«Pronostico il ritorno di ChatGPT in Italia prima del 1° maggio», l’intervista a Guido Scorza

I tasselli nel mosaico delle interlocuzioni tra il Garante per la protezione dei dati personali e OpenAI sono ben definiti. C’è una data di “scadenza”, quella del 30 aprile, entro cui l’azienda americana deve fornire risposte concrete sulle criticità messe in evidenza dall’Autorità lo scorso 30 marzo. Quei problemi (relativi non solo alla privacy degli utenti) che hanno portato alla sospensione del trattamento dei dati personali sottesi all’erogazione del servizio disposta dal Garante italiano e al blocco da parte di OpenAI degli accessi alla chatbot più famosa del momento sul territorio nostrano. Cosa accadrà ora? Lo abbiamo chiesto a Guido Scorza, membro del Collegio del Garante della Privacy, che ha provato a delineare le tappe pregresse e future di ChatGPT in Italia.

LEGGI ANCHE > Il Garante ha esposto le sue richieste a ChatGPT in nove punti

Scorza ha spiegato che ora la palla è tra i piedi dell’azienda americana che dovrà rispondere concretamente e attivamente dopo le interlocuzioni delle scorse settimane: «Naturalmente, se e cosa cambierà io oggi non lo so. Cosa potrebbe cambiare è la riattivazione del servizio dall’Italia. È una scelta che in questo momento è completamente nelle mani di OpenAI. Se OpenAI, come auspico e come ho anche ragione di ritenere, entro il 30 aprile, prima del 30 aprile, adempierà alle nostre prescrizioni, sarà in condizione, se lo desidererà, di riattivare il servizio anche in Italia. Dal nostro punto di vista, verranno a quel punto meno i motivi di urgenza. Non avremo risolto il problema, però verranno meno i motivi di urgenza che ci avevano indotto ad ordinare la sospensione del trattamento dei dati personali sottesi all’erogazione del servizio».

Guido Scorza su ChatGPT, l’intervista

Quella decisione ha dato vita a una serie di approfondimenti a livello globale. Ma l’Autorità italiana ha condotto un’interlocuzione che sembra poter portare a un lieto epilogo per quel che riguarda il ritorno di ChatGPT in Italia, questa volta rispettando i paletti normativi: «Le prescrizioni sono state adottate a valle di un dialogo, direi aperto e collaborativo con OpenAI, nel quale i confini di ciò che si può far meglio sono stati esplorati. Quindi la mia percezione è che più trasparenza verso i non utenti, quindi verso le persone in cui i dati personali sono stati utilizzati per addestrare l’algoritmo vengono utilizzati oggi per generare dei contenuti e maggiori diritti, tanto per i non utenti che per gli utenti, in particolare naturalmente il diritto di ottenere la cancellazione dei propri dati personali dai dataset utilizzati da OpenAI nell’esercizio della sua attività. Io credo che questi siano obiettivi raggiungibili nel breve periodo».

Nella nostra lunga chiacchierata con Guido Scorza su ChatGPT abbiamo anche approfondito il punto di vista del Garante Privacy sulle criticità e le contestazioni fatte nel corso delle ultime settimane a OpenAI: «Oggi quando iniziamo ad usare ChatGPT da utenti, quindi quando ci registriamo e iniziamo a usarlo nella versione gratis o nella versione a pagamento, ChatGPT ci dice che potrà utilizzare anche i nostri contenuti, i famosi prompt e le conversazioni che generiamo dialogando con il chat GPT, per addestrare, per proseguire l’addestramento dei propri algoritmi, per migliorare l’addestramento dei propri algoritmi. E che lo farà perché ritiene che questa sia una necessità del contratto che in quel momento perfezioniamo con OpenAI in relazione all’utilizzo di ChatGPT. È un po’ come dire che l’indirizzo postale è un dato necessario allo spedizioniere per recapitare il pacco. ChatGPT dice che poter addestrare gli algoritmi attraverso i tuoi dati mi serve per fornirti il servizio. Noi contestiamo questo assunto, come d’altra parte è stato contestato da tutte le autorità europee qualche mese fa nei confronti di Facebook in relazione alla profilazione, e diciamo a ChatGPT chi sceglie di usare quel servizio per accedere alla generazione di contenuti prodotti artificialmente, non necessariamente ha un interesse di natura contrattuale o negoziale a partecipare all’addestramento di quelli che a tutti gli effetti sono e restano i tuoi algoritmi».

