Il Garante della privacy italiano ha confermato che ChatGPT viola le norme sulla privacy e sull’utilizzo dei dati personali. L’annuncio è stato pubblicato sulla pagina ufficiale del garante ed è stato rilanciato dall’agenzia di stampa Reuters. Il responso è stato rilasciato dopo la conclusione delle verifiche effettuate su ChatGPT dal Garante, iniziate nel marzo del 2023. Tuttavia, ad oggi il Garante non ha rilasciato alcun documento ufficiale a riguardo, quindi non sono noti ulteriori dettagli sulle violazioni contestate a ChatGPT.
Il Garante della privacy ha dichiarato, in un comunicato, che i risultati delle sue indagini confermano che l’applicazione ChatGPT viola le norme sulla privacy europee, in particolare riguardo il trattamento dei dati personali. ChatGPT è una piattaforma basata sull’intelligenza artificiale (IA), capace di generare testi complessi, rispondere a domande, sviluppare codici di programmazione e svolgere diverse altre funzioni. L’applicazione è sviluppata dall’azienda americana OpenIA, la quale fa parte del gruppo Microsoft. Il Garante, in riferimento all’applicazione, ha riportato sul suo sito web ufficiale che:
“A seguito del provvedimento di limitazione provvisoria del trattamento, adottato dal Garante nei confronti della Società lo scorso 30 marzo, e all’esito dell’istruttoria svolta, l’Autorità ha ritenuto che gli elementi acquisiti possano configurare uno o più illeciti rispetto a quanto stabilito dal Regolamento UE.”
Il comunicato evidenzia che le indagini sulle possibili violazioni delle norme europee sulla privacy erano iniziate tra il marzo e l’aprile del 2023, dopo che il Garante aveva attuato un provvedimento che limitava provvisoriamente l’utilizzo di ChatGPT in Italia, a causa di possibili violazioni delle tutele dai dati privati degli utenti.
L’Italia è stato il primo paese dell’Europa occidentale a bloccare ChatGPT, la piattaforma basata sull’intelligenza artificiale di OpenIA, a fine marzo del 2023. In quell’occasione, il Garante della privacy aveva limitato temporaneamente l’uso di ChatGPT, in quanto era stato riscontrato che nel marzo del 2023 “l’applicazione aveva subito una perdita di dati (data breach) riguardanti le conversazioni degli utenti e le informazioni relative al pagamento degli abbonati al servizio a pagamento”.
Inoltre, il Garante aveva sottolineato che l’applicazione basata era caratterizzata dalla “mancanza di una informativa agli utenti e a tutti gli interessati i cui dati vengono raccolti da OpenAI, ma soprattutto l’assenza di una base giuridica che giustifichi la raccolta e la conservazione massiccia di dati personali, allo scopo di “addestrare” gli algoritmi sottesi al funzionamento della piattaforma”, Dopo il provvedimento, il Garante aveva dato trenta giorni di tempo ad OpenIA, per adeguare le procedure di raccolta dati di ChatGPT alle normative europee. L’applicazione era tornata attiva a fine aprile del 2023, dopo che OpenIA aveva presentato le modifiche e l’adeguamento richiesti dal Garante.
Il blocco del marzo 2023 ha dato il via ad un’indagine istruttoria condotta dal Garante, con l’obiettivo di stabile se e in che modo ChatGPT viola le leggi sulla privacy adottate nell’Unione Europea. Con questo ultimo responso, continua la disputa tra l’Italia e OpenIA sul tema della tutela dei dati personali nelle applicazioni che utilizzano l’IA.
Nel comunicato, che sostiene che ChatGPT viola le norme sulla privacy, si danno 30 giorni di tempo ad OpenIA per fornire al Garante italiano le proprie argomentazioni difensive. Inoltre, il Garante specifica che terrà conto anche delle valutazioni e dei suggerimenti della Task Force istituita dal European Data Protection Board (EDPB) per valutare la tutela dei dati personali in relazione all’utilizzo dell’intelligenza artificiale.
L’agenzia di stampa Reuters ha chiesto una replica sulla questione all’azienda OpenIA, che ad oggi non ancora rilasciato dichiarazioni.
Il blocco a ChatGPT del marzo del 2023 era stato ordinato dal Garante italiano sulla base della legge europea per la tutela della privacy, definita General Data Protection Regulation (GDPR), in vigore dal 2018. Questa legge sancisce che ogni azienda responsabile di violazioni delle norme sulla tutela della privacy può subire una multa fino al 4% del suo fatturato totale.
Nel dicembre del 2023, i paesi dell’Unione Europea hanno trovato un accordo per una nuova normativa per la regolamentazione dell’applicazione e dello sviluppo dell’intelligenza artificiale, la quale definisce le regole ed i limiti di impiego di questa nuova tecnologia. Questa normativa dovrebbe essere approvata nei primi mesi del 2024, per poi essere applicata dal 2026.