L’autorevolezza del Garante per la protezione dei dati personali è a rischio?
Il caso OpenAi e il provvedimento dell’Autorità garante per la protezione dei dati personali rischia di far perdere all’organo di controllo autorevolezza e imparzialità?
Le polemiche sui social, spesso faziose e non motivate, hanno tenuto alta l’attenzione tra gli addetti ai lavori, imprenditori, giornalisti e fruitori di ChatGPT.
Dal mio osservatorio devo dire che la confusione c’è stata e soprattutto i “capi curva” delle rispettive tifoserie si sono dati da fare per confondere le ragioni dell’una e dell’altra parte, il risultato che temo è che l’autorevolezza del Garante non ne esca mediaticamente bene.
Proviamo a seguire la cronologia dei fatti:
Il 31 marzo 2023 un lancio stampa dell’Autorità annuncia testualmente: “Intelligenza artificiale: il Garante blocca ChatGPT. Raccolta illecita di dati personali. Assenza di sistemi per la verifica dell’età dei minori” Notate bene l’uso del termine “blocca”.
Il provvedimento decisorio – a firma del Presidente del Collegio Prof. Stanzione – in realtà è del giorno prima e dispone esattamente nel confronti della OpenAI, L.L.C. “la misura della limitazione provvisoria, del trattamento dei dati personali degli interessati stabiliti nel territorio italiano” per i dati trattati tramite il servizio di ChatGPT”.
Immediatamente la OpenAI, L.L.C. blocca il traffico al serivio ChatGPT proveniente dall’Italia in quanto l’avvocato dell’azienda interpreta giustamente la “limitazione del trattamento” con la misura tecnologica adottata.
Questi fatti veri, documentati, incontrovertibili.
Ora veniamo agli aspetti surreali e comici generati dai fini commentatori sui social.
La prima battaglia che si attiva è generata dai tecnici ossia la gang della “VPN Free” che spiega che il servizio ChatGPT è raggiungibile aggirando i DNS, si scatena l’altra gang che chiamerò “VPN NoFree” che ricorda che utilizzare il servizio gratuito porterebbe il rischio di perdita di riservatezza e quindi suggerisce soluzioni di mercato, tra le due fazioni litiganti qualcuno salomonicamente invita ad usare browser che hanno all’interno estensioni per VPN proprietarie.
Dopo questa prima battaglia partono i giuristi!
Si fa notare l’incongruenza procedurale, la decisione assunta non collegialmente su un provvedimento di urgenza, la decisione sanzionatoria della “limitazione provvisoria” del trattamento in assenza di una appurata e circostanziata fase istruttoria.
Si scatenano a questo punto le reazioni di alcuni che affermano frettolosamente: “il Garante non ha bloccato il trattamento lo ha limitato! Se gli utenti non possono usufruire del servizio è colpa della OpenAI, L.L.C.”
Siamo sicuri che questa affermazione sia vera?
A norma del GDPR la limitazione del trattamento comporta che i dati possano essere trattati soltanto ai fini della loro conservazione,(Art. 18 par 2 GDPR), se poi leggiamo il Considerando 67 GDPR in cui si elenca, le modalità per limitare il trattamento dei dati personali ossia:
1) nel trasferire temporaneamente i dati selezionati verso un altro sistema di trattamento;
2) nel rendere i dati personali selezionati inaccessibili agli utenti;
3) nel rimuovere temporaneamente i dati pubblicati da un sito web;
oltre a questo il C67 evidenzia che “Negli archivi automatizzati, la limitazione del trattamento dei dati personali dovrebbe, in linea di massima, essere assicurata mediante dispositivi tecnici in modo tale che i dati personali non siano sottoposti a ulteriori trattamenti e non possano più essere modificati. Il sistema dovrebbe indicare chiaramente che il trattamento dei dati personali è stato limitato”
Che altro dire?
Anche se non si è giuristi è facile capire come la decisione assunta da OpenAI, L.L.C. sia stata perfettamente in linea con la richiesta dal Garante italiano.
Allora che differenza c’è tra il blocco e la limitazione del trattamento?
In realtà sono due diritti sostanzialmente simili e che producono medesimi effetti sull’utilizzo dei dati personali, nel caso della limitazione è meglio specificata la possibilità per il Titolare del trattamento possa conservare i dati in attesa della risoluzione della contestazione elevata da parte dell’Autorità Garante.
Ultimo capitolo da sbrigare frettolosamente è la spettacolarizzazione del procedimento amministrativo culminato con l’annuncio dell’incontro in videoconferenza, tra i rappresentanti di OpenAI e il Garante per la protezione dei dati personali.
Il giorno dopo l’Autorità ha comunicato: “OpenAI si è impegnata a rafforzare la trasparenza nell’uso dei dati personali degli interessati, i meccanismi esistenti per l’esercizio dei diritti e le garanzie per i minori e ad inviare al Garante entro oggi un documento che indichi le misure che rispondano alle richieste dell’Autorità.”
Tirando le somme:
- ad oggi il serivio è limitato agli utenti italiani;
- è stato posta una limitazione che i più esperti hanno aggirato con le VPN;
- è stato danneggiato il mercato italiano legato all’intelligenza artificiale su questioni che potevano essere risolte senza porre una limitazione del trattamento;
- sono stati avvelenati i pozzi già stagnanti in cui si abbeverano le orde di commentatori social;
- sappiamo che un componente del Collegio ha firmato l’appello del Future of Life Institute, con cui si chiede la sospensione dello sviluppo dell’intelligenza artificiale per sei mesi, il fatto avvenuto poche ore prima che il provvedimento venisse pubblicato e questo non va bene per l’etica di colui giudica secondo diritto e non per opinioni personali.