Dunque, uno dei vulnus è il principio della base giuridica del trattamento dei dati: «Evidentemente il contratto non può essere la base giuridica per quel trattamento, quello dell’addestramento degli algoritmi. Per addestrare gli algoritmi, essendo altro rispetto a fruire del servizio ChatGPT, ha bisogno di un’altra base giuridica che può essere il legittimo interesse o può essere il consenso in relazione a valutazioni che toccano a OpenAI in quanto titolare del trattamento e che quindi non abbiamo inteso fare: scelga lei quale è la base giuridica, ma certo è che l’utente ha il diritto di usare un servizio, talvolta persino di pagare un prezzo per quel servizio nel caso dell’utilizzo di ChatGPT 3 Pro, senza che i suoi dati finiscano in pasto all’algoritmo per finalità di addestramento». Scorza ha poi proseguito illustrando, tecnicamente, quali sono le perplessità prodotte dalla versione attuale della chatbot di OpenAI, spiegando gli estremi del principio del consenso: «L’utente deve poter scegliere e le due opzioni possibili per scegliere sono: mi chiedi un consenso se voglio te lo do, se non voglio non te lo do, oppure ritieni di poterlo fare cioè dici “io ho un legittimo interesse a migliorare la mia intelligenza artificiale e questo legittimo interesse non comprime troppo il tuo diritto alla privacy, quindi io parto, intanto lo faccio e tu interessato, tu utente, se ritieni che così facendo stia violando il tuo diritto alla privacy eserciti quello che per noi si chiama diritto di opposizione”. Insomma, fai opt-out e mi dice: “Per gli altri continua pure a farlo, ma i miei dati non voglio che siano dati in pasto agli algoritmi per addestrare ulteriormente”».

La raccolta dati da parte di OpenAI

Perché la protezione dei dati personali online è fondamentale, soprattutto in un’epoca storica che ci sta portando a un futuro sempre più digitale. Perché quel che accade nel presente avrà inevitabili riflessi sul domani. Così come è capitato con OpenAI: «La nostra sensazione – ha spiegato Guido Scorza a Giornalettismo -, e questo è probabilmente forse l’aspetto principale dell’intera vicenda, è che quando questi dati sono stati raccolti da fonti più o meno aperte, più o meno pubbliche, quindi parliamo di ciò che è accaduto prima del 2021 nel caso dell’addestramento degli algoritmi di ChatGPT, nessuno sapesse che i propri dati personali sarebbero finiti in posto a quegli algoritmi per addestrarli. Quindi nessuno ha potuto neppure manifestare a OpenAI la volontà di non partecipare a questo esperimento pur innegabilmente finalizzato al perseguimento di un obiettivo che potrà produrre straordinarie opportunità per tutti quanti. Ecco quindi questo è proprio l’aspetto centrale. dobbiamo sciogliere un nodo, non lo scioglieremo in questa fase dell’urgenza, lo scioglieremo più avanti verosimilmente di concerto con tutte le altre autorità europee: chi ha bisogno di addestrare gli algoritmi e per farlo ha bisogno di pescare a strascico da fonti pubbliche, dati anche personali, come deve muoversi? Può farlo sulla base anche qui del legittimo interesse e può farlo senza neppure informare gli interessati della circostanza che lo sta facendo? Sulla prima e sulla seconda domanda, secondo me c’è spazio per risposte diverse, ma c’è una terza domanda la cui risposta è univoca, e cioè: quale che sia la base giuridica sulla quale ritieni di poter raccogliere per addestrare e quale che sia il tuo obbligo in termini di informazione degli utenti, certamente devi riconoscere a qualsiasi persona il diritto di dire “hai raccolto i miei dati, gli hai dati in pasto da un algoritmo per l’addestramento di quell’algoritmo, ma io con questo non sono d’accordo e voglio che i miei dati da lì siano sottrati”. Questo è il famoso diritto di opposizione che abbiamo chiesto di OpenAI di riconoscere per ora almeno a tutte le persone che si collegano dall’Italia o i cui i dati sono stati raccolti tra virgolette dall’internet».

