I fatti
Il Provvedimento del Garante
Il 24 Marzo avevo scritto del funzionamento di ChatGPT e le mie impressioni, appena in tempo!
È del 30 Marzo il provvedimento n.112 del Garante della Privacy Italiano con cui viene, in via provvisoria, vietato il trattamento dei dati personali dei cittadini Italiani. In concreto il Italia non si può usare il software di OpenAI, ChatGPT. Il provvedimento recita:
a) ai sensi dell’art. 58, par. 2, lett. f), del Regolamento dispone, in via d’urgenza, nei confronti di OpenAI L.L.C., società statunitense sviluppatrice e gestrice di ChatGPT, in qualità di titolare del trattamento dei dati personali effettuato attraverso tale applicazione, la misura della limitazione provvisoria, del trattamento dei dati personali degli interessati stabiliti nel territorio italiano;
Garante della Privacy Italiano
Il provvedimento fa riferimento al fatto che:
- manca una idonea base giuridica,
- manca una informativa agli utenti
- il trattamento di dati personali degli interessati risulta inesatto in quanto le informazioni fornite da ChatGPT non sempre corrispondono al dato reale.
Inoltre, nel provvedimento, si osserva che i termini di uso del servizio lo vietano ai minori di 13 anni. Ma non esiste nessun filtro, né alcuna verifica dell’età degli utenti.
Il precedente data breach di ChatGPT
Il 24 Marzo OpenAI aveva emesso un comunicato stampa dove informava di aver avuto una violazione dei dati. Questa è stata possibile grazie ad un bug presente nella libreria open-source redis.py che ha permesso ad alcuni utenti di vedere i titoli dalla history delle chat di altri utenti.
Ma non solo. Nello stesso comunicato stampa si legge:
the same bug may have caused the unintentional visibility of payment-related information of 1.2% of the ChatGPT Plus subscribers who were active during a specific nine-hour window. In the hours before we took ChatGPT offline on Monday, it was possible for some users to see another active user’s first and last name, email address, payment address, the last four digits (only) of a credit card number, and credit card expiration date. Full credit card numbers were not exposed at any time.
OpenAI, comunicato del 24 Marzo
La policy di OpenAI
OpenAI mette a disposizione la sua Privacy Policy aggiornata al 24 Marzo dove dichiara che, per il mercato Europeo VeraSafe (una società che fa è la loro rappresentante nel territorio Europeo.
VeraSafe è una società a se che offre servizi alle aziende per la conformità ai vari regolamenti internazionali sulla Privacy. Non fornisce solamente consulenza, ma svolge il ruolo di DPO e di riferimento unico per la Privacy. Hanno un team di legali e sedi in Irlanda, Repubblica Ceca e Stau Uniti.
All’interno della policy sono specificate le sezioni:
- Personal information we collect (quali dati personali raccolgono)
- How we use personal information (come usano i dati personali)
- Disclosure of personal information (cosa e come passano a terze parti)
- Your rights (i diritti degli utenti)
Le Reazioni dei Media
Ovviamente le reazioni dei Media non si sono fatte attendere, sia in Italia che all’estero, e sono state di tutti i tipi.
Chi scrive che il provvedimento ha fatto seguito al data-breach, chi evidenzia la mancanza di informativa agli utenti e base giuridica, chi coglie l’occasione di riassumere le varie controversie in giro per il mondo di ChatGPT.
Con l’occasione ho scoperto, (un po’ con piacere e un po’ con preoccupazione) l’esistenza del Moige (Movimento Italiano Genitori) che, nella figura del Direttore Generale Antonio Affinita afferma nell’articolo del Sole24Ore:
Sono moltissimi gli utenti che negli ultimi mesi stanno usando questa tecnologia, molti dei quali sono minori, incuriositi dall’intelligenza artificiale e dalla possibilità di creare testi ed immagini con pochi clic. La mancanza di chiarezza, però, ci impone una maggiore cautela, soprattutto nel caso di minori
Antonio Affinita (Dri.Gen. MoIGe) Tweet
Le mie considerazioni
Non ci sono dubbi, in questa faccenda, qualcuno fa la figura dello stupido. Io non so, e non riesco a capire se è di proposito, per sbaglio o superficalità, o perché lo è. E non riesco nemmeno a capire chi è lo stupido. Però tutti i casi possibili sono:
Io sono lo stupido
In genere si dice che “ad un tavolo di poker, se non individui chi è il pollo da spennare, allora il pollo sei tu”.
