Lo scorso 29 aprile NOYB, l’organizzazione no-profit fondata dall’attivista Max Schrems, ha depositato un ricorso presso il Datenschutzbehörde, l’Autorità austriaca per la protezione dei dati personali (“DSB” o “Garante austriaco”) per le asserite violazioni del Regolamento 2016/679 (“GDPR”) derivanti dal software ChatGPT, sviluppato dalla società statunitense OpenAI.
I fatti di causa
Un personaggio pubblico austriaco aveva interrogato ChatGPT, l’ormai notissimo chatbot di intelligenza artificiale, che si basa sui large language models per elaborare le risposte ai prompt forniti dagli utenti, chiedendo di fornire la propria data di nascita, che era facilmente rinvenibile online. Dopo aver ricevuto un riscontro non corretto da parte del software, aveva quindi rivolto ad OpenAI una richiesta di accesso e cancellazione dei dati. La risposta della società si era soffermata soltanto sui dati dell’account della persona senza fornire chiarimenti circa i dataset utilizzati per l’addestramento dell’algoritmo; in merito alla data di nascita sbagliata, aveva invece replicato che non c’era alcun modo per prevenire che l’output del programma fosse inaccurato e che i filtri utilizzati per impedire che ChatGPT mostri i dati personali degli utenti non sono sviluppati in modo tale da bloccare soltanto una parte di questi dati. Di conseguenza, le informazioni errate non vengono corrette, ma solamente “nascoste”. Inolte, OpenAi ha opposto che le informazioni richieste avessero carattere di interesse pubblico, trattandosi di dati riferiti ad un personaggio noto.
Il ricorso al Garante austriaco
Il soggetto interessato ha dunque deciso di presentare un ricorso formale all’Autorità austriaca per la protezione dei dati, in quanto OpenAI, tramite il suo software, avrebbe violato l’art. 5 par. 1 lett. d, l’art. 12 par. 3 e l’art. 15 del GDPR. Con riferimento al principio di esattezza dei dati, infatti, la società non ha cancellato o rettificato tempestivamente i dati inesatti, nonostante la puntuale segnalazione del ricorrente. Per quanto riguarda invece il diritto di accesso la risposta fornita da OpenAI non ha coinvolto il meccanismo di funzionamento dell’algoritmo; l’interessato, inoltre, non è riuscito a sapere quali dei suoi dati personali sono stati trattati per la finalità di addestramento del software, né la loro provenienza, la base giuridica o il loro periodo di conservazione.
Le possibili conseguenze
Sarà ora interessante vedere la reazione del Datenschutzbehörde, soprattutto per capire se seguirà le mosse già compiute dall’omologo Garante italiano. Come noto, infatti, nell’aprile 2023 per prima l’Autorità italiana intervenne contro OpenAI e ChatGPT, dopo aver riscontrato numerose violazioni della normativa privacy da parte della società statunitense. Nello stesso periodo si mosse anche l’European Data Board Protection, che istituì una task force a livello comunitario per promuovere la cooperazione e lo scambio di informazioni tra le varie Autorità nazionali.
Molto probabilmente servirà l’entrata in vigore dell’Artificial Intelligence Act, che prevede specifici obblighi per i fornitori di sistemi di intelligenza artificiale generativa, come l’aggiornamento della documentazione tecnica del modello (compresi il processo di addestramento e i suoi risultati), per ottenere precise tutele dagli errori e dalle “allucinazioni” di questa tecnologia.
Avv. Lorenzo Baudino Bessone e Dott. Lapo Lucani
