Pochi giorni dopo che OpenAI ha annunciato una suite di controlli sulla privacy per il suo chatbot AI creativo, ChatGPT, il servizio è ora di nuovo disponibile per gli utenti in Italia, completando (per ora) una sospensione normativa iniziale in uno dei 27 stati membri dell’UE, anche durante un continua l’indagine locale sulla sua conformità alle norme regionali sulla protezione dei dati.

Nel momento in cui scriviamo, gli utenti Internet che navigano su ChatGPT da un indirizzo IP italiano non vengono più accolti da una notifica che il servizio è “disabilitato per gli utenti in Italia”. Invece, hanno trovato una nota che diceva che OpenAI è “lieta di continuare a offrire ChatGPT in Italia”.

Un ulteriore pop-up afferma che gli utenti devono confermare di avere almeno 18 anni o 13 anni con il consenso dei genitori o del tutore per utilizzare il servizio, facendo clic sul pulsante che dice “Soddisfo i requisiti di età di OpenAI”.

Il testo della notifica richiama inoltre l’attenzione sull’informativa sulla privacy di OpenAI e un collegamento a un articolo del centro assistenza in cui la società afferma di fornire informazioni su “come sviluppiamo e addestriamo ChatGPT”.

Le modifiche al modo in cui OpenAI serve ChatGPT agli utenti in Italia mirano a soddisfare una serie iniziale di requisiti stabiliti dall’autorità locale per la protezione dei dati (DPA) per continuare il servizio con il rischio normativo gestito.

Un breve riepilogo della storia qui: alla fine del mese scorso, il Garante Italia ha emesso un ordine di interruzione temporanea dell’elaborazione a ChatGPT, adducendo il timore che il servizio violasse le leggi sulla protezione dei dati dell’UE. Ha inoltre avviato un’indagine su presunte violazioni del regolamento generale sulla protezione dei dati (GDPR).

OpenAI ha risposto rapidamente all’intervento bloccando geograficamente gli utenti con indirizzi IP italiani all’inizio di questo mese.

Quella mossa è stata seguita, poche settimane dopo, dal Garante che ha emesso un elenco di passaggi che OpenAI ha dichiarato di dover attuare per revocare l’ordine di sospensione entro la fine di aprile, tra cui l’aggiunta di un limite di età per impedire ai minori di accedere al servizio e di che modifica la presunta base giuridica per il trattamento dei dati utente locale.

I regolatori hanno affrontato alcune critiche politiche in Italia e altrove in Europa per l’intervento. Sebbene non sia l’unica autorità per la protezione dei dati a sollevare preoccupazioni e, all’inizio di questo mese, i regolatori del blocco hanno deciso di avviare un gruppo di lavoro incentrato su ChatGPT con l’obiettivo di supportare le indagini e la cooperazione in qualsiasi applicazione.

In un conferenza personale emesso oggi con l’annuncio della ripresa dei servizi in Italia, il Garante ha dichiarato che OpenAI gli ha inviato una lettera in cui dettagliava le misure messe in atto in risposta a un precedente ordine – scrivendo: “OpenAI chiarisce di aver esteso l’informativa agli utenti e non agli utenti europei, che è stata modificata e chiarito molteplici meccanismi e sviluppato soluzioni praticabili per consentire agli utenti e ai non utenti di esercitare i propri diritti. Sulla base di questo aggiornamento, OpenAI ha ripristinato l’accesso a ChatGPT per gli utenti italiani”.

Espandendo i passi compiuti da OpenAI in modo più dettagliato, DPA ha affermato che OpenAI ha ampliato la sua politica sulla privacy e fornito a utenti e non utenti maggiori informazioni sui dati personali che elabora per addestrare i suoi algoritmi, inclusa la descrizione che tutti hanno il diritto di voto . rinunciare a tale trattamento, indicando che la società ora fa affidamento su rivendicazioni di interesse legittimo come base legale per l’elaborazione dei dati per addestrare i suoi algoritmi (da allora le richiede di offrire clausole di rinuncia).

Inoltre, il Garante rivela che OpenAI ha adottato misure per fornire agli europei un modo per richiedere che i propri dati non vengano utilizzati per addestrare l’IA (le richieste possono essere effettuate tramite un modulo online) e fornire loro un “meccanismo” per eliminare i propri dati. dati.

Ha inoltre notificato alle autorità di regolamentazione che al momento non è in grado di correggere un punto debole nei chatbot che generano informazioni false su individui nominati. Da qui l’istituzione di un “meccanismo che consenta agli interessati di ottenere la cancellazione delle informazioni ritenute inesatte”.

Gli utenti europei che desiderano rinunciare al trattamento dei propri dati personali per l’addestramento AI possono farlo anche tramite un modulo fornito da OpenAI, che secondo DPA “filtrerà le loro conversazioni e la cronologia delle conversazioni dai dati utilizzati per l’algoritmo di addestramento”.

