"Francamente me ne infischio!" ...tuttavia il resto del mondo non se ne infischia di te: OpenAI e la sanzione dal Garante Privacy
Nei film le frasi ad effetto funzionano benissimo e, a volte, contribuiscono a creare miti immortali. Così accadde a Clark Gable con il suo colossale "Frankly, my dear, I don't give a damn".
Nella realtà bisogna fare i conti con le conseguenze delle proprie scelte e infischiarsene significa andare a sbattere contro un grande muro solido e bitorzoluto.
Senza ripercorrere una vicenda ben nota e ben descritta già a suo tempo da Vitalba Azzolini e ricapitolata oggi da Raffaele Angius e Luca Zorloni, osserviamo l'impronta insanguinata della immane capocciata che OpenAI ha deciso di imprimere nella roccia, un segno dolente che costerà caro. Ciascuno decide come lasciare il proprio segno nel mondo, immagino.
15.000.000 di Euro di sanzione e la vergogna di dover percorrere il "walk of shame" con il conseguente danno di immagine.
Il Garante oggi non ha fatto altro che constatare ciò che era chiaro sin dall'inizio, talmente palese da giustificare un provvedimento di limitazione del trattamento e alcune misure disposte senza necessità di concludere l'istruttoria. Alto che fumus boni iuris, qui si va ben oltre: le evidenze sono tali da non stupire nessuno e non è lecito pensare che sorprendano nemmeno OpenAI e i suoi fanboy perchè, pur restando infatuati della suggestiva idea e della nuova parola magica, l'intelligenza artificiale, tanto evocativa quanto mendace, sono persone che, contrariamente all'oggetto del loro amore, qualche vincolo con la realtà devono pur mantenerlo. Hanno la capacità di constatare l'ovvio. Decidere di non avvalersene è una scelta,non un limite.
I fatti:
- ChatGPT è stata aperta al pubblico sull'onda dell'entusiasmo, senza uno straccio di informativa sul trattamento dei dati personali e senza alcuna forma di trasparenza. L'unica informativa, peraltro solo in inglese, era mostrata unicamente agli utenti e solo dopo la loro iscrizione.
- OpenAI ha trattato i dati per addestrare ChatGPT senza uno straccio di base di legittimazione in aperta violazione delle norme del GDPR (e di molte norme US)
- OpenAI ha trattato i dati degli utenti come controprestazione contrattuale, infischiandosene dei loro diritti e considerando ogni dato liberamente utilizzabile per i propri personali fini, peraltro, nemmeno dichiarati
- OpenAI ha subito un data breach che ha gestito in modo dilettantistico, senza comunicarlo al Garante Privacy, nonostante abbia coinvolto 440 persone in Italia
- OpenAI ha fatto un pasticcio enorme sull'eta, dichiarando di voler limitare l'uso ai >13anni, ma senza fare alcunché per verificare o limitarne l'uso e, di fatto, avvantaggiandosi della opacità da lei stessa generata
- OpenAI, su ordine del Garante, avrebbe dovuto concordare e pubblicare una campagna informativa per il pubblico. Dato che sarebbe stato un bagno di sangue in termini reputazionali, ha provato a giocarsi da carta del misunderstanding, facendo finta di non aver capito, di aver frainteso, di aver dato per scontato che al Garante andasse bene e ha provato a dire di aver fatto qualcosa che, però, è palesemente difforme all'ordine ricevuto e insignificante rispetto all'obbiettivo.
A queste lapalissiane evidenze ne aggiungerei un paio:
OpenAI è tanto tanto triste, sconcertata, forse delusa per via dell'animo estremamente collaborativo, sicuramente provata poichè queste draconiane pretese arrivano come un fulmine a ciel sereno sulle spalle di una povera startup innovativa, ecc. Ma per favore!
