Alla luce del provvedimento del Garante per la protezione dei dati personali, OpenAI avrà tempo fino al 30 aprile per adempiere alle prescrizioni imposte dall’autorità. Solo allora, venendo meno le ragioni di urgenza, l’Autorità sospenderà il provvedimento di limitazione provvisoria del trattamento dei dati degli utenti italiani preso nei confronti di OpenAI e ChatGPT potrà tornare accessibile dall’Italia.
Ma quanto è probabile che Open AI sia in grado di soddisfare i requisiti entro quella data?
A questa domanda risponde l’avvocato Giulio Coraggio, responsabile del dipartimento di Intellectual Property and Technology di DLA Piper in Italia.
I passi necessari
In base alla lettura del comunicato stampa, la società dovrà compiere questi passi:
- Adottare un’informativa privacy più dettagliata e facilmente accessibile agli utenti
- Identificare la base giuridica del trattamento dei dati per finalità di training dell’AI, e probabilmente si baserà sul legittimo interesse
- Consentire l’esercizio dei diritti delle persone, in particolare il diritto di rettifica e di opposizione
- Implementare un sistema di verifica dell’età
- Condurre una campagna informativa su stampa, Internet e TV
Alcune di queste misure richiedono un semplice aggiornamento dei documenti pertinenti. Allo stesso tempo, per l’esercizio dei diritti delle persone, ChatGPT prevede già la possibilità per gli utenti di segnalare al sistema se una risposta non è accurata. Tale funzionalità dovrà essere potenziata.
La mancanza di urgenza delle misure adottate
Il punto che salta all’occhio è la mancanza di urgenza delle misure adottate dal Garante. L’iter ordinario sarebbe stato quello di inviare una richiesta di informazioni a Open AI, seguita dalla richiesta di adempiere agli stessi obblighi sopra indicati, senza che alcun provvedimento d’urgenza portasse al blocco dell’accesso degli italiani al servizio per un mese. Sono decisamente favorevole al dialogo tra autorità e aziende e ritengo che questa sarebbe stata la strada giusta da seguire.
L’approccio del Garante diventerà probabilmente un punto di riferimento in tutta l’Unione Europea. Il che è una buona notizia poiché i soggetti che sfruttano i sistemi di AI generativa avranno ora chiarezza sugli obblighi applicabili. A questo proposito, sarà fondamentale vedere se la posizione del Garante sarà sostenuta dall’EDPB (il Comitato europeo per la Protezione dei Dati), che dovrebbe discutere il trattamento dei dati personali attraverso i sistemi di AI generativa nella sua prossima riunione.
