Trends

News - Trend trimestrale

Volume trimestrale

... ..%

Volume semestrale

... ..%

ChatGPT riattivato in Italia

17 minuti

Paolo Marinoni 2 Maggio 2023
17 minuti

Il Garante della privacy ha concesso a OpenAI di riattivare ChatGPT in Italia dopo quasi un mese dalla sua sospensione, avvenuta il 30 marzo. Una decisione raggiunta dopo che la società ha recepito buona parte delle prescrizioni imposte dall’Autorità.

ChatGPT, i motivi della riapertura in Italia

OpenAI ha convito l’Autorità garantendo una maggiore trasparenza e il rispetto dei diritti degli utenti, punti centrali nei provvedimenti adottati dal Garante.

Provvedimento dell’11 aprile

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il provvedimento n. 112 del 30 marzo 2023 di limitazione provvisoria di cui all’art. 58, par. 2, lett. f), del Regolamento, adottato nei confronti OpenAI L.L.C. (di seguito anche “Società”) dal Presidente in via d’urgenza, ai sensi dell’art. 5, comma 8, del Regolamento n. 1/2000 sull’organizzazione e il funzionamento dell’Ufficio del Garante, che è stato ratificato nella adunanza dell’8 aprile 2023;

VISTA l’e-mail del 3 aprile 2023 con la quale la Società ha espresso la disponibilità a un incontro con il Garante;

PRESO ATTO degli esiti della riunione svoltasi in teleconferenza tra il Collegio e i vertici della Società il giorno 5 aprile 2023;

VISTE le informazioni acquisite da OpenAI che, con le note del 6 e 7 aprile 2023, ha manifestato, tra l’altro, la disponibilità a collaborare con il Garante, chiedendo, altresì, la revoca del provvedimento di limitazione provvisoria del trattamento;

RITENUTO, a fronte delle informazioni acquisite e della disponibilità manifestata dalla Società a porre in essere una serie di misure concrete a tutela dei diritti e delle libertà degli interessati, i cui dati sono stati trattati per l’addestramento degli algoritmi strumentali all’erogazione del servizio ChatGPT, e degli utenti del servizio medesimo, fermo restando il naturale proseguimento dell’attività istruttoria avviata, di poter procedere a rivalutare la sussistenza dei presupposti del provvedimento di limitazione provvisoria, adottando le conseguenti determinazioni,  a condizione che OpenAI provveda ad attuare concretamente una serie di misure e prescrizioni di seguito specificamente individuate, che vengono ingiunte alla Società ai sensi dell’art. 58, par. 2, lett. d), del Regolamento:

1. predisporre e pubblicare sul proprio sito internet un’informativa che, nei termini e con le modalità di cui all’art. 12 del Regolamento, spieghi agli interessati anche diversi dagli utenti del servizio ChatGPT, i cui dati sono stati raccolti e trattati ai fini dell’addestramento degli algoritmi, le modalità del trattamento, la logica alla base del trattamento necessario al funzionamento del servizio, i diritti loro spettanti in qualità di interessati e ogni altra informazione prevista dal Regolamento;

2. mettere a disposizione, sul proprio sito Internet, almeno agli interessati, anche diversi dagli utenti del servizio, che si collegano dall’Italia, uno strumento attraverso il quale possano esercitare il diritto di opposizione rispetto ai trattamenti dei propri dati personali, ottenuti da terzi, svolti dalla società ai fini dell’addestramento degli algoritmi e dell’erogazione del servizio;

3. mettere a disposizione, sul proprio sito Internet, almeno agli interessati, anche diversi dagli utenti del servizio, che si collegano dall’Italia, uno strumento attraverso il quale chiedere e ottenere la correzione di eventuali dati personali che li riguardano trattati in maniera inesatta nella generazione dei contenuti o, qualora ciò risulti impossibile allo stato della tecnica, la cancellazione dei propri dati personali;

4. inserire un link all’informativa rivolta agli utenti dei propri servizi nel flusso di registrazione in una posizione che ne consenta la lettura prima di procedere alla registrazione, attraverso modalità tali da consentire a tutti gli utenti che si collegano dall’Italia, ivi inclusi quelli già registrati, al primo accesso successivo all’eventuale riattivazione del servizio, di prendere visione di tale informativa;

