Bollettino Legale n. 58 – Aprile 2023.

ChatGPT: Qual è il quadro giuridico per le nuove applicazioni di intelligenza artificiale?

ChatGPT, Google Bard, Stable Diffusion e Dall-E sono Modelli linguistici di grandi dimensioni (LLM) una sottocategoria dei modelli linguistici esistenti.

I modelli linguistici sono programmi informatici progettati per elaborare e generare testo in modo simile a un essere umano.

Tra queste rientrano, ad esempio, il riconoscimento vocale, la traduzione automatica, la sintesi vocale e la generazione di contenuti. I modelli LLM sono più ampi e complessi rispetto ai modelli tradizionali.

Vengono addestrati su corpus di testo molto ampi, a volte composti da milioni di pagine, e utilizzano architetture di reti neurali profonde per imparare a elaborare il linguaggio.

Un LLM può quindi fornire una varietà infinita di contenuti su richiesta, che si tratti di una poesia, una sceneggiatura, un codice di programmazione informatica o una composizione musicale.

Tuttavia, le informazioni non sono aggiornate: ChatGPT è stato addestrato utilizzando informazioni disponibili su Internet fino al 2021.

È quindi inutile chiedergli un aggiornamento sui trasferimenti di dati verso gli Stati Uniti o un commento sull'ultima sanzione della CNIL.

I LLM sollevano numerose questioni legali ed etiche, in particolare in materia di diritto d'autore, protezione dei dati, disinformazione e discriminazione.

Nelle ultime settimane, molti enti regolatori hanno iniziato a reagire, L'autorità italiana per la protezione dei dati personali è in prima linea.

Il 31 marzo, quest'ultimo ha emesso un ordine contro OpenAI, bloccando ChatGPT in Italia perché 

• a causa della mancanza di trasparenza nell'applicazione,
• a causa dell'assenza di un motivo legittimo per il trattamento,
• a causa della mancata garanzia dell'accuratezza dei dati elaborati,
• la mancanza di verifica dell'età e
• della violazione generalizzata del principio di "privacy by design".

A seguire, la Germania ha iniziato a esaminare la conformità di ChatGPT al GDPR: lo stato dello Schleswig-Holstein ha inviato a OpenAI un questionario a cui l'azienda deve rispondere entro l'11 giugno.

Il Comitato europeo per la protezione dei dati ha seguito l'esempio dei suoi membri nazionali e ha istituito un gruppo di lavoro sull'argomento, e l'Organizzazione europea dei consumatori (BEUC) ha scritto alla rete delle autorità di tutela dei consumatori e alla rete delle autorità di sicurezza dei consumatori (reti CPC e CSN) chiedendo loro di indagare sui LLM.

Oltreoceano, anche la Federal Trade Commission (FTC) indica che le leggi settoriali statunitensi esistenti si applicano all'intelligenza artificiale generativa, avvertendo al contempo le aziende di tenere in debita considerazione gli interessi dei consumatori e i rischi associati alle implementazioni in corso.

A seguito di queste indagini, OpenAI ha adottato alcune misure:

• Attuazione del diritto di opposizione al trattamento dei dati;
• Ampliamento e maggiore visibilità dell'informativa sulla privacy, con informazioni sugli aggiornamenti apportati;
• Implementazione di meccanismi per la cancellazione di informazioni inesatte;
• Sono stati aggiunti moduli che consentono a qualsiasi utente europeo di filtrare le proprie chat e la cronologia dei dati utilizzati per addestrare e migliorare gli algoritmi di addestramento.
• È stata aggiunta la possibilità di esportare i dati e verificare le informazioni memorizzate.

Sebbene ChatGPT sia nuovamente accessibile in Italia, rimangono ancora molti interrogativi.

Le misure di sicurezza fornite da OpenAI consentono agli utenti dell'applicazione di correggere o eliminare i propri dati, ma non hanno alcun impatto sul trattamento dei dati di chi non utilizza l'applicazione, sollevando quindi seri problemi di reputazione.

 Di recente, ChatGPT ha accusato un professore di diritto di molestie sessuali, basandosi su un presunto articolo mai scritto.

Sono possibili anche pregiudizi razziali o etnici. ChatGPT è stato addestrato su dati internet e, pertanto, è probabile che rifletta e perpetui i pregiudizi sociali esistenti sul web.

Un algoritmo predittivo utilizzato per il processo decisionale in ambito medico ha quindi portato a decisioni discriminatorie nei confronti dei pazienti di colore.

Sebbene i progettisti dell'algoritmo avessero escluso la razza come criterio di valutazione durante il funzionamento del sistema, l'algoritmo ha continuato a perpetuare i pregiudizi nei confronti dei pazienti neri tenendo conto di alcuni fattori economici e dei costi sanitari.

