Puntuale come un orologio svizzero, poco dopo il data breach subito da ChatGPT, il garante della privacy italiano si è mosso e, dopo aver effettuato dei controlli, ha deciso di bloccare l'accesso a ChatGPT dall'Italia per i seguenti motivi:
Violazione della privacy degli utenti: ChatGPT utilizzava tecnologie di intelligenza artificiale per elaborare i dati personali degli utenti senza il loro consenso esplicito e informato. Ciò viola le normative sulla privacy dell'Unione Europea.
Rischio di discriminazione: L'uso di algoritmi di intelligenza artificiale in ChatGPT potrebbe portare a una discriminazione basata sulla razza, il genere o l'orientamento sessuale degli utenti. Questo è inaccettabile e contrario ai principi dell'uguaglianza.
Mancanza di trasparenza: ChatGPT non forniva informazioni chiare e dettagliate sugli algoritmi utilizzati per elaborare i dati degli utenti. Ciò rendeva difficile per gli utenti comprendere come i loro dati fossero stati utilizzati e condivisi.
Mancanza di sicurezza: ChatGPT non garantiva la sicurezza dei dati degli utenti, aumentando il rischio di accessi non autorizzati e di furto di identità.
Potete trovare l'elenco completo in formato legalese nel comunicato fornito sul sito e la conseguente decisione è che tutte queste motivazioni sono in pieno contrasto con il G.D.P.R. che governa la sicurezza della privacy, e non solo, in tutta Europa, in modo uguale per tutti gli appartenenti alla comunità stessa.
Capisco che una violazione dei dati possa creare dubbi sulla capacità di un'entità informatica di mantenere al sicuro i dati degli utenti. Tuttavia, considerando la popolarità che ChatGPT ha avuto per mesi, mi chiedo perché il Garante abbia reagito solamente ora. Personalmente, ritengo che questi dubbi sarebbero dovuti sorgere già in occasione dell'aumento esponenziale degli utenti che utilizzavano il servizio, sin dall'apertura al pubblico.
Chiunque sia appassionato di informatica online sa che, da mesi, ChatGPT è stata argomento di discussione su praticamente ogni canale sociale: YouTube, Telegram e altri siti specializzati in informatica sembrano non avere altro di cui parlare, tanto da rendere il tema quasi ridicolmente e dominante nei loro flussi di notizie.
Ora, si pone una questione interessante: il GDPR essendo un regolamento comunitario, se viene violato in Italia, va da sé che viene violato in tutti i paesi che hanno aderito al GDPR stesso. Cosa succederà, però, in questi paesi? Avrebbe senso che solo un paese, della comunità europea, blocchi ChatGPT perché viola il GDPR, mentre gli altri paesi restano indifferenti alla questione?
Poiché ChatGPT è un servizio online, ci si chiede come venga gestita la questione della violazione del GDPR in altri paesi. Poiché il servizio è accessibile da qualsiasi parte del mondo, bisogna considerare che la questione della violazione del GDPR potrebbe interessare anche paesi extra europei. Inoltre, è importante considerare che la stessa questione potrebbe ripresentarsi con altri servizi online, rendendo così la questione ancora più complessa.
L'unico paese, almeno sinora, che ha dato segnale di aver recepito le preoccupazioni del garante italiano è la Germania. Da quanto riporta Reuters, il commissario tedesco per la protezione dei dati, Ulrich Kelber, sembra intenzionato a seguire la decisione italiana. Almeno è quanto avrebbe dichiarato. Da vedere, poi, se lo farà o meno. Tuttavia, bisogna anche considerare che la posizione della Germania potrebbe non essere condivisa da altri paesi europei e che la questione potrebbe essere affrontata in modo diverso, da altri Stati membri dell'Unione europea.
C'è da dire che, sebbene l'Italia sia stato il primo paese europeo a bloccare il servizio ChatGPT, una mappa creata dalla BBC riporta un numero di paesi ben più alto che hanno posto una qualche forma di blocco.