5. modificare la base giuridica del trattamento dei dati personali degli utenti ai fini dell’addestramento degli algoritmi, eliminando ogni riferimento al contratto e assumendo come base giuridica del trattamento il consenso o il legittimo interesse in relazione alle valutazioni di competenza della società in una logica di accountability;

6. mettere a disposizione, sul proprio sito Internet, almeno agli utenti del servizio, che si collegano dall’Italia, uno strumento facilmente accessibile attraverso il quale esercitare il diritto di opposizione al trattamento dei propri dati acquisiti in sede di utilizzo del servizio per l’addestramento degli algoritmi qualora la base giuridica prescelta ai sensi del punto 5 che precede sia il legittimo interesse;

7. in sede di eventuale riattivazione del servizio dall’Italia, inserire la richiesta, a tutti gli utenti che si collegano dall’Italia, ivi inclusi quelli già registrati, di superare, in sede di primo accesso, un age gate che escluda, sulla base dell’età dichiarata, gli utenti minorenni;

8. sottoporre al Garante, entro il 31 maggio 2023, un piano per l’adozione di strumenti di age verification idoneo a escludere l’accesso al servizio agli utenti infratredicenni e a quelli minorenni in assenza di un’espressa manifestazione di volontà da parte di chi esercita sugli stessi la responsabilità genitoriale. L’implementazione di tale piano dovrà decorrere, al più tardi, dal 30 settembre 2023;

9. promuovere, entro il 15 maggio 2023, una campagna di informazione, di natura non promozionale, su tutti i principali mezzi di comunicazione di massa italiani (radio, televisione, giornali e Internet) i cui contenuti andranno concordati con il Garante, allo scopo di informare le persone dell’avvenuta probabile raccolta dei loro dati personali ai fini dell’addestramento degli algoritmi, dell’avvenuta pubblicazione sul sito internet della Società di un’apposita informativa di dettaglio e della messa a disposizione, sempre sul sito internet della Società, di uno strumento attraverso il quale tutti gli interessati possono chiedere e ottenere la cancellazione dei propri dati personali;

RITENUTO che le prescrizioni di cui ai punti da 1 a 7 debbano essere integralmente adempiute non oltre il 30 aprile 2023;

RITENUTO, alle predette condizioni, di poter sospendere l’efficacia del proprio provvedimento di limitazione provvisoria a far data dall’adempimento delle prescrizioni da 1 a 7, con salvezza di ogni ulteriore intervento, anche di carattere urgente e temporaneo, nel caso di inidonea o insufficiente attuazione delle prescrizioni sopra indicate;

PRECISATO che le odierne decisioni vengono comunque assunte con salvezza di ogni ulteriore misura che si rendesse necessaria a conclusione della formale istruttoria in corso;

VISTA la documentazione in atti;

RELATORE il prof. Pasquale Stanzione;

TUTTO CIÒ PREMESSO IL GARANTE

a) ai sensi dell’art. 58, par. 2, lett. d), del Regolamento ingiunge ad OpenAI L.L.C., società statunitense sviluppatrice e gestrice di ChatGPT, in qualità di titolare del trattamento dei dati personali effettuato attraverso tale applicazione, entro i termini di cui alle premesse:

1. la predisposizione e pubblicazione sul proprio sito internet di un’informativa che, nei termini e con le modalità di cui all’art. 12 del Regolamento, spieghi agli interessati anche diversi dagli utenti del servizio ChatGPT, i cui dati sono stati raccolti e trattati ai fini dell’addestramento degli algoritmi, le modalità del trattamento, la logica alla base del trattamento necessario al funzionamento del servizio in tutte le diverse declinazioni (ChatGPT, API ecc.), i diritti loro spettanti in qualità di interessati e ogni altra informazione prevista dal Regolamento;

2. la messa a disposizione, sul proprio sito Internet, almeno agli interessati, anche diversi dagli utenti del servizio, che si collegano dall’Italia, di uno strumento attraverso il quale possano esercitare il diritto di opposizione rispetto ai trattamenti svolti dalla società ai fini dell’addestramento degli algoritmi e dell’erogazione del servizio;

