ChatGPT: arriva l’atto di contestazione per violazioni privacy, ma rimangono questioni aperte
2024-1-30 17:31:49 Author: www.cybersecurity360.it(查看原文) 阅读量:14 收藏

DAL GARANTE PRIVACY

Dopo lo stop di ChatGPT a marzo dello scorso anno, il Garante privacy torna sulla questione che ha visto coinvolta OpenAI con un provvedimento endoprocedimentale: all’esito dell’istruttoria, infatti, arriva ora la comunicazione della notifica di un atto di contestazione per le violazioni rilevate. Sanzioni in arrivo, ma rimangono ancora alcune questioni aperte. Ecco quali

Pubblicato il 30 Gen 2024

P

Chiara Ponti

Avvocato, Privacy Specialist & Legal Compliance e nuove tecnologie – Baccalaureata

Il Garante privacy ha notificato a OpenAI, la società che gestisce la piattaforma di intelligenza artificiale ChatGPT, l’atto di contestazione per aver violato la normativa in materia di protezione dei dati personali.

L’atto di contestazione per presunte violazioni privacy commesse da ChatGPT non è altro che la conseguenza di quanto avvenuto lo scorso 30 marzo 2023, quando l’Autorità italiana ha emanato un provvedimento d’urgenza, imponendo alla big tech lo stop al trattamento dei dati personali degli italiani.

All’esito dell’istruttoria, ecco che il colosso statunitense avrebbe commesso uno o più illeciti in violazione del GDPR. Precisiamo che non ci è dato ancora sapere quali. OpenAI avrà 30 giorni di tempo per presentare (eventuali) memorie difensive.

Quindi, nell’attendere gli ulteriori sviluppi, facciamo qualche considerazione che vada oltre il caso di specie.

ChatGPT, tutti i perché dello stop dal Garante privacy

Cosa sappiamo dell’atto di contestazione per violazioni privacy

In un comunicato stampa del 29 gennaio 2024, il Garante privacy ha reso noto di aver notificato a OpenAI un “atto di contestazione per aver violato la normativa in materia di protezione dei dati personali”.

Sei sicuro della conformità ESG dei tuoi prodotti? Elimina ogni dubbio scaricando l'eBook!

Dove eravamo rimasti

Ricordiamo tutti che lo scorso 30 marzo 2023, la nostra Autorità facendo da apripista aveva intimato con un provvedimento d’urgenza la “limitazione provvisoria del trattamento”. In pratica, una sorta di blocco momentaneo per il trattamento dei dati personali di noi italiani.

Come noto, ChatGPT è un modello di chatbot (software che simula ed elabora le conversazioni umane scritte o parlate) basato su intelligenza artificiale e apprendimento automatico cibandosi di grandi quantità di dati.

Nella fattispecie, in data 20 marzo 2023, sarebbe stata ravvisata una pubblicazione di dati particolari e sensibili degli utenti (italiani) fruitori del sistema di AI generativa, dovuta a un bug contenuto in una libreria open source usata da OpenAI per il servizio di ChatGPT.

Da qui, il quanto meno presunto data breach, all’attenzione del nostro Garante.

Si è trattato di una decisione d’urgenza nella quale la nostra Autorità ha sollevato, in sintesi, tre contestazioni secondo cui ChatGPT avrebbe:

  1. raccolto dati personali senza specificarne correttamente le finalità, in totale assenza di una idonea base giuridica che legittimasse il trattamento;
  2. dato informazioni riferibili anche a persone non sempre corretti, costituendo un presunto trattamento in danno della privacy in termini di integrità del dato stesso;
  3. danneggiato i minori.

Da qui, lo stop categorico del Garante bloccando temporaneamente i trattamenti dei dati personali degli utenti interessati italiani fino ai chiarimenti richiesti.

Intanto, dopo poco partiva una speciale task force, istituita dall’EDPB.

Dove siamo ora

Con la notizia della notifica di un atto di contestazione per le violazioni alla normativa privacy, siamo quasi all’atto finale.

Per poterci esprimere oltre nel merito, tuttavia e per correttezza, dobbiamo attendere gli ulteriori sviluppi. In questa sede possiamo semmai fare qualche considerazione più in generale e che prescinde dal caso di specie.