Infine, aumentano i rischi di criminalità informatica, come la creazione di email di phishing più convincenti o l'apprendimento di nuove tecniche di attacco, come evidenziato nel rapporto del National Cyber Security Centre del Regno Unito e della FTC degli Stati Uniti.

Ci si potrebbe chiedere perché i progettisti di ChapGPT non abbiano integrato la protezione dei dati fin dalla fase di progettazione dell'applicazione, ma l'abbiano fatto caso per caso in base alle reazioni degli enti regolatori.

Open AI non è una novità: è in fase di sviluppo dal 2016, guidata da co-fondatori esperti, ed è stata oggetto di sei round di finanziamento.

La sua valutazione attuale è di 29 miliardi di dollari e i suoi strumenti basati sull'intelligenza artificiale sono integrati in prodotti non basati sull'IA utilizzati quotidianamente da milioni di persone grazie a una partnership con Microsoft.

I principi di "privacy by design" non sono solo auspicabili in un contesto del genere, ma sono parte integrante dei requisiti del GDPR.

La loro attuazione dovrebbe essere ulteriormente rafforzata con l'adozione del futuro regolamento europeo sull'IA, secondo il quale i sistemi che presentano rischi elevati dovrebbero conformarsi a un regime più rigoroso, comprensivo di requisiti per la gestione del rischio, la trasparenza e la governance dei dati.

L'ultima versione del regolamento discussa dai deputati europei richiede inoltre che tutti i modelli di intelligenza artificiale rispettino i principi di supervisione, robustezza e sicurezza tecnica, tutela della privacy, governance dei dati, trasparenza, benessere sociale e ambientale, diversità, non discriminazione ed equità.

 

E anche

URSSAF

Durante il fine settimana del 1° maggio, L'Urssaf ha commesso un errore informatico il che ha portato alla pubblicazione dei dati di diverse migliaia di lavoratori autonomi.

Alcuni membri affermano di aver ricevuto documenti contenenti i piani di pagamento "di altre diciotto persone", o addirittura, nei casi più eclatanti, "301 pagine di piani di pagamento dell'Urssaf che non mi riguardano".

Questi file contengono informazioni personali sensibili come dati bancari, reddito, indirizzi o identità complete. 

Le persone interessate da questi errori di trasmissione, 10.640 in totale secondo i primi risultati dell'indagine interna, dovrebbero ricevere a breve un messaggio di notifica.

L'Urssaf ha segnalato la violazione della sicurezza alla CNIL.

DRONE

Dal 19 aprile, Gli agenti di polizia e i gendarmi sono autorizzati a filmare gli assembramenti dall'alto.

Questo è accaduto allo Stade de France, a Mayotte, a Le Havre e durante le manifestazioni del Primo Maggio a Parigi.

Un decreto della Prefettura di Polizia, datato 28 aprile, autorizza il sorvolo dei manifestanti nella capitale tramite telecamere di bordo al fine di prevenire "attacchi alla sicurezza delle persone e dei beni" e "per mantenere o ripristinare l'ordine pubblico".

Si tratta di una delle prime autorizzazioni rilasciate in virtù di un recente decreto del Ministero dell'Interno, nell'ambito della nuova legge in materia di responsabilità penale e sicurezza interna.

La CNIL ha emesso due pareri (a gennaio e luglio 2021) su queste nuove disposizioni legislative e, in una di queste occasioni, ha richiesto una rigorosa regolamentazione dell'uso dei droni, visti i rischi di violazione delle libertà pubbliche e della privacy degli individui.

SICUREZZA INFORMATICA

La legge del 3 marzo 2022, che entrerà in vigore il 1° ottobre 2023, introduce una Certificazione di sicurezza informatica per piattaforme digitali destinate al grande pubblico.

I gestori di piattaforme online e i fornitori di servizi di comunicazione interpersonale non numerica dovranno effettuare un audit di sicurezza informatica che comprenda la sicurezza e l'ubicazione dei dati che ospitano, nonché la propria sicurezza interna.

Secondo la bozza di decreto attuativo del sistema di punteggio di sicurezza informatica, le procedure di audit includeranno l'utilizzo del quadro di riferimento SecNumCloud per l'esposizione dei dati alla legislazione extraterritoriale, l'ubicazione europea delle infrastrutture di hosting e la nazionalità dei subappaltatori.

CNIL

La CNIL ha pubblicato il 3 aprile un nuova versione della sua guida sulla sicurezza dei dati personali.

La nuova versione tiene conto, in particolare, delle ultime raccomandazioni della CNIL in materia di password e registrazione degli accessi.

 

istituzioni e organismi europei

PARLAMENTO EUROPEO

• Trasferimento di dati tra l'UE e gli Stati Uniti La risoluzione adottata il 13 aprile dai membri della commissione per le libertà civili ritiene che il quadro di protezione dei dati proposto dall'UE e dagli Stati Uniti rappresenti un "miglioramento", ma che i progressi non siano "sufficienti" a giustificare una decisione di adeguatezza in materia di trasferimento di dati personali.