Una riflessione importante, poi, è quello sulla percezione di come si possano trattare i dati personali, anche quelli già presenti online. Anche quelli per cui si è dato un consenso: «Un passaggio che spesso sfugge – ha detto Scorza a GTT -, è che si dice che quei dati sono stati raccolti da internet e quindi erano pubblici. Quello che è online, che è pubblicamente accessibile, non è liberamente utilizzabile da chiunque per farci qualsiasi cosa. Quindi, per provare a far passare dall’altra parte il messaggio:  se io pubblico sul mio blog di tipo professionale, il mio numero di telefono per essere contattato da chi mi volesse chiedere una consulenza, questo non ha niente a che vedere con la circostanza che domani lo Spider di una società di telemarketing possa passare online, fare incetta di tutti i numeri di telefono, di telefonino che trova pubblicati online e iniziare ad utilizzarli per fare telemarketing senza consenso. Quindi la presenza di quel dato online nulla dice circa il diritto di terzi di utilizzare quel dato per finalità altra. Un giornale pubblica il mio nome e il mio cognome e lo pone in relazione ad un incidente stradale che io ho avuto. Lo fa, se ne ricorrono i presupposti nell’esercizio del diritto di cronaca, ma questo non autorizza qualcun altro a passare poi sulla pagina di quel giornale, prendersi i miei dati personali e darli in pasto a un algoritmo per insegnarli a scrivere un articolo che racconta di un incidente stradale».

Guido Scorza su ChatGPT: la age verification

E tra i tanti punti critici che hanno portato al provvedimento del Garante Privacy, c’è anche quella barriera all’ingresso per i minori di 13 anni (presente nella policy, ma senza uno strumento reale prima di accedere alla piattaforma): «A OpenAI nell’immediato chiediamo “semplicemente” di sollevare un age gate, quindi di chiedere all’utente di dichiarare la propria età e poi c’è un secondo passaggio, come si ricordava prima, per un age verification vera e propria. Credo che l’age verification debba essere un punto di arrivo comune. Abbiamo annunciato nei giorni scorsi l’istituzione di un tavolo con l’autorità per le garanzie nelle comunicazioni (Agcom, ndr) che ha esattamente l’obiettivo di arrivare nello spazio di qualche mese ad un codice di co-regolamentazione da adottarsi insieme agli altri stakeholders per fare in modo che, su base volontaria, almeno le grandi piattaforme si dotino di strumenti di age verification. Qui c’è un problema che sembra difficile gestire ormai in maniera diversa da questa e cioè la circostanza che gli utenti, soprattutto i più piccoli, scambiano e barattano dati personali in cambio di servizi senza avere alcuna consapevolezza di questo di questo scambio. Nelle intelligenze artificiali conversazionali, nelle chat tipo OpenAI, la percezione che questo scambio possa essere o possa diventare uno scambio particolarmente importante, perché verosimilmente il minore con una modesta educazione digitale e ai diritti fondamentali non ha modo di rendersi conto che per avere una risposta da OpenAI molto spesso racconta a OpenAI tantissimo di se stesso. Siamo tutti d’accordo che OpenAI raccoglie quelle informazioni non per sapere qualcosa di “Paolo”, ma per sviluppare una capacità generativa neutra rispetto alle persone che utilizzano i suoi servizi. Ma fatto sta che quelle informazioni che “Paolo” condivide con OpenAI poi finiscono con le essere trattate. Da OpenAI, ma abbiamo visto che anche i grandi sbagliano e la stessa OpenAI può essere, come è accaduto, vittima di incidenti in cui ciò che ha dentro casa finisce con l’essere di dominio pubblico. Quindi per noi, dove esiste una raccolta importante di dati personali, è fondamentale che vi sia consapevolezza da parte dell’interessato. L’interessato minore è un problema più rilevante perché non si rende conto di questo livello di rischiosità dello scambio».

