Task Force Privacy su Chat GPT. Un questionario per promuovere la GDPR compliance nei modelli GenAI

Perché dovremmo leggere un rapporto riferito a un lasso temporale così limitato?

Perché costituendo la prima preliminare valutazione specifica sul rapporto tra GDPR e modelli GenAI ci introduce nel mondo di questi “GianoBifronte”. Chat GPT da una parte ci mostra l'interfaccia per interagire con noi (trattamento dati dell'utente) e dall'altra cela la faccia del web scraping (trattamento dati dei terzi ignari di essere sottoposti a estrazione).

Come si declinano i principi di legalità, trasparenza, equità e accuratezza in queste due attività? È possibile fornire un'Informativa privacy ex art. 13 agli utenti ma come procedere per far conoscere l'informativa ex art. 14 ai terzi ignari sottoposti a web scraping? La base giuridica del trattamento degli utenti è il consenso. Sarà davvero un consenso consapevole? E l'esercizio dei diritti privacy?

Legalità, Trasparenza e Informative Privacy

Il 13 aprile 2023 l'EDPB ha deciso di istituire una Task Force su ChatGPT (TF Chat GPT) al fine di coordinare l'azione di tutte le Autorità nazionali di fronte a tale nuovo fenomeno tecnologico. Il Garante Privacy italiano in questo senso ha fatto da apripista con il provvedimento del 30.03.23 con cui ha vietato provvisoriamente l'attività di Chat GPT in Italia e poi in data 11.04.23 ha revocato tale deliberazione a seguito dell'introduzione da parte di OpenAI dei correttivi GDPR suggeriti.

La TF Chat GPT si è posta varie questioni che riferisce nel “Report of the work undertaken by the ChatGPT Taskforce” del 23 maggio 2024.

Quale base giuridica (legalità) per le due diverse facce del “GianoBifronte” Chat GPT?

Il consenso per l'utente che interroga ChatGPT e l'interesse legittimo per il terzo ignaro di essere investito da un processo di web scraping.

La TF ChatGPT precisa che il consenso dev'essere consapevole (trasparenza). A tal fine OpenAI deve evidenziare all'utente che le sue richieste (prompt) e i materiali dallo stesso caricati sul modello (input) vanno a costituire unitamente alla risposta del GenAI (output) ciò che il provider Sam Altman definisce “contenuto”. Questo contenuto viene memorizzato da Chat GPT e utilizzato/condiviso (spiegare “come”) per rispondere ad altri utenti nonché per contribuire al proprio addestramento. Soltanto dopo che l'utente sia stato reso consapevole di questo si può parlare di vero consenso a fronte di valida Informativa privacy  exart. 13 GDPR.

In merito alla base giuridica interesse legittimo, la TF Chat GPT solleva molte criticità.

Innanzitutto come si fa a rendere l'informativa ai terzi ignari di essere sottoposti a web scraping? Non è possibile. Allora si ricorre all'eccezione dell'art. 14, par.5, lett. b), GDPR che consente di bypassare l'informativa a condizione che il titolare del trattamento adotti misure appropriate per tutelare i diritti. La TF Chat GPT individua alcune di queste in «misure tecniche che definiscano criteri precisi di raccolta e garantiscano che determinate categorie di dati non vengano raccolte o che determinate fonti (come i profili pubblici dei social media) siano esclusi dalla raccolta dei dati. Inoltre, dovrebbero essere adottate misure per eliminare o rendere anonimi i dati personali raccolti tramite web scraping prima della fase di formazione».

Equità e accuratezza

La TF Chat GPT precisa che OpenAI deve rispettare il principio di equità che significa non scaricare il rischio di impresa sull'utente. La «responsabilità di garantire la conformità al GDPR» non deve ricadere sull'utente «ad esempio inserendo una clausola nei Termini e condizioni secondo cui gli interessati sono responsabili dei loro input nella chat». Il responsabile resta sempre e comunque OpenAI perché assorbe tali input e li rielabora per fornire risposte a nuovi utenti nonché per addestrarsi.

In merito all'accuratezza dei dati, la TF osserva che il fine del trattamento di OpenAI è addestrare Chat GPT e non fornire dati esatti. Dunque l'utente (trasparenza e obbligo di informativa) dovrebbe essere edotto sui meccanismi probabilistici di creazione degli output e sul loro limitato livello di affidabilità, compreso un riferimento esplicito al fatto che il testo generato, pur essendo sintatticamente corretto, può essere distorto o inventato. Tuttavia constata amaramente la TF che ciò non basta per adempiere all'obbligo di accuratezza: «sebbene le misure adottate per rispettare il principio di trasparenza siano utili per evitare interpretazioni errate dell'output di ChatGPT, non sono sufficienti per rispettare il principio di accuratezza dei dati, come sopra ricordato».

Esercizio dei Diritti Privacy

La TF riconosce che OpenAI fornisce all'utente la possibilità di vietare l'utilizzo dei propri “contenuti” dalle impostazioni del profilo e consente la cancellazione.

Tuttavia restano nella più completa opacità tutti gli altri diritti compresi con gli ultimi ricordati tra l'art. 15 e l'art. 22 del GDPR.

Questionario

Sulla scorta di tutte queste valutazioni, sorge il questionario di cui si riportano gli elementi essenziali di seguito.

I° Generale

1. Fornisci una breve descrizione generale del tuo software ChatGPT;
2. Fornisci un punto di contatto di OpenAI;
3. Fornisci un punto di contatto del vostro DPO;
4. Fornisci il Registro dei Trattamenti;

II° Principi relativi al trattamento dei dati personali

1. Descrivi, in modo generale, come garantisci che siano rispettati i principi relativi al trattamento dei dati personali ex art. 5, par. 1 GDPR e fornisci prova documentale;
2. Descrivi quali categorie di dati vengono trattati e per quali fini;
3. Descrivi come ti assicuri di limitare il trattamento dei dati a quanto necessario per i tuoi scopi;
4. Fornisci i documenti in cui descrivi il processo di misurazione e valutazione dell'accuratezza dei dati sia per i dati di addestramento, test e convalida dei modelli, sia per l'output dei modelli;
5. Descrivi per quanto tempo conservi i dati e fornisci copia della policy di conservazione;
6. Descrivi quali misure tecniche e organizzative sono implementate per sicurezza ex art. 32 GDPR;

III° Valutazione di impatto (“DPIA”) e gestione del rischio

1. Hai effettuato una DPIA? Fornisci documento oppure spiega perché non l'hai fatta;
2. DPO è stato coinvolto nello svolgimento della DPIA? Fornisci prova oppure spiega perché no;
3. Siete stati in grado di eliminare o mitigare i rischi identificati dalla DPIA? Fornisci prova;
4. Sono state fissate scadenze per la revisione periodica della tua DPIA?
5. Qual è il limite di età? Come verifichi?

IV° Legittimità del trattamento

1. Descrivi da quali diverse fonti vengono raccolti i dati e quindi utilizzati per la formazione, il test e la convalida del modello;
2. Descrivi la base giuridica;
3. Se la base giuridica
   1. è il consenso, spiega come viene ottenuto e quali sono le condizioni;
   2. è il contratto, spiegane il contenuto e la necessità;
   3. è l'interesse legittimo, descrivi la ponderazione eseguita;
   4. è altra base giuridica, spiega perché;

V° Diritti dell'interessato e Trasparenza

1. Spiega come e quando vengono fornite le informazioni richieste ai sensi dell'articolo 13 e 14 GDPR.
2. Spiega come si garantisce il rispetto dei diritti privacy compresi tra l'art.15 e l'art. 22 GDPR:
   1. fornisci prove come, ad esempio, una policy sulla gestione delle richieste privacy;
3. Spiega come viene garantito il diritto alla cancellazione;
4. Spiega come viene garantito il diritto il diritto di opposizione;
5. Spiega come avviene il processo decisionale individuale automatizzato, compresa la profilazione;

VI° Trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali

1. Fornisci un elenco dei data center che utilizzi per ospitare e fornire l'infrastruttura software ChatGPT;
2. […]
3. Spiega in che in che modo è garantito il rispetto del requisito dell'articolo 44 GDPR, ovvero che il livello di protezione delle persone fisiche garantito dal GDPR non venga compromesso;

VII° Divulgazione dei dati personali ad altri soggetti

1. Specifica se i dati vengono trattati solo da OpenAI oppure - se ci sono altri soggetti – si provveda ad indicare chi sono gli altri contitolari del trattamento ed a fornire una copia dell'accordo;
2. Specifica - se ci sono responsabili interni o esterni del trattamento – chi sono e fornisci copia dell'accordo;
3. Specifica a quali soggetti terzi vengono comunicati i dati;
4. Specifica se il modello Chat GPT viene integrato in altri prodotti, come (ma non solo) i motori di ricerca.

(Fonte: Diritto e Giustizia)