L’European Data Protection Board ha istituito un anno fa la ChatGPT Taskforce per stabilire se la gestione dei dati personali da parte di OpenAI fosse conforme alle leggi del GDPR. Ora è stato pubblicato un rapporto che illustra i risultati preliminari.
L’UE è estremamente severa su come vengono utilizzati i dati personali dei suoi cittadini e le norme del GDPR definiscono esplicitamente cosa le aziende possono o non possono fare con questi dati.
Le aziende di AI come OpenAI rispettano queste leggi quando utilizzano i dati per l’addestramento e il funzionamento dei loro modelli? A un anno dall’inizio del lavoro della ChatGPT Taskforce, la risposta breve è: forse, forse no.
Ilrapporto dice che sta pubblicando i risultati preliminari e che “non è ancora possibile fornire una descrizione completa dei risultati”
Le tre aree principali su cui la taskforce ha indagato sono la legalità, l’equità e l’accuratezza.
Legalità
Per creare i suoi modelli, OpenAI ha raccolto dati pubblici, li ha filtrati, li ha utilizzati per addestrare i suoi modelli e continua ad addestrarli con le richieste degli utenti. È legale in Europa?
Il web scraping di OpenAI raccoglie inevitabilmente dati personali. Il GDPR dice che è possibile utilizzare queste informazioni solo in presenza di un interesse legittimo e tenendo conto delle ragionevoli aspettative che le persone hanno sull’utilizzo dei loro dati.
OpenAI afferma che i suoi modelli sono conformi all’articolo 6, paragrafo 1, lettera f) del GDPR, che dice in parte che l’uso dei dati personali è legale quando “il trattamento è necessario ai fini degli interessi legittimi perseguiti dal responsabile del trattamento o da una terza parte”
Il rapporto afferma che “dovrebbero essere adottate misure per cancellare o anonimizzare i dati personali raccolti tramite web scraping prima della fase di formazione”
OpenAI afferma di aver adottato misure di salvaguardia dei dati personali, ma la task force afferma che “l’onere della prova per dimostrare l’efficacia di tali misure spetta a OpenAI”
Correttezza
Quando i cittadini dell’UE interagiscono con le aziende si aspettano che i loro dati personali vengano gestiti in modo corretto.
È giusto che ChatGPT abbia una clausola nei Termini e Condizioni che dice che gli utenti sono responsabili dei loro input in chat? Il GDPR dice che un’organizzazione non può trasferire la responsabilità della conformità al GDPR all’utente.
Il rapporto afferma che “se ChatGPT viene reso disponibile al pubblico, si deve presumere che prima o poi gli individui inseriranno dati personali. Se questi dati diventano parte del modello di dati e, ad esempio, vengono condivisi con chiunque faccia una domanda specifica, OpenAI rimane responsabile della conformità al GDPR e non dovrebbe sostenere che l’inserimento di alcuni dati personali era vietato in primo luogo”
Il rapporto conclude che OpenAI deve essere trasparente nell’informare esplicitamente gli utenti che i loro input possono essere utilizzati per scopi di formazione.
Precisione
I modelli di AI hanno le allucinazioni e ChatGPT non fa eccezione. Quando non conosce la risposta, a volte si inventa qualcosa. Quando fornisce dati errati sulle persone, ChatGPT viola il requisito di accuratezza dei dati personali previsto dal GDPR.
Il rapporto osserva che “è probabile che i risultati forniti da ChatGPT vengano considerati dagli utenti finali come accurati, comprese le informazioni relative alle persone, a prescindere dalla loro effettiva accuratezza”
Anche se ChatGPT avverte gli utenti che a volte commette degli errori, la task force afferma che ciò “non è sufficiente a rispettare il principio di accuratezza dei dati”
OpenAI sta affrontando una causa legale perché ChatGPT continua a sbagliare la data di nascita di un personaggio pubblico di rilievo.
Nella sua difesa, l’azienda ha dichiarato che il problema non può essere risolto e che le persone dovrebbero chiedere di cancellare tutti i riferimenti a tali personaggi dal modello.
Lo scorso settembre, OpenAI ha creato un’entità legale irlandese a Dublino, che ora rientra nell’ambito della Commissione irlandese per la protezione dei dati (DPC). Questo la mette al riparo dalle contestazioni del GDPR dei singoli stati dell’UE.
La ChatGPT Taskforce formulerà conclusioni legalmente vincolanti nel suo prossimo rapporto? OpenAI potrebbe conformarsi, anche se lo volesse?
Nella loro forma attuale, ChatGPT e altri modelli potrebbero non essere mai in grado di rispettare completamente le norme sulla privacy scritte prima dell’avvento dell’IA.