Le carte sul tavolo, dunque, sono scoperte. E nelle battute finali della nostra intervista a Guido Scorza su ChatGPT abbiamo provato a fare il punto delle richieste che dovranno essere integrate da OpenAI entro e non oltre il 30 aprile: «Queste richieste sono figlie, naturalmente – e non c’è nessun segreto in questo – di un dialogo con OpenAI. Quindi non siamo arrivati a quel livello di dettaglio nel dialogo che c’è stato, ma certamente abbiamo esplorato per giorni con OpenAI le possibilità di migliorare il servizio dal punto di vista della privacy per rimuovere almeno gli ostacoli dell’urgenza. Quindi ho ragione di ritenere che si tratti di prescrizioni che sono accessibili per OpenAI. Io credo che il tema non sia più “cosa fare per restare in Italia” o cosa fare o, viceversa, se scegliere di lasciare l’Italia. Queste prescrizioni, con pochissimi distinguo, sono verosimilmente l’elenco minimo, la checklist minima per fornire il servizio che OpenAI intende fornire in tutta Europa, se non in tutto il mondo. Quindi io credo che OpenAI abbia perfettamente chiaro che, di fatto, l’Italia in questo momento sia un laboratorio di compatibilità tra il suo diritto ad innovare e diritti fondamentali che sono comuni a tutti i paesi dell’Unione Europea. Ieri è stata istituita una task force nel board delle autorità di protezione con l’obiettivo diciamo di mettere a fattor comune i dubbi, le perplessità, le possibili soluzioni in relazione a OpenAI e ad altre intelligenze artificiali analoghe. La mia percezione è che in questo momento nessuno in OpenAI stia ragionando sul “adempio o lascio l’Italia”, ma che si stia semplicemente lavorando con le maniche rimboccate per fare le cose e per riaprire l’Italia perché riaprire l’Italia significa mandare un messaggio distensivo di apertura alla collaborazione a tutte le autorità di protezione dei dati che operano in Europa».

Guido Scorza su ChatGPT: il pronostico sul ritorno

Europa e altri Paesi che hanno seguito l’esempio dell’Italia, alzando le antenne per capire e prendere spunto: «Confortano sicuramente le azioni degli altri Paesi e delle altre autoritò, soprattutto rispetto alle battute iniziali di questa vicenda. Devo dire non ci siamo mai sentiti particolarmente soli, perché abbiamo  sempre avuto la consapevolezza di aver applicato una disciplina europea. Possiamo avere avuto il dubbio di quando altre autorità di protezione dei dati europee sarebbero intervenute e avrebbero fatto altrettanto, ma non abbiamo mai avuto il dubbio che questo sarebbe accaduto. Perché la disciplina è uniforme e i nostri obblighi di protezione degli europei sono gli stessi. Che noi si abbia alle spalle una bandiera italiana, una bandiera francese, una bandiera tedesca o una olandese. Quindi è confortante adesso sapere che potremo mettere a fattor comune questo sapere dentro una task force, condividere dubbi perplessità e possibili soluzioni. Siamo meno soli fattivamente a lavorare su queste cose, ma non eravamo soli nemmeno al giorno zero perché le regole che stavamo applicando erano europee, il comune sentire delle autorità di protezione è molto molto radicato in ogni singola autorità di protezione. Se uno risale a ritroso la rassegna stampa internazionale di questi giorni, dalle primissime ore del nostro intervento tutti i nostri maggiori colleghi europei sono usciti con comunicati nei quali si diceva “stiamo seguendo quella vicenda, è un tema che interessa anche noi”. L’hanno fatto i tedeschi subito, i francesi e gli spagnoli a seguire. Oggi, di fatto, la Spagna ha un istruttore aperta, ce n’è una la Francia, gli altri evidentemente seguiranno. Quindi è un caso che in questo enorme circo delle cose del digitale, l’Italia sia partita per prima su ChatGPT e che qualche mese fa la Francia fosse partita per prima su Google e che ieri l’Austria è partita per prima sui Paywall degli editori di Giornale. Chi trova la palla e chi ha la palla sui piedi la gioca, perché il nostro compito è giocare le palle dalla parte dei cittadini, dalla parte delle persone. Poi alla fine, un istante dopo, ci si schiera tutti quanti nella stessa metà del campo e si gioca insieme alla partita».

Questa intervista a Guido Scorza su ChatGPT, in rappresentanza del Collegio dell’Autorità Garante per la protezione dei dati personali, non poteva non chiudersi con la richiesta di un pronostico sull’epilogo di questa vicenda. OpenAI rispetterà le richieste? E, soprattutto, ChatGPT tornerà disponibile in Italia il primo giorno di maggio? «Credo di sì, io pronosticherei persino prima del 1° maggio». C’è, dunque, una grande fiducia sul rispetto delle regole e, a breve, anche in Italia si potrà tornare a utilizzare (regolarmente e senza sotterfugi) la chatbot più famosa del momento.