Ma il campionato delle geremiadi ha certamente un vincitore indiscusso: il fanboy della AI, il fanatico di OpenAI, il tecnoentusiasta che deve fare i compiti e che, se gli togli ChatGPT, tocca studiare. Non solo lui, c'è anche il ciarlatano che, esaurito il filone della blockchain, ora prova a spacciare fuffa altisonante e vede questi interventi come un aggressione alla sua libertà di impresa. Il fanboy ha varie forme. Lui è il vero eroe, quello che, pur non capendo nulla di diritto, senza alcuna competenza che non gli sia arrivata in forma liofilizzata, privo di competenze tecniche persino in materia di "intelligenza artificiale", pretende di aver capito tutto e se ne esce con lapidarie verità inappellabili:
- "luddisti"
- "stiamo tornando al medioevo"
- "siamo un pese finito"
- "L'Italia è un paese fallito"
- "rido per non piangere"
- "così facciamo scappare le aziende"
- "fa di tutto per allontanare la tecnologia"
- "boomer ritardati"
- "scappare dall'italia"
- "sanno solo vietare"
- "statalismo terrone"
- "rido per non piangere..."
- "Cosa gli verrebbe contestato esattamente?"
- mi fermo, è solo una campionatura casuale
Questa folla di pigiatasti scandalizzati si comporta esattamente come la peggior tifoseria calcistica, come un integralista di qualsivoglia religione, come un accanito sostenitore del valore scientifico dell'oroscopo... potrei andare avanti ma è quasi Natale e sto cercando di essere più buono. Ragazzi, per voi ho solo un consiglio: aprite ChatGPT e chiedetegli di riassumere per voi il provvedimento del Garante. Temo che questo non vi mandi in cortocircuito il cervello.
Tra i fanboy di OpenAI c'è naturalmente anche OpenAI stessa. Ecco come l'ha presa:
“La decisione del Garante non è proporzionata e presenteremo ricorso. Quando il Garante ci ha ordinato di sospendere ChatGPT in Italia nel 2023, abbiamo collaborato con l’Autorità per renderlo nuovamente disponibile un mese dopo. Già allora il Garante aveva riconosciuto il nostro ruolo da capofila per quanto riguarda la protezione dei dati nell’ambito dell’IA e questa sanzione rappresenta circa venti volte il fatturato da noi generato in Italia nello stesso periodo. Riteniamo che l’approccio del Garante comprometta le ambizioni dell’Italia in materia di IA, ma rimaniamo impegnati a collaborare con le autorità preposte alla tutela della privacy in tutto il mondo per offrire un’IA capace di portare benefici alla società nel rispetto dei diritti della privacy”.
Non bene, direi.
A parte le frasi vuote di circostanza, mi piace molto la velata minaccia.
Vabbè, c'è spazio per un altra impronta sullo stesso muro appena marcato.
Lasciando gli irragionevoli al loro triste destino, posso consigliare a tutti la lettura del provvedimento del Garante: scorre bene, si capisce anche senza essere esperti, contiene pochi tecnicismi, sembra fatta apposta per essere consultata da gente comune. Viene il sospetto che sia scritta così per dare una mano gli americani, dato che hanno problemi di comprensione.
Per i pigri, categoria alla quale appartengo, riporto alcuni passaggi che rendono l'idea sui contenuti del provvedimento:
Sanzione
la sanzione è così composta:
Sanzione da 320.000€ per la mancata notifica del data breach
Sanzione da 5.680.000 per non aver concordato e pubblicato la campagna informativa
Sanzione da 9.000.000 per tutte le altre violazioni (violazione della trasparenza, mancata informativa, mancanza di base giuridica di legittimazione, mancata verifica dell'eta)
Obbligo di concordare e realizzare una campagna informativa seria, della durata di 6 mesi su tutti i principali mezzi di comunicazione italiani (radio, televisione, giornali e Internet). I contenuti dovranno includere la promozione della comprensione e della consapevolezza del pubblico in merito al funzionamento del servizio ChatGPT e le implicazioni dello stesso rispetto al diritto alla protezione dei dati personali, con particolare riferimento alla raccolta dei dati di utenti e non-utenti per finalità di addestramento dei modelli ed ai diritti esercitabili, con specifico riferimento al diritto degli interessati di esercitare il diritto di opposizione e quello alla cancellazione dei dati... e questo sarà molto doloroso.
