ChatGPT: Problema di “allucinazione” e nuova denuncia sulla privacy nell’UE

OpenAI, l’azienda che ha sviluppato il famoso chatbot basato sull’IA ChatGPT, si trova ad affrontare una nuova denuncia per violazione della privacy nell’Unione Europea. La denuncia, presentata dall’organizzazione noyb a nome di un singolo denunciante, riguarda l’incapacità di ChatGPT di correggere le informazioni errate che genera sugli individui.

Il problema delle piattaforme basate sull’IA di generare informazioni errate è ben documentato. Tuttavia, questo problema mette anche in collisione la tecnologia con il Regolamento generale sulla protezione dei dati (GDPR) dell’UE, che regola come i dati personali degli utenti regionali possano essere elaborati.

Le sanzioni per le violazioni del GDPR possono arrivare fino al 4% del fatturato annuo globale. Ancora più importante per una grande azienda come OpenAI: i regolatori sulla protezione dei dati possono ordinare modifiche al modo in cui vengono elaborate le informazioni, quindi l’applicazione del GDPR potrebbe ridisegnare il funzionamento degli strumenti di IA generativa nell’UE.

OpenAI è già stata costretta a effettuare alcune modifiche dopo un intervento anticipato dell’autorità italiana per la protezione dei dati, che ha temporaneamente chiuso ChatGPT nel 2023.

Ora noyb sta presentando la denuncia GDPR più recente contro ChatGPT presso l’autorità austriaca per la protezione dei dati a nome di un denunciante anonimo (descritto come una “figura pubblica”) che ha scoperto che il chatbot dell’IA ha prodotto una data di nascita errata per lui.

Secondo il GDPR, le persone nell’UE hanno una serie di diritti legati alle informazioni su di loro, incluso il diritto di correggere dati errati. Noyb sostiene che OpenAI non sta rispettando questa obbligazione riguardo agli output del suo chatbot. L’organizzazione ha affermato che l’azienda ha rifiutato la richiesta del denunciante di correggere la data di nascita errata, rispondendo che tecnicamente non era possibile correggerla.

Invece, OpenAI ha offerto di filtrare o bloccare i dati su determinati input, come il nome del denunciante.

La politica sulla privacy di OpenAI afferma che gli utenti che notano che il chatbot dell’IA ha generato “informazioni factualmente inaccurate su di te” possono inviare una “richiesta di correzione” tramite privacy.openai.com o inviando un’email a dsar@openai.com. Tuttavia, l’azienda avverte che, data la complessità tecnica di come funzionano i suoi modelli, potrebbe non essere in grado di correggere l’inaccuratezza in ogni caso.

In tal caso, OpenAI suggerisce agli utenti di chiedere di rimuovere completamente le proprie informazioni personali dall’output di ChatGPT, compilando un modulo web.

Il problema per il gigante dell’IA è che i diritti del GDPR non sono alla carte. Le persone in Europa hanno il diritto di richiedere la rettifica. Hanno anche il diritto di richiedere la cancellazione dei propri dati. Ma, come sottolinea noyb, non spetta a OpenAI decidere quali di questi diritti siano disponibili.

Altri elementi della denuncia si concentrano sulle preoccupazioni di trasparenza del GDPR, con noyb che sostiene che OpenAI non è in grado di dire da dove provengano i dati generati sugli individui, né quali dati il chatbot memorizzi sulle persone.

Questo è importante perché, ancora una volta, il regolamento dà alle persone il diritto di richiedere tali informazioni facendo una cosiddetta richiesta di accesso ai dati personali (SAR). Secondo noyb, OpenAI non ha risposto adeguatamente alla SAR del denunciante, non divulgando alcuna informazione sui dati elaborati, le loro fonti o i destinatari.

Commentando la denuncia, Maartje de Graaf, avvocato per la protezione dei dati presso noyb, ha dichiarato:

“Creare informazioni false è problematico di per sé. Ma quando si tratta di informazioni false sugli individui, ci possono essere conseguenze serie. È chiaro che le aziende attualmente non sono in grado di far sì che i chatbot come ChatGPT siano conformi alla legge dell’UE, quando elaborano dati sugli individui. Se un sistema non può produrre risultati accurati e trasparenti, non può essere utilizzato per generare dati sugli individui. La tecnologia deve seguire i requisiti legali, non il contrario.”

L’azienda ha dichiarato di aver chiesto all’autorità austriaca per la protezione dei dati di indagare sulla denuncia riguardante l’elaborazione dei dati da parte di OpenAI, nonché di sollecitare l’imposizione di una multa per garantire il rispetto futuro delle normative. Tuttavia, ha aggiunto che è “probabile” che il caso venga trattato tramite cooperazione dell’UE.

OpenAI si trova ad affrontare una denuncia molto simile anche in Polonia. Lo scorso settembre, l’autorità locale per la protezione dei dati ha aperto un’indagine su ChatGPT a seguito della denuncia di un ricercatore sulla privacy e sicurezza che ha scoperto di non essere in grado di far correggere da OpenAI le informazioni errate su di lui. Anche questa denuncia accusa il gigante dell’IA di non rispettare i requisiti di trasparenza del regolamento.

Nel frattempo, l’autorità italiana per la protezione dei dati ha ancora un’indagine aperta su ChatGPT. A gennaio ha emesso una decisione preliminare, affermando che crede che OpenAI abbia violato il GDPR in vari modi, incluso il tendere del chatbot a produrre disinformazione sulle persone. Le conclusioni riguardano anche altri problemi cruciali, come la legittimità del trattamento.

L’autorità italiana ha dato a OpenAI un mese di tempo per rispondere alle sue conclusioni. La decisione finale è ancora in sospeso.

Ora, con un’altra denuncia GDPR rivolta al suo chatbot, il rischio che OpenAI affronti una serie di sanzioni GDPR in diversi Stati membri sta aumentando.

Lo scorso autunno, l’azienda ha aperto un ufficio regionale a Dublino, probabilmente per ridurre il suo rischio normativo, facendo in modo che le denunce sulla privacy vengano inoltrate dalla Commissione per la protezione dei dati dell’Irlanda, grazie a un meccanismo del GDPR che mira a semplificare la supervisione delle denunce transfrontaliere, indirizzandole a un’autorità di uno Stato membro dove l’azienda è “principalmente stabilita”.

Fonte dell’articolo qui.