I termini di prescrizione

Astraendoci dal caso di specie, quindi, soffermiamoci seppur brevemente su una questione giuridica di non poco rilievo, e che concerne i termini di prescrizione per la notifica della contestazione di 120 giorni.

Da quando decorrono i 120 giorni?

Chiediamoci, anzitutto, da quando si computa il “dies a quo”.

Secondo orientamenti giurisprudenziali consolidati, i 120 giorni decorrono da quando si sono assunte tutte le informazioni necessarie per stabilire se vi sia stata una violazione. Qualora il Garante disponesse, con un provvedimento, di misure correttive vorrebbe altresì dire che di fatto ha ravvisato la commissione di una o più violazioni alla normativa in materia di protezione dati (di cui è garante) e chiede di porvi rimedio.

Sulla decorrenza dei termini, mette in conto evidenziare che detto termine decorre “dal ricevimento da parte del Garante dell’ultima risposta alle richieste di chiarimenti”, e da lì parte il timer.

E se sfora?

È pacifico che si tratti di termini perentori. Pertanto, se sfora le sanzioni sono nulle. A dirlo è la giurisprudenza tanto di merito quanto di legittimità che non si limita agli aspetti sostanziali, ma si occupa anche di dirimere questioni relative alla parte più procedurale.

Il tutto, peraltro, ha un senso: la certezza del diritto. Infatti, non è dato possibile lasciare le Organizzazioni, per quanto presunte colpevoli, nell’incertezza di un procedimento, benché a loro carico.

D’altra parte, il “sacro-fuoco” del principio di accountability (art. 5) vale per tutti.

Ne consegue che, a stretto diritto, se l’Autorità notifica fuori termine, la sanzione ricadrà nell’alveo dell’invalidità e quindi non sarà dovuta con a monte un procedimento viziato per violazione del regolamento n. 2 del 2019 (sub specie Tabella B n. 2).

Ma non è tutto. Nei rapporti tra Garante e incolpato non si applica l’inversione dell’onere della prova (art. 2698 Cod. civ.) che potrebbe semplicemente tradursi in questo concetto: per vincere non basta avere ragione, ma occorre anche dimostrarlo.

Qui, invece, non operando questo istituto sarà il Garante a dover dimostrare in positivo gli elementi dell’illecito contestato.

Sanzione emessa in ritardo: perché il Tribunale ha annullato il provvedimento del Garante privacy

Conclusioni

Almeno un paio sono le conclusioni e questioni aperte, che possiamo trarre dalla questione in parola. La prima attiene a come si colloca un provvedimento endoprocedimentale non ultimo, in considerazione del fatto che formalmente non c’è stata ancora la contestazione/ingiunzione.

La seconda afferisce invece a una questione più ampia che in generale deve preoccupare dal momento che siamo in una società digitale, sempre più caratterizzata da una repentina evoluzione dei sistemi di AI, nella quale se da un lato risulta difficile far valere i propri diritti, dall’altro sembra mancare da parte degli utenti una consapevolezza di fondo che responsabilizzi ciascuno nell’utilizzo di questi strumenti così evoluti.

E se a preoccupare, come afferma Floridi, “…è la manipolazione…che così diventa molto più facile”, la decisione presa d’urgenza dal nostro Garante dimostra ancora una volta come oggi in qualunque macchina si possa staccare la spina, per opera dell’uomo.

Tanto rumore per nulla o tanto lavoro da fare? Più la seconda, chiedendo tanto al tecnologo quanto al giurista di operare e collaborare convintamente insieme al fine di rafforzare la fiducia degli utenti/interessati, con a monte un legislatore chiamato ad adeguare l’attuale impianto normativo alle nuove esigenze, tipiche di una cambio di paradigma già in atto.

Backup & disaster recovery: come garantire un riavvio efficace dell'infrastruttura IT

@RIPRODUZIONE RISERVATA


文章来源: https://www.cybersecurity360.it/news/chatgpt-arriva-latto-di-contestazione-per-violazioni-privacy-ma-rimangono-questioni-aperte/
如有侵权请联系:admin#unsafe.sh