Pertanto, l’intervento del DPA italiano ha comportato alcune importanti modifiche al livello di controllo che ChatGPT offre agli europei.

Tuttavia, non è ancora chiaro se le modifiche OpenAI rapidamente implementate andranno (o potrebbero) andare abbastanza lontano per affrontare tutte le questioni sollevate dal GDPR.

Ad esempio, non è chiaro se i dati personali degli italiani utilizzati storicamente per addestrare i modelli GPT, cioè quando i dati pubblici vengono rimossi da Internet, siano stati elaborati ai sensi di una legge valida – o, in effetti, se i dati utilizzati per creare modelli di formazione precedentemente sarebbe o potrebbe essere cancellato se l’utente richiedesse che i suoi dati venissero cancellati ora.

La grande domanda rimane quale base giuridica abbia OpenAI per l’elaborazione delle informazioni delle persone quando l’azienda non è così aperta sui dati che utilizza.

La società statunitense sembra sperare di sedare le obiezioni sollevate su ciò che fa con le informazioni degli europei fornendo alcuni controlli limitati ora in atto sui nuovi dati personali in arrivo, nella speranza che ciò oscuri la questione più ampia di tutti i dati personali regionali che essa ha. fatto storicamente.

Alla domanda sui cambiamenti che ha implementato, un rappresentante di OpenAI ha inviato un’e-mail a TechCrunch con questa breve dichiarazione:

ChatGPT è nuovamente disponibile per i nostri utenti in Italia. Siamo felici di dar loro il bentornato e rimaniamo impegnati a proteggere la loro privacy. Abbiamo affrontato o chiarito questioni sollevate dal Garante, tra cui:

Apprezziamo la collaborazione del Garante e attendiamo con impazienza il proseguimento di discussioni costruttive.

In un articolo del centro assistenza, OpenAI ammette di elaborare dati privati ​​per addestrare ChatGPT, mentre cerca di affermare che non è proprio destinato a esserlo, ma quella roba esiste solo su Internet – o come dice: “Una grande quantità di dati su Internet è correlata alle persone, quindi le nostre informazioni sulla formazione includono accidentalmente informazioni personali. Non cerchiamo attivamente informazioni personali per addestrare i nostri modelli”.

Il che suona come un bel tentativo di aggirare il requisito GDPR secondo cui ha una base legale valida per l’elaborazione di questi dati personali che gli è capitato di incontrare.

OpenAI espande ulteriormente le sue difese nella sezione (inequivocabile) intitolata “in che modo lo sviluppo di ChatGPT è conforme alle leggi sulla privacy?” – dove suggerisce di aver utilizzato legalmente i dati delle persone perché A) vuole che il suo chatbot sia utile. B) non hanno scelta, perché sono necessari molti dati per costruire la tecnologia AI. e C) affermare che non era inteso a danneggiare l’individuo.

“Per questo motivo, basiamo la raccolta e l’utilizzo delle informazioni personali incluse nella formazione informativa su interessi legittimi ai sensi delle leggi sulla privacy come il GDPR”, ha anche scritto, aggiungendo: “Per adempiere ai nostri obblighi di conformità, abbiamo anche completato una protezione dei dati valutazione d’impatto.” per garantire che raccogliamo e utilizziamo queste informazioni in modo lecito e responsabile.”

Quindi, ancora una volta, la difesa di OpenAI dalle accuse di violazione della legge sulla protezione dei dati si riduce sostanzialmente a: “Ma non intendevamo fare del male agli ufficiali!”

La spiegazione offre anche del testo in grassetto per evidenziare l’affermazione secondo cui i dati non vengono utilizzati per creare profili sulle persone. contattarli o fare pubblicità a loro. o provare a vendergli qualsiasi cosa. Niente di tutto ciò è rilevante per stabilire se l’attività di trattamento dei dati violi o meno il GDPR.

L’autorità di protezione dei dati italiana ci ha confermato che la sua indagine su questa importante questione è in corso.

Nel suo aggiornamento, il Garante osserva inoltre che si aspetta che OpenAI soddisfi la richiesta aggiuntiva stabilita nel suo ordine dell’11 aprile, rilevando l’obbligo di implementare un sistema di verifica dell’età (per impedire ai minori di accedere al servizio in modo più solido). e per condurre una campagna informativa locale per informare gli italiani su come i loro dati vengono trattati e il loro diritto di rinunciare al trattamento dei propri dati personali per la formazione sui suoi algoritmi.

“SA Italia [supervisory authority] riconosce la mossa che OpenAI ha intrapreso per combinare i progressi tecnologici con il rispetto dei diritti individuali e spera che l’azienda continui i suoi sforzi per rispettare le leggi europee sulla protezione dei dati”, ha aggiunto, prima di sottolineare che questa è solo la prima autorizzazione in questa danza normativa .

Ergo, tutte le varie affermazioni di OpenAI di essere in buona fede al 100% devono ancora essere testate vigorosamente.