AI e Privacy. Il GDPR rallenta l’innovazione? Il caso del Garante Privacy Italiano contro ChatGPT.

L’era dell’informazione ha reso evidente la centralità dei dati nello sviluppo tecnologico. Oggi, infatti, le tecnologie a più alto valore aggiunto sono quelle in grado di raccogliere, manipolare e trasformare l’informazione. L’intelligenza artificiale ne è l’esempio più spettacolare e tra tutte le sue possibili applicazioni i Large Language Models (“LLMs”, o “modelli”) hanno conquistato il centro dell’attenzione. Essi sono sostanzialmente agenti digitali che comunicano con gli esseri umani attraverso il linguaggio: rispondono alle loro domande, sintetizzano i loro testi, e li traducono in quasi tutte le lingue del mondo. Il celeberrimo ChatGPT di OpenAI fa parte di questa classe di tecnologie.

Tale livello di precisione nell’uso del linguaggio è possibile grazie al processo di addestramento dei modelli. Semplificando il meccanismo ai suoi minimi termini, si somministrano enormi quantità di testo ad una macchina composta da reti neurali. Leggendo tutto il materiale somministrato e applicando tecniche di calcolo statistico per misurare la frequenza con cui due parole compaiono assieme nella stessa frase, la macchina “impara” ad usare il linguaggio. Si tratta, sostanzialmente, di una attività di imitazione delle capacità umane che astrae correlazioni da un numero elevatissimo di esempi. Ma i testi utilizzati per l’addestramento, spesso, sono presi dal web (“web scraping”) e contengono dati personali di soggetti (i cc.dd. interessati al trattamento) che non hanno mai autorizzato questo tipo di trattamento. Si pensi ad un articolo di giornale che riporta i dettagli di un caso di cronaca nera, e in cui vengono espressamente indicati il nome, l’età, e la provenienza degli incolpati. È proprio in questi casi che si manifesta lo scontro tra General Data Protection Regulation (“GDPR”), e le imprese sviluppatrici di LLM. Il Regolamento europeo appena citato, infatti, dispone particolari obblighi in capo a coloro che effettuano il trattamento (titolari), i più importanti dei quali sono: la scelta di una base giuridica per la liceità del trattamento (art. 6 GDPR); l’informativa, per rendere edotto l’interessato delle finalità del trattamento e dei suoi titolari (art. 12 GDPR); la possibilità per l’interessato di richiedere la rettifica dei suoi dati e di opporsi al trattamento (artt. 16 e 21 GDPR).

Garante Privacy vs OpenAI

Il 30 Marzo 2023, in controtendenza rispetto al resto del mondo, il Garante della Privacy italiano ha emesso un provvedimento con cui ha limitato temporaneamente la raccolta ed il trattamento dei dati personali che OpenAI conduceva sul territorio italiano, provocando così il blocco nazionale di ChatGPT. L’esercizio di questi poteri incisivi fu sostenuto principalmente dal fatto che OpenAI non avesse né fornito alcuna informativa agli interessati che indicasse lo scopo del trattamento (cioè, l’addestramento del modello) e le sue modalità, né motivato la liceità del trattamento stesso con una base giuridica adeguata. Al provvedimento del Garante seguirono alcuni scambi tra l’autorità indipendente ed OpenAI, culminati nel ripristino del servizio il giorno 11 aprile 2023, condizionato a: la trasmissione di un’informativa completa agli interessati al trattamento; la possibilità per gli stessi di esercitare il diritto di rettifica e di opposizione al trattamento dei dati personali; e, infine, l’utilizzo del consenso degli interessati o del legittimo interesse come base giuridica del trattamento. Oggi, OpenAI correttamente fornisce un’informativa agli interessati, e usa come base giuridica il suo legittimo interesse a trattare i dati personali che incidentalmente si trovano nei testi pubblicamente disponibili per l’addestramento dei suoi modelli. Lo scopo del trattamento è l’insegnamento del linguaggio alla macchina al fine di sviluppare tecnologie benefiche per il consumatore. OpenAI fornisce così una motivazione alla sovra ordinazione del suo interesse al trattamento dei dati personali rispetto a quello opposto degli interessati, soddisfacendo così la condizione necessaria per poter invocare il legittimo interesse come base giuridica. Nonostante ciò, il 29 gennaio 2024 il Garante Privacy ha contestato ad OpenAI la commissione di condotte illecite ai sensi del GDPR, e ha istituto una task force europea per esaminare le risultanze istruttorie dei garanti privacy europei. Il 23 maggio 2024, la task force ha pubblicato il suo report, reiterando i dubbi avanzati dal Garante italiano. Si noti come il report evidenzi ben cinque diversi trattamenti operati da ChatGPT, ciascuno dei quali necessita di una specifica base giuridica: la raccolta di dati, il pre-trattamento (che include una fase di filtraggio dei “dati buoni” dai “dati cattivi”), l’addestramento, la risposta che ChatGPT produce all’input dell’utente e il re-addestramento del modello con i prompt immessi dall’utente. Nei prossimi mesi potrebbero seguire dunque ulteriori contestazioni o azioni legali contro OpenAI.

GDPR e innovazione

Il caso riportato evidenzia come le prescrizioni del GDPR rappresentino spesso un ostacolo alla circolazione dell’informazione e all’innovazione, a causa dei costi di varia natura che vengono imposti alle imprese. Questi costi sono in effetti riconosciuti anche dal Report sulla Competitività che la Commissione Europea ha affidato a Mario Draghi, pubblicato il 9 settembre 2024, da cui emergono le difficoltà che le imprese devono affrontare quando i loro prodotti e servizi rientrano nell’alveo regolamentare del GDPR, e i relativi costi, soprattutto in merito alla loro circolazione nel mercato europeo, a danno della competitività generale.[1] Numerosi studi, come quelli di Martin et al. del 2019 e 2023, ritraggono poi un quadro ancora peggiore per le start-up innovative e le invenzioni radicali. Ma oltre ai costi strettamente necessari per la compliance, vanno anche calcolati i mancati guadagni in caso di interruzione del servizio, e il costo sociale per i paesi membri di adottare in ritardo uno strumento pioneristico già disponibile nel resto del mondo.  Infine, la necessità di fondare il trattamento dei dati personali sull’interesse legittimo espone il responsabile a facili contestazioni da parte delle autorità privacy europee, che facilmente possono eccepire che l’interesse non sia legittimo, o che il bilanciamento tra i diritti del responsabile e dell’interessato sia erroneo, aumentando così anche i rischi legali collegati al contenzioso. Questi effetti sugli innovatori – e la generale tendenza del regolatore europeo ad aggiungere regole ogni volta che una tecnologia dirompente si affaccia sul mercato – contribuiscono a spiegare perché nessuno dei grandi players internazionali del tech siano nati in Europa. Sarebbe dunque auspicabile una forte cautela nell’esercizio dei poteri discrezionali delle autorità indipendenti. Inoltre, un rallentamento nella stratificazione legislativa del tech ed una sua semplificazione, come consigliato nel Report Draghi, contribuirebbero ad aumentare l’output innovativo in Europa. Resta essenziale il coinvolgimento di consulenti legali fin dalla fase di progettazione di beni e servizi, per minimizzare i rischi dopo la loro immissione nel mercato.

[1] Il Report menziona costi medi di circa € 1,3 mln per le imprese di 500 dipendenti.