3. la messa a disposizione, sul proprio sito Internet, almeno agli interessati, anche diversi dagli utenti del servizio, che si collegano dall’Italia, di uno strumento attraverso il quale chiedere e ottenere la correzione di eventuali dati personali che li riguardano trattati in maniera inesatta nella generazione dei contenuti o, qualora ciò risulti impossibile allo stato della tecnica, la cancellazione dei propri dati personali;

4. l’inserimento di un link all’informativa rivolta agli utenti dei propri servizi nel flusso di registrazione in una posizione che ne consenta la lettura prima di procedere alla registrazione facendo in modo che tutti gli utenti che si collegano dall’Italia, ivi inclusi quelli già registrati, al primo accesso successivo all’eventuale riattivazione del servizio, debbano prendere visione di tale informativa;

5. la modifica della base giuridica del trattamento dei dati personali degli utenti ai fini dell’addestramento algoritmico, eliminando ogni riferimento al contratto e assumendo come base giuridica del trattamento il consenso o il legittimo interesse in relazione alle valutazioni di competenza della società in una logica di accountability;

6. la messa a disposizione, sul proprio sito Internet, almeno agli utenti del servizio, che si collegano dall’Italia, di uno strumento facilmente accessibile attraverso il quale esercitare il diritto di opposizione al trattamento dei propri dati per l’addestramento degli algoritmi qualora la base giuridica prescelta ai sensi del punto 5 che precede sia il legittimo interesse;

7. in sede di eventuale riattivazione del servizio dall’Italia, la richiesta, a tutti gli utenti che si collegano dall’Italia, ivi inclusi quelli già registrati, di superare, in sede di primo accesso, un age gate che escluda, sulla base dell’età dichiarata, gli utenti minorenni;

8. la sottoposizione al Garante, entro il 31 maggio 2023, di un piano per l’adozione di strumenti di age verification idoneo a escludere l’accesso al servizio agli utenti infratredicenni e a quelli minorenni in assenza di un’espressa manifestazione di volontà da parte di chi esercita sugli stessi la responsabilità genitoriale. L’implementazione di tale piano dovrà decorrere, al più tardi, dal 30 settembre 2023;

9. la promozione, entro il 15 maggio 2023 di una campagna di informazione, di natura non promozionale, su tutti i principali mezzi di comunicazione di massa italiani (radio, televisione, giornali e Internet) i cui contenuti andranno concordati con il Garante allo scopo di informare le persone dell’avvenuta probabile raccolta dei loro dati personali ai fini dell’addestramento degli algoritmi, dell’avvenuta pubblicazione sul sito internet della società di un’apposita informativa di dettaglio e della messa a disposizione, sempre sul sito internet della società, di uno strumento attraverso il quale tutti gli interessati potranno chiedere e ottenere la cancellazione dei propri dati personali.

b) sospende il provvedimento di limitazione provvisoria adottato con deliberazione d’urgenza del Presidente n. 112 del 30 marzo 2023 e ratificato dal Collegio nell’adunanza dell’8 aprile 2023 a far data dall’adempimento delle prescrizioni di cui ai punti da 1 a 7 che precedono.

Le decisioni di cui ai punti precedenti sono assunte con piena salvezza di ogni attività di accertamento delle eventuali violazioni della disciplina vigente eventualmente poste in essere dal titolare del trattamento e di ogni ulteriore o diversa misura che si rendesse necessaria a conclusione della formale istruttoria in corso.

Il Garante, ai sensi dell’art. 58, par. 1, del Regolamento e dell’art. 157 del Codice invita il titolare del trattamento destinatario del provvedimento, altresì, a comunicare:

– entro il 30 aprile 2023, quali iniziative siano state intraprese al fine di dare attuazione a quanto prescritto ai punti da 1 a 7;

– entro le date previste per il loro adempimento quali iniziative siano state intraprese al fine di dare attuazione a quanto prescritto ai punti da 8 a 9.

– Si ricorda che il mancato riscontro alle richieste ai sensi dell’art. 58 del Regolamento è punito con la sanzione amministrativa di cui all’art. 83, par. 5, lett. e), del Regolamento medesimo.

Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del d. lg. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 11 aprile 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei

Provvedimento dell’11 aprile

Tra le misure, figura la predisposizione di un’informativa sui dati personali trattati per il training del modello alla base del chatbot. Rilevante anche il riconoscimento del diritto di opposizione in capo a chiunque sia interessato dal trattamento. Ciò è garantito in concreto dall’introduzione di un modulo online per l’esercizio di tale diritto.

L’esclusione dei dati dal training e l’età

È stato anche implementato un modulo per gli utenti europei che consente di escludere le conversazioni e la relativa cronologia dal training degli algoritmi.

Inoltre, nella schermata di benvenuto riservata agli utenti italiani registrati, è ora presente un nuovo pulsante. Questo dovrà essere utilizzato dagli utenti, i quali dovranno dichiarare di essere maggiorenni o ultratredicenni. Questi ultimi dovranno inoltre dichiarare di avere il permesso dei loro genitori o tutori. Una richiesta inclusa anche in fase di registrazione dei nuovi utenti.

Le parole del Garante e i prossimi passi

A seguito dell’adeguamento alle prescrizioni da parte di OpenAI, il Garante ha annunciato lo sblocco di ChatGPT sul proprio sito ufficiale e ha dichiarato:

“L’Autorità esprime soddisfazione per le misure intraprese e auspica che OpenAI, nelle prossime settimane, ottemperi alle ulteriori richieste impartitele con lo stesso provvedimento dell’11 aprile con particolare riferimento all’implementazione di un sistema di verifica dell’età e alla pianificazione e realizzazione di una campagna di comunicazione finalizzata a informare tutti gli italiani di quanto accaduto e della possibilità di opporsi all’utilizzo dei propri dati personali ai fini dell’addestramento degli algoritmi.

L’Autorità riconosce i passi in avanti compiuti per coniugare il progresso tecnologico con il rispetto dei diritti delle persone e auspica che la società prosegua lungo questo percorso di adeguamento alla normativa europea sulla protezione dati.

L’Autorità proseguirà dunque nell’attività istruttoria avviata nei confronti di OpenAI e nel lavoro che porterà avanti la apposita task force costituita in seno al Comitato che riunisce le Autorità per la privacy dell’Unione europea”.

ChatGPT: OpenAI riapre la piattaforma in Italia garantendo più trasparenza e più diritti a utenti e non utenti europei

OpenAI, la società statunitense che gestisce ChatGPT, ha fatto pervenire al Garante per la protezione dei dati personali una nota nella quale illustra le misure introdotte in ottemperanza alle richieste dell’Autorità contenute nel provvedimento dello scorso 11 aprile, spiegando di aver messo a disposizione degli utenti e non utenti europei e, in alcuni casi, anche extra-europei, una serie di informazioni aggiuntive, di aver modificato e chiarito alcuni punti e riconosciuto a utenti e non utenti soluzioni accessibili per l’esercizio dei loro diritti.  Alla luce di questi miglioramenti OpenAI ha reso nuovamente accessibile ChatGPT agli utenti italiani.