A conti fatto, l'inosservanza dell'ordine di concordare una campagna informativa è la singola sanzione più elevata. Non si può ignorare una prescrizione del Garante, anche perché, oltre alla sanzione, la prescrizione ritorna e va comunque osservata.
Rimbalzo
Il tema delle allucinazioni e della conseguente violazione del principio di esattezza del dato è stato sapientemente sbolognato al Garante Irlandese che dovrà occuparsene prossimamente. Solo quello passa di competenza. Tutto il resto è già deciso, sicuramente OpenAI farà appello ma se la deve vedere con il Garante Italiano.
Il Data Breach
C'è poco da dire, non è stata inviata alcuna notifica al Garante Italiano.
Le notizie stampa hanno reso noto che, a causa di un bug, sulla pagina principale del servizio ChatGPT, l’utente visualizzava la cronologia dei titoli delle chat di altri utilizzatori del servizio anziché le proprie. In seguito la Società ha pubblicamente confermato l’accaduto e ha precisato che i dati coinvolti nella problematica tecnica che avrebbero potuto essere visualizzati da utenti diversi dagli interessati erano il nome, il cognome, l’indirizzo e-mail, nonché le ultime quattro cifre e la scadenza della carta di credito utilizzata per il pagamento del servizio ChatGPT Plus
Nel provvedimento però il Garante scrive un passaggio molto interessante che sarà estremamente utile in futuro per evitare figuracce colossali.
Spesso accade che aziende che hanno subito data breach mandino comunicazioni ambigue agli interessati. Qui il garante chiarisce che se un titolare manda questa comunicazione, implicitamente riconosce il carattere di gravità e, di conseguenza, è tenuto ad una comunicazione conforme a quanto previsto dal GDPR. In breve, non si mandano comunicazioni di cortesia ma solo formali e solo se necessario.
Il 24 marzo 2023, sebbene il rischio per i diritti e le libertà delle persone coinvolte nel data breach fosse stato valutato basso, la Società ha volontariamente intrapreso l’ulteriore iniziativa di pubblicare un post sul proprio sito web e di informare tutti gli utenti potenzialmente coinvolti (cfr. memoria difensiva, versione tradotta, pag. 11).
Conclusioni
Che dire?
Vogliamo sostenere che abbia il Garante abbia sbagliato a constatare l'evidenza? Negheremmo i fatti e dovremmo rinunciare al vincolo di realtà.
Vogliamo provare a dire che il GDPR è troppo pretenzioso e non se ne può più di queste assurde regole, come dire alla gente cosa stai facendo con i suoi dati? Magari che è difficile, costoso o che non c'è tempo per farlo? Un consiglio, prima, assicurati di conoscere bene ciò che il GDPR effettivamente prevede.
Vogliamo istituire un salvacondotto per chi si inventa un modo per dare del lavoro alla gente? Allora dobbiamo dare lo stesso privilegio anche alla Camorra, al traffico di auto rubate e ai furti negli appartamenti.
Fare i propri porci comodi, infischiandosene delle conseguenze, sarà sempre possibile: figuriamoci, è nella natura umana e non sarà certamente un provvedimento del Garante a cambiare le cose, ma da oggi c'è un muro insanguinato che fa da monito.
Grazie per il tuo tempo. Se ti è piaciuto l'articolo o ti ha dato spunti utili per la tua vita, prendi in considerazione l'idea di ringraziarmi. Puoi farlo in due modi:
- Condividendo il mio lavoro sui tuoi social. Così facendo aiuterai altre persone
- Con una donazione. In questo modo aiuterai me.
Se sei un professionista della privacy, fammi sapere come la pensi, il confronto è essenziale per migliorarsi. Se non hai tempo per farlo, rifletti su questo: il mio contributo ti ha aiutato? Ha evitato che facessi una sconfinata figura di mer#a con un cliente? Ti ha permesso di fare bella figura in una riunione? Ti ha agevolato nella stesura di un parere?
Bene... allora mi devi una birra.
Clicca qui per inviare una donazione: un caffè, una birra, una pizza, una Tesla...