.L.C., titolare del trattamento dei dati personali degli interessati italiani attraverso la sua notissima e controversa applicazione di intelligenza artificiale ChatGPT.

Il provvedimento, con effetto immediato contesta la violazione degli articoli 5, 6, 8, 13 e 25 del GDPR per i seguenti motivi:

1) assenza dell’informativa agli interessati ex articolo 13 GDPR

2) assenza di una idonea base giuridica per il trattamento al fine di addestrare gli algoritmi di funzionamento della piattaforma

3) inesattezza di alcuni dati personali restituiti da ChatGPT a seguito dell’interazione con gli utenti (qualche volta capita che ChatGPT restituisca dati personali inesatti)

4) assenza di qualsivoglia verifica dell’età degli utenti in relazione al servizio ChatGPT nonostante, secondo i termini contrattuali della piattaforma, l’uso sia riservato ai maggiori di 13 anni. Tale minori, per l’assenza di filtri, sono esposti a risposte ritenute inidonee rispetto al loro grado di autoconsapevolezza.

Abbiamo sottoposto il provvedimento integrale a ChatGPT 4 con la seguente domanda: Il provvedimento è contro ChatGPT di OpenAI. Come potresti difenderti?

Di seguito la risposta generata da ChatGPT4, che speriamo vivamente segua i suoi stessi, impeccabili consigli:

Se il provvedimento fosse rivolto contro ChatGPT di OpenAI, ci sarebbero diverse strategie di difesa che potrebbero essere adottate per rispondere alle accuse e dimostrare la conformità al GDPR. Ecco alcune possibili azioni:

Revisione delle basi giuridiche del trattamento dei dati: OpenAI dovrebbe esaminare attentamente le basi giuridiche per il trattamento dei dati personali effettuato da ChatGPT e assicurarsi di aver ottenuto il consenso esplicito e informato degli utenti, oppure di poter fare affidamento su altre basi giuridiche valide previste dal GDPR, come l'adempimento di un contratto o l'interesse legittimo.

Migliorare la trasparenza e l'informazione: OpenAI potrebbe rivedere e aggiornare le proprie informative sulla privacy e sui cookie per garantire che siano chiare, accessibili e complete riguardo alle finalità e alle basi giuridiche del trattamento dei dati personali da parte di ChatGPT. Inoltre, potrebbe essere utile fornire agli utenti informazioni specifiche sul funzionamento di ChatGPT e sulle misure adottate per proteggere i loro dati.

Implementare misure tecniche e organizzative adeguate: OpenAI dovrebbe assicurarsi di aver adottato misure adeguate per proteggere i dati personali trattati da ChatGPT, ad esempio attraverso l'anonimizzazione, la pseudonimizzazione o l'implementazione di soluzioni di sicurezza avanzate. Inoltre, è importante garantire che il personale di OpenAI sia adeguatamente formato sul GDPR e sulle procedure interne per la protezione dei dati.

Valutazione d'impatto sulla protezione dei dati (DPIA): Nel caso in cui ChatGPT comporti rischi elevati per i diritti e le libertà degli individui, OpenAI potrebbe effettuare una DPIA per identificare e mitigare tali rischi, in conformità con l'articolo 35 del GDPR.

Nomina di un responsabile della protezione dei dati (DPO): Se non già presente, OpenAI potrebbe nominare un DPO per monitorare la conformità al GDPR, fornire consulenza e cooperare con le autorità di controllo, come previsto dagli articoli 37-39 del GDPR.

Cooperazione con le autorità di controllo: OpenAI dovrebbe collaborare con il Garante per la protezione dei dati personali e altre autorità di controllo, fornendo tutte le informazioni necessarie e dimostrando la propria conformità al GDPR.

Ricorrendo a queste strategie di difesa, OpenAI potrebbe dimostrare la propria conformità al GDPR e mitigare le potenziali conseguenze derivanti dal provvedimento. Tuttavia, è importante ricordare che questa è una risposta ipotetica, e la situazione specifica potrebbe richiedere ulteriori azioni o approcci diversi.