OpenAI, in particolare, ha:
•    predisposto e pubblicato sul proprio sito un’informativa rivolta a tutti gli utenti e non utenti, in Europa e nel resto del mondo, per illustrare quali dati personali e con quali modalità sono trattati per l’addestramento degli algoritmi e per ricordare che chiunque ha diritto di opporsi a tale trattamento;
•    ampliato l’informativa sul trattamento dei dati riservata agli utenti del servizio rendendola ora accessibile anche nella maschera di registrazione prima che un utente si registri al servizio;
•    riconosciuto a tutte le persone che vivono in Europa, anche non utenti, il diritto di opporsi a che i loro dati personali siano trattati per l’addestramento degli algoritmi anche attraverso un apposito modulo compilabile online e facilmente accessibile;
•    ha introdotto una schermata di benvenuto alla riattivazione di ChatGPT in Italia, con i rimandi alla nuova informativa sulla privacy e alle modalità di trattamento dei dati personali per il training degli algoritmi;
•    ha previsto per gli interessati la possibilità di far cancellare le informazioni ritenute errate dichiarandosi, allo stato, tecnicamente impossibilitata a correggere gli errori;
•    ha chiarito, nell’informativa riservata agli utenti, che mentre continuerà a trattare taluni dati personali per garantire il corretto funzionamento del servizio sulla base del contratto, tratterà i loro dati personali ai fini dell’addestramento degli algoritmi, salvo che esercitino il diritto di opposizione, sulla base del legittimo interesse; 
•    ha implementato per gli utenti già nei giorni scorsi un modulo che consente a tutti gli utenti europei di esercitare il diritto di opposizione al trattamento dei propri dati personali e poter così escludere le conversazioni e la relativa cronologia dal training dei propri algoritmi; 
•    ha inserito nella schermata di benvenuto riservata agli utenti italiani già registrati al servizio un pulsante attraverso il quale, per riaccedere al servizio, dovranno dichiarare di essere maggiorenni o ultratredicenni e, in questo caso, di avere il consenso dei genitori;
•    ha inserito nella maschera di registrazione al servizio la richiesta della data di nascita prevedendo un blocco alla registrazione per gli utenti infratredicenni e prevedendo, nell’ipotesi di utenti ultratredicenni ma minorenni che debbano confermare di avere il consenso dei genitori all’uso del servizio.

L’Autorità esprime soddisfazione per le misure intraprese e auspica che OpenAI, nelle prossime settimane, ottemperi alle ulteriori richieste impartitele con lo stesso provvedimento dell’11 aprile con particolare riferimento all’implementazione di un sistema di verifica dell’età e alla pianificazione e realizzazione di una campagna di comunicazione finalizzata a informare tutti gli italiani di quanto accaduto e della possibilità di opporsi all’utilizzo dei propri dati personali ai fini dell’addestramento degli algoritmi.

L’Autorità riconosce i passi in avanti compiuti per coniugare il progresso tecnologico con il rispetto dei diritti delle persone e auspica che la società prosegua lungo questo percorso di adeguamento alla normativa europea sulla protezione dati.

L’Autorità proseguirà dunque nell’attività istruttoria avviata nei confronti di OpenAI e nel lavoro che porterà avanti la apposita task force costituita in seno al Comitato che riunisce le Autorità per la privacy dell’Unione europea.

Roma, 28 aprile 2023

ChatGPT: OpenAI riapre la piattaforma in Italia garantendo più trasparenza e più diritti a utenti e non utenti europei

Il Garante resta dunque in attesa che OpenAI ottemperi a tutte le prescrizioni elencate nei precedenti provvedimenti. La loro attuazione è in programma per le prossime settimane.

ChatGPT spiega la sospensione del servizio

Il blocco di ChatGPT ha generato una serie di reazioni nel pubblico generale e anche tra gli esperti. Per ‘chiarire’ ulteriormente i motivi che hanno spinto il Garante alla sospensione del servizio, lo abbiamo chiesto direttamente a ChatGPT:

ChatGPT riattivato in Italia 2
Screeshot del sito di ChatGPT

Abbiamo poi indagato maggiormente:

ChatGPT riattivato in Italia 3
Screeshot del sito di ChatGPT

Le risposte del chatbot risultano particolarmente vaghe, ma ciò è dovuto ai dati utilizzati per il training del modello. GPT-3.5 è infatti addestrato prevalentemente su dati che risalgono alla fine del 2021, perciò non conosce l’attualità.


In Evidenza


Quando le relazioni sono artificiali

Da un partner virtuale a una conversazione con una persona…

Chi fermerà l’AI? Riflessione sull’appello di Musk

Elon Musk e altri mille esperti chiedono una pausa di…

Elon Musk e altri mille esperti: “Allarme intelligenza artificiale”

Elon Musk e altri mille esperti hanno chiesto di sospendere…

Microsoft 365 Copilot, un’AI generativa per la produttività

Microsoft ha lanciato 365 Copilot, un servizio di intelligenza artificiale…

OpenAI rilascia GPT-4, più potente e multimodale

GPT-4 è arrivato. Un modello multimodale e con 100 trilioni…