Il “blocco di ChatGPT” è stato disposto il 30 marzo 2023 dall’Autorità garante per la protezione dei dati personali sul presupposto che i dati utilizzati per addestrare il modello siano stati raccolti senza informare le persone cui si riferiscono e senza averne verificato l’età. Questo, si legge testualmente, nel provvedimento espone i minori che utilizzano il servizio “a risposte assolutamente inidonee rispetto al grado di sviluppo e autoconsapevolezza degli stessi”. Il provvedimento, va detto senza mezzi termini, è fortemente discutibile dal punto di vista tecnico, giuridico e culturale. Esso rivela, da un lato la debolezza con la quale le Autorità nazionali di protezione dei dati trattano la materia e, dall’altro, la sostanziale inapplicabilità della normativa “a tutela della privacy”. Infine, innesca un pericolosissimo meccanismo di reciprocità per cui altri Paesi che hanno normative analoghe —fra le quali Russia e Cina— potrebbero utilizzarle come strumento “legale” per colpire soggetti al di qua della nuova Cortina di ferro di Andrea Monti – Inizialmente pubblicato su Strategikon – un blog di Italian Tech
Andiamo con ordine.
Il consenso della persona interessata è solo una delle basi giuridiche sulle quali se ne possono trattare i dati e, contrariamente a quanto afferma il Garante (che sul punto non motiva) anche a voler seguire la normativa europea OpenAI avrebbe avuto quantomeno un “legittimo interesse” (che tanto dis-piace alle autorità nazionali di protezione) esercitabile in buona fede. I dati utilizzati da OpenAI, infatti, sono stati resi liberamente disponibili dalle singole persone su profili pubblici, blog e piattaforme. In assenza di clausole come quelle previste dalla legge sul diritto d’autore per limitare l’utilizzo e il riutilizzo dei dati (la cosiddetta “riproduzione riservata” o una delle licenze Creative Commons), non è ragionevole quindi ipotizzare un “divieto presunto”. Certo, si può sempre sostenere che, sempre rifacendosi per analogia al diritto d’autore, “quello che non è concesso, è vietato” ma sarebbe paradossale perché questo si tradurrebbe in una limitazione alla circolazione dei dati che lo stesso regolamento europeo non consente. Peraltro, come funzionano la AI generative è noto da tempo quindi se effettivamente il problema del trattamento dei dati ai fini di addestramento fosse rilevante, sarebbe stato necessario intervenire da subito in modo da evitare che i buoi scappassero dalla stalla.
Inoltre, ed è un aspetto critico, prima di provvedere bisognerebbe capire dove si trovano i dati personali che sarebbero stati raccolti da OpenAI. Se fossero stati presenti su server extra UE, infatti, il loro trattamento sarebbe stato innanzi tutto soggetto alla normativa del Paese di localizzazione. È vero che l’Unione Europea, non da sola, ha stabilito l’applicabilità della propria normativa anche al di fuori dei confini degli Stati membri, ma è fortemente discutibile che questo si possa fare per via delle conseguenze politiche nei rapporti con gli USA di una scelta del genere, specie se adottata in modo parziale e incoerente.
La saga infinita dei vari “safe-harbour” e “privacy shield” (gli accordi USA-UE sulla tutela dei dati) sistematicamente annullati dalla Corte di giustizia europea dimostra che inviare i dati dall’altro lato dell’Atlantico non si può fare. Ma le autorità nazionali di protezione dei dati degli Stati membri della UE, a parte qualche comunicato o provvedimento estemporaneo non hanno fatto granchè. Rimanere inerti sarà politicamente necessario, ma giuridicamente inaccettabile. Se i dati personali non si possono consegnare agli USA (o ad altri Paesi che hanno minore tutela giuridica rispetto alla nostra) questo non dovrebbe essere consentito a prescindere da questioni di opportunità; altrimenti si dovrebbe concludere che l’applicazione della legge ubbidisce alla necessità politica e che, dunque, la legge non è (più) al di sopra di tutto e tutti.
La prova empirica di questa affermazione sta nella inerzia del Garante (non solo) italiano su motori di ricerca, piattaforme di social-network e di user-generated content, gestori di DNS non UE e fornitori extracomunitari di software-as-a-service. OpenAI non è certo l’unica né la sola a “trattare” dati personali italiani al di fuori dei confini nazionali e non è certo quella che ne tratta “più” di altri soggetti. Allora, è più che lecito chiedersi sulla base di quali criteri vengano adottati provvedimenti come quello contro OpenAI. Detta in altri termini: se i sistemi non UE per il trattamento dei dati personali sono veramente pericolosi, allora vanno bloccati tutti e non in modo selettivo.