La commissione osserva che il quadro normativo consente ancora la raccolta massiva di dati personali in determinati casi e prevede un meccanismo di ricorso che potrebbe non essere indipendente (i giudici potrebbero essere destituiti dal presidente degli Stati Uniti, il quale potrebbe anche ribaltare le sue decisioni).

Ai cittadini dell'UE potrebbe inoltre essere impedito di esercitare il diritto di accesso e rettifica dei propri dati, poiché le decisioni rimarrebbero segrete.

I deputati europei esortano la Commissione "ad assicurare che il futuro quadro normativo possa resistere a contestazioni legali e offra certezza del diritto ai cittadini e alle imprese dell'UE".

• I membri del Parlamento europeo hanno superato le loro divergenze il 27 aprile e hanno raggiunto un accordo politico provvisorio sull' Regolamentazione sull'intelligenza artificiale.

Il testo includerà obblighi più severi in materia di LLM e software di identificazione biometrica: inizialmente vietati in tempo reale, questi software di riconoscimento potranno essere utilizzati solo a posteriori per reati gravi e previa autorizzazione.

Il testo potrebbe ancora subire piccole modifiche tecniche prima di un'importante votazione in commissione prevista per l'11 maggio, e si prevede che venga poi votato in seduta plenaria a metà giugno.

• Il 20 aprile, i deputati europei hanno approvato il primo testo legislativo dell'UE per tracciare i trasferimenti di criptovalute come ad esempio i bitcoin e i token di valuta elettronica.

Il testo – approvato in via provvisoria dai negoziatori del Parlamento e del Consiglio nel giugno 2022 – mira a garantire che i trasferimenti di criptovalute, come qualsiasi altra transazione finanziaria, siano sempre tracciabili e che le transazioni sospette vengano bloccate.

Il Parlamento europeo e gli Stati membri dell'UE stanno attualmente negoziando l'accordo Legge sulla resilienza informatica (CRA), un nuovo regolamento volto a rafforzare la sicurezza digitale dei dispositivi connessi nell'UE.

L'ARC propone requisiti di audit e certificazione per i produttori di software e hardware di dispositivi connessi e stabilisce un periodo minimo durante il quale devono fornire patch di sicurezza software per i loro prodotti.

 

EDPB

• Il Comitato europeo per la protezione dei dati (EDPB) ha pubblicato il 27 aprile un documento Una guida per le PMI che illustra i principi applicabili al trattamento dei dati di dipendenti, clienti e partner commerciali.

La guida illustra inoltre le regole di sicurezza essenziali da seguire e come gestire una violazione dei dati personali.

• Il 19 aprile l'EDPB ha pubblicato un documento relazione sui risultati del lavoro della task force riguardo alle 101 denunce presentate dall'ONG NOYB a seguito della sentenza Schrems II della Corte di giustizia dell'Unione europea.

Queste lamentele riguardano gli strumenti "Google Analytics" e "Facebook Business Tools" e il trasferimento di dati personali negli Stati Uniti.

Il rapporto illustra le posizioni comuni della task force e contiene informazioni sui risultati dei primi casi in questione.

Diverse autorità per la protezione dei dati hanno ordinato ai gestori dei siti web di interrompere i trasferimenti di dati in questione. 

• Il 4 aprile, l'EDPB ha pubblicato la versione finale del suo Linee guida 9/2022 sulla notifica delle violazioni dei dati personali.

 

CVRIA

• La Corte di giustizia dell'Unione europea ha stabilito, con sentenza del 4 maggio, che il diritto di accesso dell'interessato implica il diritto di ottenere documenti integrali o estratti di documenti o estratti di banche dati, se ciò è essenziale per consentire all'interessato di esercitare effettivamente il proprio diritto.

In questo caso specifico, CRIF, una società specializzata in informazioni commerciali, aveva fornito al denunciante una versione riassuntiva dei suoi dati.

• La Corte di giustizia dell'Unione europea si è inoltre pronunciata per la prima volta in merito al risarcimento dei danni non patrimoniali ai sensi del GDPR.

Sebbene la Corte confermi nella sentenza del 4 maggio che il GDPR non richiede una "soglia" per la richiesta di risarcimento danni, ricorda tuttavia che devono sussistere una violazione, un danno e un nesso di causalità, e che non vi è alcuna richiesta in assenza di un danno effettivo.

La vicenda ha avuto origine quando il servizio postale austriaco ha elaborato statistiche sulle probabili inclinazioni politiche di milioni di persone.

Al denunciante era stato attribuito un probabile interesse per un partito di estrema destra, ma non era certo che tale informazione fosse stata divulgata a terzi, poiché figurava in una lista di esclusione per la pubblicità postale.