Secondo questa regola, poiché non riesco a spiegarmi come si sia verificat questa situazione, la mia stupidità è la conclusione più probabile.
OpenAI e VeraSafe sono gli stupidi
Premetto che mi fa morire dal ridere l’idea che un’azienda che si occupa di Intelligenza Artificiale si dimostri stupida di natura.
Ma vorrei avere risposta ad alcune domande da parte delle due aziende:
“OpenAI come hai fatto, dopo aver avuto un data-breach nell’ambito dei dati personali, a non rivedere le tue policy a riguardo? Dovevi aspettare uno stop esterno per metterci il naso?”
“VeraSafe non sei una società di comodo per dipingere di conformità le aziende estere, quindi come hai fatto a mettere il tuo cliente in una situazione quanto meno ambigua? Era troppo limitativo dire al tuo cliente di raccogliere il consenso per avere una base giuridica?”
Il Garante della Privacy è lo stupido
Considerando che ci sono dubbi su come vengono trattati i minori di 13 anni, e che il provvedimento è una sospensione temporanea appellabile da OpenAI, penso che questo sia il caso meno probabile.
Si, a me suona stonato che il Garante dica che:
RILEVATO, da una verifica effettuata in merito, che non viene fornita alcuna informativa agli utenti, né agli interessati i cui dati sono stati raccolti da OpenAI, L.L.C. e trattati tramite il servizio di ChatGPT;
perché l’informativa mi sembra esserci nelle Policy al link https://openai.com/policies/privacy-policy, però non ricordo, ed ora non è verificabile, se queste erano mensionate durante l’iscrizione che ho fatto.
Come ora non sono più verificabili gli altri RILEVATI fatti dal Garante su ChatGPT.
Il Provvedimento del Garante nella pratica non ha alcun effetto, basta un semplice sw per raggirare la limitazione.
E poi dal Garante vorrei tanto delle risposte a queste domande: “Perché un provvedimento così rapido per ChatGPT e non se ne fanno di simili per siti come Pornhub?”
“Perché non vieta tutti quei siti che forniscono servizi vietati ai minori a cui i minori possono accedere?”
Questa iniziativa del Garante spero tanto sia nata da un’intento onesto e non, da una spinta bacchettona, dopo che i sono diffuse le immagini del Papa elaborate dall’AI.
I Commentatori sonogli stupidi
Per amor di verità dico che, a prescindere di quello che è stato scritto, chiunque abbia riportato la notizia ha fatto bene. E ne sono convinto.
A parte le possibili mancanze di ChatGPT, sono convinto che un dibattito aperto sull’AI e le sue conseguenze si debba fare, subito e in ambito politico non ristretto agli addetti ai lavori. Non ci si può nascondere dietro limitazioni e divieti, perché l’Intelligenza Artificiale c’è. E se la versione GPT-5 sarà realmente indistinguibile da un essere umano, per molte aziende sarà un disastro. E sopratutto per un numero imrecisato di lavoratori.
Proibire non è la via. E non per una questione di principio, ma perché se si ferma GPT-4, ci sarà di sicuro un XYZ-n che lo sostituirà. Comunque non esiste nessuno in grado di impedire/vietare un qualcosa del genere a livello planetario. Quindi potrebbe venir fuori comunque un’Intelligenza Artificiale Cinese, Indiana o Russa che non sarà limitabile.
La mia sensazione dopo aver parlato con ChatGPT, è che se istruita a dovere e su compiti specifici sarà indistinguibile da un essere umano. Ma per ricerche, riflessioni, analisi, approfondimenti, sarà l’intelligenza dell’utilizzatore a farla apparire, o meno, come umana.
Come si vede da questo grafico di Metaculus un’AI generica si pensa che sarà disponibile attorno al 2032, ma temo sia una previsione troppo pessimistica. Lo dico anche perché il 2027 è l’anno in cui si pensa che ci sarà un’AI in grado di progettare un’altra AI. Vedete la proiezione seguente.