Chiaramente, le motivazioni dei singoli paesi sono diverse: dai paesi totalitari, come la Cina e la Russia, che hanno bloccato il servizio perché può trasmettere informazioni non gradite ai rispettivi regimi, a motivazioni legali come per l'Europa, avendo un regolamento comune, il GDPR appunto. Mi sarei aspettato, posto il blocco da un primo paese della comunità, qualunque fosse, che tutti gli altri seguissero di gran carriera l'azione intrapresa! Invece, al momento, solo la Germania ha timidamente dato notizia che forse seguirà l’esempio italiano.
Riassumendo: dopo un bel po’ di tempo che ChatGPT è disponibile all’uso per chiunque, con tutte le limitazioni del caso che chi la usa conosce, il blocco impedisce ai comuni mortali l’accesso al servizio, sino alla revoca del blocco da parte del garante, che a sua volta ha dato un tempo massimo entro il quale, i proprietari di ChatGPT, devono risolvere i problemi segnalati.
Il garante però, pare aver dimenticato una fetta particolare di utenti: quelli che stanno pagando un abbonamento al servizio offerto da ChatGPT. Quest’ultimi pagano una cifra mensile, per poter usufruire della discussa chat, senza soffrire, almeno così leggo in giro, dei blocchi che, invece, i comuni mortali devono subire, quando il server comincia a risentire dalle troppe domande fatte da chi non è iscritto.
L’abbonamento costa 20$ al mese, almeno così indica qui in Europa, una cifra che chiaramente ha un peso diverso a seconda di chi lo sborsa: un comune utente privato o un'azienda.
Resta il fatto che il blocco del garante impedisce, anche agli iscritti, l’accesso ad un servizio per cui pagano. Il garante avrà tenuto conto di questa cosa?
Probabilmente sì: avrà pensato che un utente che paga per un servizio del genere sicuramente conosce il meccanismo di un blocco del tipo che è stato applicato a ChatGPT; sa altrettanto bene che basta una qualsiasi connessione Proxy o VPN da un qualunque paese che non sia l’Italia o uno di quelli riportati nella mappa della BBC per potersi collegare nuovamente al servizio.
La vera questione è: il blocco, da parte di un solo paese che non sia la Russia o la Cina, costringerà OpenAI a prendere in considerazione le lamentele del garante italiano della privacy, o se ne fregheranno e tireranno dritto per la loro strada? Sicuramente, se tutti i paesi che aderiscono al GDPR imponessero il blocco, tutti insieme, forse, e dico forse, la pressione esercitata su OpenAI, avrebbe qualche successo. Quello che temo però, è che se rimarrà il blocco da uno, massimo due, paesi della comunità europea, la OpenAI non farà molto in proposito, nonostante la minaccia della multa che il garante italiano ha paventato.
Si ricorda che il mancato riscontro alla richiesta ai sensi dell’art. 58 è punito con la sanzione amministrativa di cui all’art. 83, par. 5, lett. e), del Regolamento (UE) 2016/679. (Dalla pagina del garante)
Se volete farvi un’idea dell’ammontare della sanzione economica, minacciata dal garante nei confronti di OpenAI, potete farvene un’idea a questa pagina
Concludendo…
A mio avviso, il Garante ha fatto bene a muoversi: anzi, come scritto sopra, a mio avviso avrebbe dovuto muoversi ben prima del data breach subito da OpenAI.
E resto piuttosto basito che, nell'immediato seguito del blocco italiano, non si siano mossi tutti i Garanti della Privacy dei paesi della Comunità Europea, dimostrando per l'ennesima volta che la Comunità Europea è una comunità sulla carta e non nella realtà, purtroppo.
Ci sarebbero da fare anche alcune considerazioni sul fatto che al giorno d'oggi, pare non esista un metodo efficace per bloccare davvero un qualunque sito di internet. Anche in questo caso, basta un qualsiasi PROXY, via HTTPS o via SOCKS5, o una banale VPN per aggirare il blocco stesso. Infatti, su YouTube sono comparsi una marea di video che spiegano come fare, a nemmeno ventiquattro ore dall'annuncio del blocco stesso.
Siamo vittime della nostra stessa tecnologia? Per certi versi si, ma questo è tutto un altro discorso, che andrebbe affrontato in un altro articolo.
J.C.