L'European Data Protection Board ha istituito un anno fa la ChatGPT Taskforce per stabilire se il trattamento dei dati personali da parte di OpenAI fosse conforme alle leggi del GDPR. Ora è stato pubblicato un rapporto che illustra i risultati preliminari.
L'UE è estremamente severa su come vengono utilizzati i dati personali dei suoi cittadini, con le regole del GDPR che definiscono esplicitamente cosa le aziende possono o non possono fare con questi dati.
Le aziende di IA come OpenAI rispettano queste leggi quando usano i dati per addestrare e far funzionare i loro modelli? A un anno dall'inizio dei lavori della ChatGPT Taskforce, la risposta breve è: forse, forse no.
Il rapporto afferma di aver pubblicato risultati preliminari e che "non è ancora possibile fornire una descrizione completa dei risultati".
Le tre aree principali su cui la task force ha indagato sono la legalità, l'equità e l'accuratezza.
Legalità
Per creare i suoi modelli, OpenAI ha raccolto dati pubblici, li ha filtrati, li ha usati per addestrare i suoi modelli e continua ad addestrarli con le richieste degli utenti. È legale in Europa?
Il web scraping di OpenAI raccoglie inevitabilmente dati personali. Il GDPR dice che è possibile utilizzare queste informazioni solo in presenza di un interesse legittimo e tenendo conto delle ragionevoli aspettative che le persone hanno sull'utilizzo dei loro dati.
OpenAI afferma che i suoi modelli sono conformi all'articolo 6, paragrafo 1, lettera f) del GDPR, che afferma in parte che l'uso dei dati personali è legale quando "il trattamento è necessario ai fini degli interessi legittimi perseguiti dal responsabile del trattamento o da una terza parte".
Il rapporto afferma che "dovrebbero essere adottate misure per cancellare o rendere anonimi i dati personali raccolti tramite web scraping prima della fase di formazione".
OpenAI afferma di aver adottato misure di salvaguardia dei dati personali, ma la task force afferma che "l'onere della prova per dimostrare l'efficacia di tali misure spetta a OpenAI".
Equità
Quando i cittadini dell'UE interagiscono con le aziende, si aspettano che i loro dati personali siano trattati in modo corretto.
È giusto che ChatGPT abbia una clausola nei Termini e Condizioni che dice che gli utenti sono responsabili dei loro input in chat? Il GDPR dice che un'organizzazione non può trasferire la responsabilità della conformità al GDPR all'utente.
Il rapporto afferma che se "ChatGPT è reso disponibile al pubblico, si dovrebbe presumere che gli individui prima o poi inseriranno dati personali. Se tali input diventano poi parte del modello di dati e, ad esempio, vengono condivisi con chiunque faccia una domanda specifica, OpenAI rimane responsabile del rispetto del GDPR e non dovrebbe sostenere che l'inserimento di alcuni dati personali era vietato in primo luogo".
Il rapporto conclude che OpenAI deve essere trasparente nell'informare esplicitamente gli utenti che i loro input possono essere utilizzati per scopi di formazione.
Precisione
Modelli di intelligenza artificiale allucinare e ChatGPT non fa eccezione. Quando non conosce la risposta, a volte si inventa qualcosa. Quando fornisce dati errati sulle persone, ChatGPT non rispetta il requisito di accuratezza dei dati personali previsto dal GDPR.
Il rapporto osserva che "è probabile che i risultati forniti da ChatGPT vengano considerati dagli utenti finali come accurati, comprese le informazioni relative agli individui, indipendentemente dalla loro effettiva accuratezza".
Anche se ChatGPT avverte gli utenti che a volte commette degli errori, secondo la task force questo non è "sufficiente per rispettare il principio di accuratezza dei dati".
OpenAI sta affrontando una causa perché ChatGPT continua a sbagliare la data di nascita di un importante personaggio pubblico.
Nella sua difesa, l'azienda ha dichiarato che il problema non può essere risolto e le persone dovrebbero invece chiedere che tutti i riferimenti a loro vengano cancellati dal modello.
Lo scorso settembre, OpenAI ha creato un'entità legale irlandese a Dublino, che ora ricade sotto la Commissione irlandese per la protezione dei dati (DPC). Ciò la mette al riparo dalle contestazioni del GDPR dei singoli Stati dell'UE.
La ChatGPT Taskforce formulerà conclusioni legalmente vincolanti nel suo prossimo rapporto? OpenAI potrebbe conformarsi, anche se lo volesse?
Nella loro forma attuale, ChatGPT e altri modelli potrebbero non essere mai in grado di rispettare completamente le norme sulla privacy scritte prima dell'avvento dell'IA.
