Una rondine non fa primavera, un ChatGPT non fa GDPR

La vicenda che ha riguardato ChatGPT e il Garante della Privacy italiano ha sicuramente prodotto un effetto: quello di ottenere da Open AI – come abbiamo detto – dei miglioramenti circa la gestione della privacy degli utenti che si avvalgono dei suoi servizi. Per molti aspetti, il Garante della Privacy non ha fatto altro che ribadire i principi che sono stati espressi, ormai dalla definitiva approvazione del GDPR nel 2018, chiaramente nel regolamento europeo della privacy. Soprattutto per quanto riguarda il tema delle informative, dell’accesso alle piattaforme e della trasparenza nel trattamento dei dati personali. Da questa prospettiva, il fatto che ChatGPT – ad esempio – adotterà un sistema in base al quale gli utenti potranno utilizzare questa piattaforma “in incognito” e senza lasciare che i dati delle loro conversazioni con il bot possano comportare un training del bot stesso non può che essere considerata, più che la vittoria del Garante della Privacy italiano, quella delle buone pratiche previste dal regolamento europeo della privacy.

LEGGI ANCHE > Le nuove impostazioni di gestione della privacy su ChatGPT

GDPR efficace su ChatGPT, ma come agisce con le altre Big Tech?

Tuttavia, quella su ChatGPT è la conquista di una postazione in una battaglia e non certo la vittoria di una guerra. Basti pensare a come è stato applicato il GDPR, nel corso degli anni, nei confronti dell’utilizzo dei dati personali da parte delle grandi multinazionali del digital. Stiamo parlando, nella fattispecie, di Meta (con Facebook e Instagram), di Twitter, di Google, di Netflix e di Amazon, tra le altre.

Sicuramente il GDPR si è rivelato uno strumento efficace nel disciplinare i comportamenti di aziende all’interno dei territori in cui il regolamento è stato recepito (e quindi, nei singoli Stati europei). Contro le grandi multinazionali (contro cui si può agire soltanto a partire dai Paesi dell’Unione Europea dove queste hanno la propria sede legale), il discorso è sempre stato particolarmente complesso. Soprattutto nei primi anni dall’applicazione del GDPR stesso.

Subito dopo il perfezionamento dell’applicazione del regolamento europeo, il numero di ammende è aumentato, raggiungendo un totale parziale di 1,6 miliardi di euro (con un dato che si riferisce esattamente a un anno fa, rilevato nel maggio del 2022). Amazon e WhatsApp sono state sicuramente le aziende più colpite dalla sanzione, ma contro di questa le società stanno ancora aspettando l’esito di un appello. E qui veniamo a una delle note più dolenti del GDPR che sicuramente lo penalizzano nella lotta all’utilizzo indiscriminato dei dati personali da parte delle grandi aziende di BigTech. Ovvero, le tempistiche.

I tempi lunghi di analisi, istruttoria, attuazione del GDPR e i vari passaggi burocratici dei sistemi giudiziari dei singoli Paesi che ospitano le sedi delle multinazionali del digitale sono il vero punto debole dell’attuazione del regolamento. Soprattutto l’Irlanda ha dovuto raccogliere diverse critiche per la lunghezza procedurale con cui ha fronteggiato la questione della privacy e del trasferimento dei dati personali per quanto riguarda le aziende del gruppo Meta.

Questo aspetto, sempre negli ultimi mesi, è stato riconosciuto anche dal garante europeo per la protezione dei dati personali: Wojciech Wiewiórowski – che riveste questa carica dal 2019 – ha evidenziato come sia necessaria una maggiore presenza dell’autorità per pungolare le aziende di Big Tech sul regolamento relativo alla protezione della privacy. «Spero – ha detto – che alcune promesse del GDPR vengano mantenute meglio. Io stesso condivido le opinioni di coloro che ritengono che non vediamo ancora un’applicazione sufficiente, in particolare contro Big Tech».

Insomma, un regolamento che sembra particolarmente efficace e severo nei confronti delle aziende che operano all’interno dei confini nazionali, ma che presenta dei punti deboli (spesso non in punta di definizione, ma semplicemente per come alcuni aspetti vengono interpretati) nei confronti di grandi aziende americane che hanno la loro sede europea in alcuni Paesi che sembrano più lenti di altri a operare nello spirito del GDPR. Una rondine non fa primavera, come un ChatGPT non fa un GDPR.