L’autorità italiana per la protezione dei dati ha notificato OpenAI, produttore di ChatGPT, di una presunta violazione delle leggi sulla privacy.
“Le prove disponibili hanno evidenziato l’esistenza di violazioni delle disposizioni contenute nel GDPR (Regolamento generale sulla protezione dei dati)”, ha affermato lunedì 29 gennaio 2024 in una nota il Garante per la protezione dei dati personali.
Ha inoltre affermato che “terrà conto del lavoro in corso all’interno della task force ad hoc istituita dal Quadro europeo sulla protezione dei dati (EDPB) nella sua decisione finale sul caso“.
Un primo divieto già avvenuto nel 2023
La notizia arriva quasi 10 mesi dopo che l’autorità di vigilanza ha imposto un divieto temporaneo su ChatGPT nel paese, settimane dopo le quali OpenAI ha annunciato una serie di controlli sulla privacy, incluso un modulo di rinuncia per rimuovere i propri dati personali dall’elaborazione da parte del modello linguistico di grandi dimensioni (LLM). L’accesso allo strumento è stato successivamente ripristinato a fine aprile 2023.
L’Autorità per la protezione dei dati italiana ha affermato che gli ultimi risultati, che non sono stati resi pubblici, sono il risultato di un’indagine durata diversi mesi avviata contemporaneamente. A OpenAI sono stati concessi 30 giorni per rispondere alle accuse.
Chatbot: problemi su problemi
Le trasgressioni, secondo la BBC, sono legate alla raccolta di dati personali e alla tutela dell’età. OpenAI, nella sua pagina di aiuto, afferma che “ChatGPT non è pensato per i bambini di età inferiore a 13 anni e richiediamo che persone di età compresa tra 13 e 18 anni ottengano il consenso dei genitori prima di utilizzare ChatGPT“.
Ma si teme anche che informazioni sensibili possano essere esposte così come gli utenti più giovani possano essere esposti a contenuti inappropriati generati dal chatbot.
Nel marzo 2023, OpenAI ha riconosciuto un problema tecnico del software che aveva fatto sì che il chatbot mostrasse a una piccola percentuale di utenti i titoli della cronologia delle conversazioni di altri utenti e, a dicembre, la società ha lanciato una patch per risolvere un altro problema che avrebbe potuto consentire un’esfiltrazione dei dati della chat su un server esterno.
Poi, nel settembre 2023, si è scoperto che il chatbot Bard di Google aveva un bug nella funzione di condivisione che consentiva di indicizzare le chat private dalla ricerca di Google, esponendo inavvertitamente informazioni sensibili che potrebbero essere state condivise nelle conversazioni.
Simili attacchi di esfiltrazione di dati sono stati dimostrati anche contro Bing Chat, Anthropic Claude e Amazon Q for Business nell’ultimo anno.
La risposta di OpenAI (pre garante)
In una dichiarazione condivisa con TechCrunch, OpenAI ha affermato che “le sue pratiche sono in linea con il GDPR e altre leggi sulla privacy e adottiamo ulteriori misure per proteggere i dati e la privacy delle persone“.
Conclusioni: cosa accadrà?
Lo scenario è difficile da tracciare, ma le autorità nazionali e sovranazionali europee stanno tutte andando verso una direzione che prevede un forte giro di vite, che condizionerà lo sviluppo delle chatbot di AI generativa.
Un altro fronte aperto sarà anche quello dei diritti d’autore (ad oggi più avviato nella frontiera statunitense), perché sono già nate le prime cause di autori che portano in tribunale OpenAI & C. per mancata attribuzione delle fonti.
Insomma, per quanto rivoluzionaria e acceleratrice di cambiamento, nei prossimi mesi vedremo sviluppi interessanti dal punto di vista legale e che avranno effetti nei prossimi anni.
Ti è piaciuto l’articolo? Contattaci per una consulenza di cyber security per la tua azienda: