Il Garante della privacy italiano ha individuato due problemi, trattamento dei dati e tutela dei minori, che evidenziano come OpenAI avrebbe preso sottogamba la legge europea. Per l’esperto è probabile che la sospensione italiana sia imitata altrove in Ue: ecco cosa si muove dietro alla vicenda
Dopo la decisione di venerdì scorso del Garante della privacy, OpenAI, il fornitore di ChatGpt, ha sospeso il servizio in Italia. Una vicenda senza precedenti in Occidente ma capace di far partire una valanga regolatoria in Europa. Abbiamo raggiunto Vincenzo Zeno-Zencovich, professore di Diritto comparato all’Università degli Studi di Roma Tre ed esperto di diritto privato europeo, media e nuove tecnologie dell’informazione e della comunicazione, per mappare l’entità del fatto.
Professore, cosa ha portato il Garante a decidere di intervenire su ChatGpt?
Il Garante se ne è occupato anzitutto perché c’è stato un data breach: quando ciò avviene è necessario che il titolare informi immediatamente il Garante. Questo ha acceso i fari su ChatGpt, non tanto sulla molto pubblicizzata funzione di chatbot quanto sulla informativa per la raccolta dei dati personali e sulle modalità di conservazione dei dati degli utenti. Infine, c’è la questione della tutela dei minori, che nel rispetto del regolamento generale della protezione dei dati (Gdpr) non possono essere soggetti a profilazione né destinatari di pubblicità. Insomma, serve sapere se l’utente è minore oppure no, e OpenAI non ha chiarito che sistemi ha predisposto in tal senso.
Sulla conservazione dei dati, quali sono le perplessità del Garante?
L’attenzione dell’autorità italiana è sulla possibilità che i dati vengano trasferiti negli Stati Uniti, cosa che risolleva l’annosa questione del Privacy Shield. La Corte di giustizia europea crede che non ci siano adeguate garanzie per la protezione dei dati europei negli Usa, dunque non esistono i presupposti per trasferirli. Bruxelles sta ancora lavorando a un tentativo di accordo con Washington. OpenAI ha nominato un rappresentante in Europa, ma non penso che i garanti europei si accontenteranno: vorranno un soggetto legale europeo, che sia in grado di fornire garanzie di carattere economico.
E queste preoccupazioni hanno fatto scattare l’attenzione del Garante per OpenAI? Sembrano dubbi applicabili a qualsiasi servizio digitale non europeo.
Premesso che la più banale delle app che installiamo sul telefono pone questo tipo di problema, l’attenzione è inevitabilmente stata attirata dalla grande pubblicità attorno a ChatGPT. Realtà come Facebook, Google o TikTok sono destinatari quotidiani di provvedimenti del genere. Non dò un giudizio, rilevo solo che da parte di alcune di queste società (penso soprattutto a ByteDance, l’azienda dietro a TikTok) ci sia una mancata comprensione del quadro normativo europeo. Forniscono servizi globali, hanno centri di elaborazione fuori dall’Ue, c’è una tendenza alla standardizzazione.
Ed è per questo che OpenAI ha sospeso il servizio anziché mantenerlo attivo e fornire rassicurazioni?
Doveva necessariamente sospenderlo, così gli è stato ordinato dall’autorità italiana. Mi sembra che OpenAI – come è già successo con altre aziende statunitensi – abbia lanciato il servizio ChatGPT senza preoccuparsi eccessivamente delle leggi in Europa.
Dunque è possibile che l’intervento italiano faccia da apripista ad altre nazioni europee?
Mi sembra piuttosto prevedibile. Il Gdpr ha istituito un organismo collegiale, il Comitato europeo per la protezione dei dati, composto dai Garanti della privacy di ogni Paese europeo più il Garante europeo (l’European Data Protection Supervisor) e un membro della Commissione. Mi sembra piuttosto inevitabile che la decisione italiana venga portata in quella sede e affinata, modificata, aggiustata o estesa. Le decisioni di un singolo Stato vengono discusse all’interno di questo Board e si decide se adottare un provvedimento paneuropeo, o Paese per Paese. Credo sia difficile che gli altri ventisei Garanti credano che il problema sia tutto italiano: lunedì è emerso che ChatGpt è sotto osservazione anche in Germania, Francia e Irlanda. Ritengo, quindi, che il Garante italiano abbia messo il dito nella piaga.
Ci riassume i requisiti del Gdpr per la compliance?
Il punto di partenza è l’informativa. Una questione complessa: serve essere molto precisi. Il Garante dice che non c’è corrispondenza tra l’informativa di OpenAI e l’uso effettivo di ChatGpt. Poi c’è la necessità di un’interlocuzione a livello europeo sulla sicurezza dei dati, con tutta una serie di procedure molto complesse e costose: serve un data protection officer nell’azienda, serve costruire dei server qui in Europa. Ho la sensazione che ChatGpt non sarà molto fruibile in Ue, specie se le perplessità del Garante italiano saranno estese agli altri 26 Paesi.
Vale anche per i concorrenti?
Dietro ci sono realtà diverse. Google, per esempio, è abituata da almeno otto anni a una certa conflittualità con le istituzioni europee in materia di dati personali, dunque i legali sono più attrezzati. Anzi, avranno colto la palla al balzo per assicurare che Il loro servizio sia privacy compliant: sono molto attenti alle questioni regolatorie e si assicurano di aderirvi prima di lanciare un servizio nuovo. Prendiamo l’esempio di Google Search o la geolocalizzazione di Google: sono servizi ormai ben individuati, serve solo estendere questo tipo di regolamentazione al nuovo fenomeno che è quello dei chatbot basati sull’intelligenza artificiale.
Crede che le regolamentazioni europee in arrivo – come l’AI Act, che si propone di classificare il rischio di questi prodotti – impatteranno significativamente il loro utilizzo?
Confesso di non essere un grande ammiratore di questa spinta regolatoria europea. È come se l’Ue volesse disciplinare le varie forme di vita su Marte e stabilisse quelle più o meno pericolose. Ho dei forti dubbi sulle capacità predittive: nel tempo in cui le istituzioni europee eseguono le ricerche necessarie, abbozzano una normativa ed elaborano la bozza, la realtà può cambiare completamente. Dunque mi sembra un esercizio di divinazione.
È d’accordo col senatore Matteo Salvini quando asserisce che la decisione del Garante è “sproporzionata” e controproducente per l’innovazione?
In Ue c’è una certa visione delle tecnologie digitali che ormai è consolidata. Non siamo certo la patria dell’innovazione digitale. Se io avessi un’idea imprenditoriale nel settore non la metterei certo in pratica qui; come ho sempre detto e scritto, questo profluvio di normative europee (oltre 2000 articoli e considerando contenute nelle varie direttive e regolamenti esistenti o proposti) ha una funzione di carattere protezionistico. Insomma, ci proteggiamo dai colossi digitali che sono Usa e Cina. Sicuramente non è la decisione del Garante che blocca l’innovazione, piuttosto è l’Ue che si difende alzando un muro legislativo per proteggere la propria debolezza digitale.
