La privacy come diritto fondamentale nell’era dell’Intelligenza Artificiale guardando anche oltre il GDPR
In Italia e in Europa il tema del rapporto tra il diritto fondamentale alla protezione dei dati personali e i sistemi che offrono servizi basati sull’Intelligenza Artificiale è esploso in modo fragoroso con la vicenda legata ai provvedimenti del Garante italiano relativi a ChatGPT e alle violazioni ravvisate dal Provvedimento del 30 marzo 2023, essenzialmente nella carenza di adeguata informativa agli utenti del servizio circa l’uso e il trattamento di dati personali dell’utente o di terzi e circa le modalità di accesso a tali dati, nonché alla possibilità di esercitare l’eventuale diritto di rettifica o di richiesta di cancellazione ove ricorrano le ipotesi previste a tali fini dal GDPR.
Franco Pizzetti, Presidente emerito del Garante per la protezione dei dati personali. Interverrà al Privacy Day Forum 2023
Il secondo importante rilievo alla base del provvedimento del Garante è stato, come è noto, l’assenza di ogni informativa circa le misure adottate da ChatGPT per verificare l’età degli utenti al fine di rispettare in concreto le regole a protezione dei minori disposte dal GDPR e dal Codice Privacy italiano come modificato dopo l’entrata in vigore del Regolamento UE.
A seguito del suddetto provvedimento, adottato in via di urgenza dal Presidente Stanzione e poi ratificato dal Collegio, la società statunitense OpenAI ha fatto sapere di aver adottato sulla propria piattaforma ChatGPT alcune misure orientate a garantire l’accesso degli utenti alle informazioni richieste e di aver dato avvio anche alle iniziative necessarie per corrispondere anche alle altre richieste del Garante, per cui l’Autorità ha disposto la sospensione del provvedimento e stabilito la rinnovata possibilità per OpenAI di assicurare l’accessibilità a ChatGPT anche nel territorio italiano, riservandosi ovviamente di verificare successivamente le ulteriori misure richieste dal Provvedimento in questione.
La risonanza della iniziativa del Garante italiano è stata tanto elevata che praticamente tutte le Autorità degli altri Paesi dell’UE hanno avviato attività ispettive sul funzionamento della Chat e dei servizi offerti nel territorio di loro competenza e in data 13 aprile lo European Data Protection Board ha reso noto di aver istituito una task force dedicata a promuovere la cooperazione e scambiare informazioni su possibili misure adottate o da adottare da parte delle Autorità di protezione dati rispetto ai servizi offerti da ChatGPT e alle sue modalità di funzionamento.
Della nota vicenda, si osserva che l’episodio in questione è ricco di implicazioni che solo in parte sono già state messe a fuoco dalla pur accesa discussione che si è svolta in Italia e in UE sul provvedimento del Garante italiano e gli sviluppi successivi.
Qui merita accentare l’attenzione sul fatto che, come è stato subito rilevato, il provvedimento del Garante ha di fatto sindacato il funzionamento di ChatGPT e del sistema di intelligenza artificiale che ne è alla base alla luce del GDPR, dettando poi obblighi basati sul rispetto di alcuni capisaldi della protezione dei dati personali.
Proprio questo aspetto infatti apre il tema del rapporto tra sistemi di AI e la tutela del diritto fondamentale alla protezione dei dati personali affermato dalla Carta dei diritti fondamentali della UE e regolato dal GDPR.
La domanda di fondo che la vicenda pone è infatti se il funzionamento di una chat o altra applicazione basata sulla AI possa coinvolgere il GDPR che riguarda la tutela del diritto alla protezione dei dati personali, e non riguarda invece direttamente le regole da rispettare rispetto al funzionamento nella UE di applicazioni basate su sistemi di intelligenza artificiale.
Il tema è assai interessante perché muove da un provvedimento concreto adottato da un’Autorità proprio rispetto ad alcuni aspetti molto importanti del funzionamento del servizio offerto, che riguarda anche l’eventuale utilizzazione dei dati personali.