• In un contesto analogo, l'Avvocato generale della Corte di giustizia dell'Unione europea ha espresso il suo parere il 27 aprile sulla seguente questione: la diffusione illecita di dati personali detenuti dall'Agenzia delle entrate bulgara, a seguito di un attacco informatico, può dar luogo a un risarcimento per danni morali a favore dell'interessato, semplicemente perché quest'ultimo teme un possibile uso improprio dei propri dati?

Secondo l'Assemblea Generale, il danno morale, come definito dall'articolo 82 del GDPR, non deve essere confuso con un semplice disagio.

I danni devono essere provabili oggettivamente e non dipendere esclusivamente dalla dichiarazione soggettiva del ricorrente.

 

Notizie nazionali

• ITALIA : Il 2 marzo, il Garante per la protezione dei dati personali (APD) ha multato un titolare del trattamento per 5.000 euro per l'invio di comunicazioni commerciali non richieste a indirizzi e-mail creati tramite software attraverso la combinazione automatica di dati raccolti su internet.
• AUSTRIA: A seguito di una segnalazione presentata da noyb, l'Autorità austriaca per la protezione dei dati (APD) ha dichiarato il 29 marzo che un banner sui cookie con la dicitura "accetta o paga" presente sul sito web di un giornale non era conforme al GDPR, dati i requisiti di granularità del consenso.
• PAESI BASSI: Il 4 aprile, una corte d'appello olandese ha ordinato a Uber di fornire ai conducenti l'accesso ai propri dati personali e spiegazioni in merito al processo decisionale automatizzato. La corte ha inoltre imposto al titolare del trattamento dei dati una sanzione di 4.000 euro al giorno.
• SPAGNA: L'autorità catalana per la protezione dei dati ha ritenuto sproporzionato l'uso di sistemi di riconoscimento facciale per prevenire le frodi negli esami universitari online. Ha multato il titolare del trattamento dei dati con 20.000 euro per violazione degli articoli 5, paragrafo 1, lettera a), e 9 del GDPR.
• REGNO UNITO : Quasi 50 parlamentari britannici hanno scritto alla società proprietaria dei negozi House of Fraser e Sports Direct per condannare l'utilizzo di telecamere per il riconoscimento facciale nei punti vendita del gruppo.

Definendo la tecnologia "invasiva e discriminatoria", i parlamentari hanno esortato il gruppo a porre fine all'utilizzo di queste telecamere a livello nazionale.

• Il 4 aprile, l'Autorità britannica per la protezione dei dati (DPA) ha avviato un'indagine contro TikTok e l'ha multata di 12.700.000 sterline per uso improprio dei dati dei minori.
• Il presidente di Signal, l'app di messaggistica crittografata, ha espresso preoccupazione per la proposta del governo britannico in materia di sicurezza online, che potrebbe indebolire la crittografia e obbligare le aziende a scansionare i messaggi crittografati alla ricerca di contenuti illegali.

Meredith Whittaker ha indicato che Signal potrebbe lasciare il Regno Unito se ciò dovesse accadere. Preoccupazioni simili sono state espresse anche da altre società di messaggistica come WhatsApp ed Element.

 

• VIETNAM: Il 17 aprile 2023, il governo vietnamita ha pubblicato il Decreto n. 13/2023/ND sulla protezione dei dati personali ("PDPD"), che rappresenta il primo documento completo a disciplinare la protezione dei dati personali nel paese.
• TANZANIA: La nuova legge sulla protezione dei dati personali è entrata in vigore il 1° maggio.
• CBPR: Il 17 aprile, il Regno Unito ha presentato domanda di adesione al gruppo di paesi che aderiscono alle Cross-Border Security Rules (CBPR), che attualmente comprende Australia, Canada, Giappone, Repubblica di Corea, Messico, Filippine, Singapore, Taipei Cinese e Stati Uniti. Le CBPR, istituite dal Dipartimento del Commercio degli Stati Uniti, consentono a qualsiasi giurisdizione di richiedere lo status di paese associato e di beneficiare del libero scambio di dati con i paesi partecipanti, a condizione che disponga di leggi a tutela delle informazioni personali e di "almeno un'agenzia pubblica responsabile dell'applicazione delle leggi e/o dei regolamenti".
• IAPP:Un'infografica dell'International Association of Privacy Professionals (IAPP) elenca le giurisdizioni che conferiscono a un'autorità di protezione dei dati o a un'autorità governativa il potere di designare altre giurisdizioni come dotate di standard di privacy "adeguati".

Sarà integrata da un'altra infografica che illustrerà in dettaglio i meccanismi e le linee guida che regolano i trasferimenti in base alle diverse giurisdizioni (clausole contrattuali, consenso, ecc.).