Un’altra contestazione del Garante riguarda il fatto che ChatGPT produce risultati inattendibili e produce disinformazione. E dunque dove sarebbe il problema? Il servizio è dichiaratamente sperimentale e non dovrebbe essere utilizzato per applicazioni che implicano conseguenze per le persone. ChatGPT non produce più “disinformazione” di quanto faccia un qualsiasi motore di ricerca che non seleziona l’attendibilità dei risultati o di Wikipedia che, pur cercando di arginare il problema, non ha un controllo globale e complessivo sui propri contenuti. Chi usa questi sistemi, ChatGPT incluso, lo fa, dunque, a proprio rischio, pericolo e responsabilità.
E già che parliamo di responsabilità, veniamo alla questione “tutela dei minori”.
Non spetta al Garante dei dati personali, peraltro non nuovo a scelte del genere, sostituirsi a chi per legge, madri, padri e tutori, ha la potestà genitoriale sui minorenni. Consentire o meno l’utilizzo dei questo, come di altri servizi è, dunque, una questione di competenza dei “legali rappresentanti” dei minorenni che non possono invocare a propria discolpa “ignoranza”, “incompetenza” o “ineluttabilità” del fatto che i “nativi digitali” non si possono controllare.
Se, però, sussiste il potere del Garante di sostituirsi all’esercizio della potestà genitoriale, allora questo potere dovrebbe essere esercitato verso tutti i servizi di comunicazione elettronica e della società dell’informazione utilizzati dai minorenni. Quindi, per esempio, si dovrebbero sanzionare Apple e chi usa Android sui propri terminali per non avere previsto meccanismi di verifica dell’identità dell’utente (per esempio, prevedendo che lo smartphone sia attivabile già dal primo utilizzo soltanto da un adulto e poi “associato” a uno specifico minore, attivando in questo caso funzioni di “parental control”). Oppure si dovrebbero sanzionare gli operatori di telecomunicazioni che non adottano adeguate misure (e quali mai?) per verificare se il terminale sia utilizzato da un minorenne. Oppure ancora si dovrebbero sanzionare i gestori di sistemi di pagamento che consentono di utilizzare “app” per scambiare soldi e comprare bene o servizi anche a minorenni. Verranno mai emanati provvedimenti del genere?
Certo, questo non cambia il fatto che ChatGPT sia reso disponibile anche a dei minori e la presenza di situazioni anche peggiori non “assolve” OpenAI dal peccato, così come la violazione del limite di velocità in autostrada non è giustificata dal fatto che altri conducenti “tirano” anche di più. Nel caso di ChatGPT, tuttavia, è lecito dubitare che ci sia stata una violazione dei diritti del minore. A differenza di altre piattaforme di AI, l’accesso al servizio non è libero perché bisogna stipulare un contratto. Secondo il diritto italiano solo i maggiorenni possono farlo con piena efficacia giuridica. Se il minore stipula un contratto in autonomia (magari mentendo sull’età) spetta ancora una volta ai genitori chiederne l’annullabilità secondo gli articoli 1425 e 1426 del Codice civile. La scelta del Codice civile italiano è molto ragionevole perché da un lato non blocca le transazioni (che, giova ricordarlo, rappresentano giuridicamente un interesse superiore da tutelare) e dall’altro offre tutela a soggetti deboli.
La sintesi di questo ragionamento è che il provvedimento del Garante crea più problemi di quanti ne risolve. Pone serie criticità politiche ed economiche perché mette in discussione la legittimità dell’intero ecosistema statunitense basato sulle piattaforme e sulla data-economy senza che l’Italia abbia una valida alternativa per cittadini e imprese. Rinforza il principio dell’irresponsabilità individuale e del disimpegno civile perché lascia intendere che —pur di utilizzare l’ennesimo gadget digitale immesso sul mercato— si può rinunciare a rivendicare in prima persona il rispetto dei propri diritti perché tanto ci pensa qualcun altro. Giustifica l’abdicazione degli adulti dal ruolo di educatori e guida dei soggetti deboli che da loro dipendono e a loro sono affidati dalla natura, prima ancora dalla legge.
Possibly Related Posts:
- Chi ci protegge dal dossieraggio tecnologico?
- Webscraping e Dataset AI: se il fine è di interesse pubblico non c’è violazione di copyright
- Perché Apple ha ritirato la causa contro la società israeliana dietro lo spyware Pegasus?
- Le sanzioni UE ad Apple e Google aprono un altro fronte nella guerra contro Big Tech (e incrinano quello interno)
- La rottura tra Stati e big tech non è mai stata così forte