A partire dal 31 marzo 2023 ChatGPT non è più disponibile. Le ragioni sono note e riguardano un provvedimento d’urgenza del Garante per la protezione dei dati personali. Al netto delle prossime evoluzioni che presumibilmente potrebbero coinvolgere anche altri stati europei come ad esempio la Germania, la domanda da porsi è la seguente: quanto durerà questa misura restrittiva? Le nuove normative in arrivo colmeranno questo gap o comunque siamo di fronte ad una decisione senza appello? La Commissione europea nei propri documenti programmatici per la regolamentazione dello sviluppo dell’intelligenza artificiale aveva già svolto alcune analisi che potrebbero riguardare anche il recente provvedimento del Garante emesso nei confronti di OpenAI. Infatti, nel cosiddetto Ai Act sono già chiariti molti degli aspetti che riguardano il corretto utilizzo di dati personali per l’addestramento dell’intelligenza artificiale.
NURPHOTO/GETTY IMAGES - Fonte: Wired
D’altro canto, applicando il Gdpr, il tema dell’utilizzo del dataset per il training dell’Ai non sembra essere una via percorribile se non attraverso una laboriosa attività legale: ne è la prova che le violazioni privacy contestate dal Garante riguardano la mancanza di una informativa per l’utente e l’assenza di una base giuridica per la raccolta e la conservazione di dati personali allo scopo di svolgere il training dell’Ai per il funzionamento di ChatGPT. In effetti, va considerato che il gdpr nasce con un obiettivo diverso da quello di regolamentare l’intelligenza artificiale. La normativa europea sulla privacy, infatti, ha lo scopo di definire il rispetto di una serie di principi volti a proteggere i dati personali degli interessati.
A un occhio attento non deve comunque sfuggire un punto di raccordo tra il gdpr e lo sviluppo delle nuove tecnologie, tra cui l’intelligenza artificiale. Già nel gdpr, infatti, veniva presa in considerazione non solo la possibilità di profilazione dei dati (art. 22) ma anche una specifica valutazione di impatto necessaria quando il trattamento presenti un rischio elevato per i diritti e le libertà delle persone fisiche, in particolare per l’uso di nuove tecnologie (art. 35).
Invece, l’Ai Act (meglio conosciuta come proposta di regolamento sull’intelligenza artificiale) emessa dalla Commissione europea si prefigge l’obiettivo di predisporre una normativa verticale su questo tema. Rappresenta per ora unicamente un indirizzo provvisorio in termini di applicabilità, ma già fornisce alcuni spunti significativi.
Sui dati e sulla governance dei dati viene precisato che gli insiemi di dati per il training devono seguire modelli di gestione e governance adeguati, e nello specifico devono garantire: scelte progettuali pertinenti, raccolta dei dati, operazioni di preparazione come annotazione etichettatura e aggregazione, formulazione di ipotesi pertinenti, in particolare per quanto riguarda le informazioni che i dati dovrebbero misurare e rappresentare, e ancora una valutazione e formulazione preventiva della disponibilità, della quantità e dell’idoneità degli insiemi di dati necessari, l’esame di possibili distorsioni e l’identificazione di eventuali lacune o carenze e il modo in cui queste mancanze possono essere affrontate.
La proposta di regolamento sull’Ai sembra, dunque, cambiare il paradigma relativo alla trasparenza, passando da una necessità di chiarire tutto anticipatamente a un obbligo di programmazione dell’utilizzo dei dati. Pur dovendosi porre in coerenza con il gdpr, vengono allargati i termini dell’utilizzabilità dei dati senza per questo sacrificare il diritto fondamentale dell’utente di sapere come vengono utilizzati. Sembra che con l’Ai Act si passi dall’obbligo giuridico del gdpr di chiarire all’utente il dettaglio delle specifiche finalità e le basi giuridiche (violazione contestata dal Garante a OpenAI) ad un obbligo di chiarire il progetto di utilizzo nei propri modelli di gestione e governance adeguati, nello specifico dall’obbligo di dichiarare a monte lo scopo del trattamento di dati personali, di dovranno chiarire le scelte progettuali pertinenti e ipotesi pertinenti.
Gli obblighi si applicheranno a fornitori e utenti di sistemi di Ai sul mercato dell’Unione, allo scopo di avere certezza del diritto ed evitare barriere in Unione europea per servizi e prodotti collegati all’Ai. La proposta di regolamento vuole creare fiducia nell’Ai introducendo un meccanismo di coordinamento europeo, fornendo capacità adeguate e facilitando gli audit dei sistemi di Ai per documentazione, la tracciabilità e la trasparenza. Inoltre, il progetto di legge sull’Ai prevede che le autorità competenti degli stati membri siano incoraggiate - ma non obbligate - a istituire sandbox di regolamentazione, oltre che un quadro di base in termini di governance e supervisione (art. 53). In quest’ambito, in caso di rischi per la salute e la sicurezza e per i diritti fondamentali, le singole autorità nazionali, incaricate di sorvegliare la conformità con le norme vigenti a livello nazionale ed europeo, possono adottate misure di mitigazione e persino di sospensione nel caso di contrasti o distorsioni.
In definitiva, è evidente la necessità, emersa con il provvedimento del Garante italiano, di garantire i diritti fondamentali dei cittadini europei, tra cui quello alla protezione dei dati personali e di regolamentare l’intelligenza artificiale, anche se questo dovrebbe avvenire nel rispetto della necessità di favorire lo sviluppo tecnologico di questi strumenti. La difficoltà di gestire questo equilibrio è la sfida del prossimo futuro e forse nei nuovi regolamenti europei in arrivo possiamo trovare la risposta.
Fonte: Wired