Peraltro sarebbe troppo semplice e sicuramente sbagliato obiettare appunto che la AI e la ChatGPT richiedono per il loro funzionamento l’utilizzazione di grandi quantità di dati, essendo evidente che il loro core business non è l’uso dei dati come tale né il loro trattamento ma piuttosto corrispondere alle richieste formulate dagli utenti del servizio, utilizzando a tal fine i dati a loro disposizione, compresi, si può supporre, anche quelli eventualmente relativi a persone identificate o identificabili.
Del resto, che il funzionamento di sistemi di AI possa implicare anche il trattamento di dati personali e coinvolgere quindi eventuali violazioni delle regole europee di protezione dati è ampiamente presente anche ai decisori europei, impegnati proprio in questo periodo a cercare un accordo definitivo sulla proposta di Regolamento UE che stabilisca regole armonizzate sull’intelligenza artificiale.
Basta leggere il Considerando 5 bis della proposta della Commissione approvato il 6 dicembre 2022, che recita: “le regole armonizzate concernenti l’immissione sul mercato, la messa in servizio e l’utilizzo dei sistemi di IA stabilite nel presente regolamento, non dovrebbero pregiudicare la normativa vigente nell’Unione, in particolare in materia di protezione dei dati, tutela dei consumatori, diritti fondamentali, occupazione e sicurezza dei prodotti, a cui il presente regolamento è complementare”.
Non vi è dunque dubbio che i sistemi di intelligenza artificiale possano costituire pericolo anche per i diritti tutelati dalla normativa europea in materia di protezione dei dati, così come non vi è dubbio, anzi viene ribadito, che le regole UE in materia di AI devono garantire il rispetto delle normative in materia di tutela dei dati personali alle quali sono complementari.
Lo stesso considerando inoltre specifica che i sistemi di AI devono garantire anche una specifica protezione dei diritti dei minori, proprio il tema al centro di una delle prescrizioni più importanti del provvedimento del Garante e che ChatGPT deve assicurare.
Di conseguenza non può esservi dubbio che le regole europee in materie di AI devono tener conto ed essere armonizzate alle regole UE in materia di tutela dei dati personali, ivi comprese quelle relative alla tutela di minori.
Non ha valore dunque affermare, come pure è stato fatto da molti, che il Garante, utilizzando il GDPR rispetto al funzionamento del sistema di AI utilizzato da ChatGPT, avrebbe toccato (e forse oltrepassato) i limiti della sua competenza.
Al contrario dobbiamo riconoscere che il Garante italiano ha saputo fare un sapiente uso dei diritti tutelati dal GDPR e delle regole in esso contenute applicandole anche a un sistema come la AI che certamente non aveva formato oggetto specifico di attenzione da parte del Regolamento UE, fermo restando che quella regolazione già era stata pensata avendo a mente l’evoluzione digitale e i problemi che essa avrebbe portato con sé, specificamente rispetto al bisogno di assicurare una accountability che giustificasse e incentivasse la fiducia degli utenti nella società digitale. Del resto che il GDPR, pur non contenendo norme specifiche per l’Intelligenza Artificiale, già avesse intravisto gli sviluppi più importanti della società digitale lo dimostra il tanto volte richiamato art. 22 che non a caso prevede il diritto di chiedere l’intervento umano a controllo dei trattamenti interamente automatizzati di dati personali.
Fermo restando questo quadro, e confermando quindi l’apprezzamento per il provvedimento del Garante così come per la decisione di consentire la ripresa del servizio a seguito delle prime misure adottate da OpenAI relative soprattutto alla informativa dei trattamenti e dei dati trattati, resta da interrogarsi sul nodo centrale: quale sia, cioè, il vero diritto essenziale da tutelare per garantire il rispetto dei diritti fondamentali delle persone che si trovano a usare servizi di AI.
Il Garante col provvedimento del 30 marzo 2023 ha accentrato l’attenzione sulla informativa da dare agli utenti sui dati trattati e le modalità di trattamento, richiamandosi così a uno degli aspetti fondamentali della tutela dei dati personali.
La domanda da porsi, a cui credo che si debba rispondere guardando anche oltre il GDPR, resta però se di fronte all’evoluzione tecnologica della società digitale basti l’informativa sui trattamenti dei dati per rispettare i diritti fondamentali delle persone richiamati dai considerando della proposta del nuovo Regolamento sull’intelligenza artificiale.
La questione essenziale, che è alla base della tutela di ogni diritto fondamentale delle persone nel mondo digitale, è, a mio parere, quella di garantire che gli utenti dei sistemi digitali abbiano adeguate informazioni non solo sulle modalità relative al trattamento dei dati ma anche, e soprattutto, su chi siano i soggetti con i quali entrano in relazione in rete e su quale possa essere la affidabilità e il contenuto effettivo delle relazioni poste in essere con questi soggetti.
Proprio il fenomeno della AI e delle Chat basate su questa tecnologia, sono centrali per comprendere l’importanza di questo aspetto.
Già la filmografia, in particolare nel 2013 col non dimenticato film “Elle” (“Lei” nella versione italiana), ci ha dimostrato il rischio, anche per la stessa salute mentale degli utenti, di costruire in rete relazioni con soggetti che si “credono” esseri umani perché a questo tende la AI che li governa, ma che invece sono solo chatbot. La scena finale nella quale l’uomo che intrattiene da mesi una relazione con la chatbot “Elle” credendola un essere umano e realizza infine che invece è una chat è emblematica dei rischi rilevanti che una non adeguata informazione sui soggetti coi quali si interagisse in rete può determinare.
In realtà anche di questo è stato ben consapevole il Garante che non a caso nel provvedimento ha chiesto a OpenAI di promuovere anche una campagna di informazione sui mezzi cartacei, televisivi e informatici, circa la realtà della chatbot e che infatti, nel consentire la ripresa del servizio ha sottolineato di essere in attesa di provvedimenti che diano adempimento anche a questa prescrizione.
Non basta dunque l’informativa sul trattamento dei dati, pure prevista del GDPR, a tutelare i diritti fondamentali delle persone nella società digitale. Occorre operare anche per garantire la “conoscibilità” effettiva dei soggetti operanti e presenti sulla rete, anche per adottare le misure psicologiche e comportamentali da parte degli utenti che li pongano al riparo da rischi che altrimenti possono diventare elevatissimi, come nel caso di chatbot che mirino a manipolare la psicologia degli interlocutori o a diffondere informazioni del tutto false e costruite proprio per manipolare gli utenti, come già la vicenda di Cambridge Analytica dimostrò alcuni anni fa.
Ovviamente per far fronte a queste nuove esigenze e a questi nuovi orizzonti che segnano nuove importanti frontiere per la tutela dei diritti fondamentali delle persone umane occorreranno nuove regole e non basterà far ricorso all’etica o alle pompose dichiarazioni sulla centralità dell’uomo ma saranno necessarie nuove regole vincolanti e nuove misure di vigilanza.
Il Regolamento sull’uso armonizzato della AI nell’ambito del mercato unico digitale europeo in corso di approvazione è certamente un buon modo per avviare nuove iniziative adatte al nuovo mondo ma l’auspicio è che la task force istituita dall’EDPB sappia andar oltre ChatGPT e sia capace di promuovere, come già fecero le Autorità garanti all’epoca della messa a punto del GDPR, nuove regole per garantire una tutela ampia e davvero efficace dei diritti fondamentali dell’uomo nel mondo digitale, a partire dal diritto di essere sicuro della realtà dell’identità dei soggetti che operano in rete, delle loro modalità di azione e delle loro finalità: solo a queste condizioni potremo dire che l’UE è davvero alla guida dell’evoluzione della società digitale verso nuove frontiere utili all’umanità.
