OpenAI ottimizza privacy e conformità UE con ente irlandese
04/01/2024
OpenAI, il gigante dell’Intelligenza Artificiale, ha recentemente annunciato un aggiornamento dei suoi termini di utilizzo al fine di ridurre i rischi di regolamentazione legati alla privacy dei dati nell’Unione Europea (UE). L’azienda ha rivolto l’attenzione sulla sua tecnologia ChatGPT, oggetto di scrutinio per le preoccupazioni sulla privacy delle persone e le possibili violazioni della protezione dei dati personali.
In risposta a indagini aperte in Italia e in Polonia, OpenAI ha deciso di modificare la sua entità legale responsabile per i residenti dell’Area Economica Europea (EEA) e della Svizzera, trasferendola in Irlanda.
Il nuovo ente responsabile per la EEA e la Svizzera
OpenAI ha comunicato ai propri utenti, il 28 dicembre, che il suo ente responsabile per i servizi offerti agli utenti dell’EEA e della Svizzera sarà OpenAI Ireland Limited. L’azienda ha stabilito la sua sede legale a Dublino, in Irlanda, e sarà il responsabile del trattamento dei dati personali degli utenti, secondo quanto stabilito nella nuova Politica sulla Privacy per l’Europa. Questo cambiamento entrerà in vigore il 15 febbraio 2024.
Gli utenti che non sono d’accordo con i nuovi termini di utilizzo di OpenAI possono cancellare il proprio account. Tuttavia, l’azienda spera che questo aggiornamento riduca i rischi di regolamentazione, in quanto rientrerà nell’ambito del GDPR dell’UE, il quale prevede un meccanismo di “one-stop-shop” per la supervisione della privacy, consentendo alle aziende che trattano dati di cittadini europei di semplificare il controllo della privacy sotto la supervisione di un’autorità di controllo principale.
L’importanza del GDPR e dell’autorità di controllo principale
Il GDPR (Regolamento Generale sulla Protezione dei Dati) dell’UE è una delle norme più rigorose al mondo per la protezione dei dati personali. Esso stabilisce che le aziende che trattano i dati dei cittadini europei devono avere una sede legale nell’UE e designare un’autorità di controllo principale, che sarà responsabile per la supervisione della privacy in tutti gli Stati membri dell’UE.
Ottenere lo status di autorità di controllo principale riduce la capacità delle autorità di controllo della privacy degli altri Paesi dell’UE di intervenire unilateralmente in caso di preoccupazioni. Queste autorità dovranno solitamente riferire le loro lamentele all’autorità di controllo principale dell’azienda per una valutazione. Tuttavia, le autorità di controllo locali conservano comunque il potere di intervenire in caso di rischi urgenti, sebbene tali interventi siano di solito temporanei e eccezionali.
Il coinvolgimento dell’Irish Data Protection Commission
OpenAI sta collaborando con l’Irish Data Protection Commission (DPC) e altre autorità di protezione dei dati nell’UE per ottenere lo status di autorità di controllo principale per la sua entità con sede a Dublino. L’Irish DPC ha confermato di essere coinvolto nella questione, ma non ha fornito ulteriori dettagli.
L’apertura dell’ufficio di OpenAI a Dublino lo scorso settembre ha comportato l’assunzione di personale specializzato in politica, diritto e privacy. Tuttavia, la maggior parte delle posizioni aperte da OpenAI è ancora basata a San Francisco negli Stati Uniti. La creazione di un team competente a Dublino è fondamentale per ottenere lo status di autorità di controllo principale, poiché l’azienda dovrà dimostrare che l’entità responsabile in Irlanda è effettivamente in grado di influenzare le decisioni relative alla privacy e di garantire adeguati controlli sulla protezione dei dati personali.
Il caso di X e la sfida per OpenAI
OpenAI potrebbe prendere spunto dall’esempio di X, precedentemente noto come Twitter, che ha mantenuto lo status di autorità di controllo principale nonostante il cambio di proprietà nel 2022. Tuttavia, il fatto che X abbia ridotto il personale specializzato nella regione e abbia preso decisioni unilaterali sul prodotto ha sollevato diverse critiche.
Il percorso di OpenAI per ottenere lo status di autorità di controllo principale in Irlanda potrebbe essere influenzato dal numero di assunzioni che effettuerà a Dublino e dalla sua capacità di dimostrare di avere le competenze e le strutture legali necessarie per garantire la privacy dei dati personali.
Impatto delle indagini sulla violazione della privacy da parte di ChatGPT
Nonostante l’aggiornamento dei termini di utilizzo e il cambiamento dell’ente responsabile, le indagini in corso in Italia e in Polonia sulla presunta violazione della privacy da parte di ChatGPT potrebbero ancora avere un impatto significativo sulla regolamentazione regionale del chatbot AI di OpenAI. Tali indagini riguardano il modo in cui ChatGPT elabora le informazioni personali delle persone e i dati che può generare sugli individui.
L’Autorità Garante per la Protezione dei Dati Personali in Italia ha evidenziato diverse preoccupazioni riguardanti ChatGPT, inclusa la base giuridica su cui OpenAI si basa per il trattamento dei dati personali per addestrare le sue intelligenze artificiali. L’autorità di controllo polacca ha aperto un’indagine dopo una dettagliata denuncia riguardante ChatGPT, inclusa la capacità del chatbot di “inventare” dati personali.
Nuova politica sulla privacy di OpenAI
La nuova politica sulla privacy di OpenAI per l’Europa include anche ulteriori dettagli sulle basi legali su cui l’azienda afferma di basare il trattamento dei dati personali delle persone. La nuova formulazione sostiene che OpenAI si basa sugli “interessi legittimi” per il trattamento dei dati personali per l’addestramento dei modelli di intelligenza artificiale, sottolineando che ciò è “necessario per i nostri interessi legittimi e quelli di terzi e della società nel suo complesso”.
Questa nuova formulazione potrebbe essere un tentativo di difendere la raccolta massiva di dati personali degli utenti di Internet da parte di OpenAI, senza richiedere il loro consenso esplicito, argomentando che ciò è nell’interesse pubblico oltre che in quello commerciale. Tuttavia, il GDPR prevede solo un elenco limitato di basi legali valide per il trattamento dei dati personali, e i responsabili del trattamento non possono semplicemente scegliere a piacere le giustificazioni che meglio si adattano alle proprie attività.
La collaborazione tra i regolatori europei per affrontare le sfide dell’IA
I regolatori europei della protezione dei dati stanno cercando di trovare un terreno comune per affrontare la complessa intersezione tra la legge sulla protezione dei dati e l’intelligenza artificiale alimentata da grandi quantità di dati. A tal scopo, è stata creata una task force all’interno del Consiglio Europeo per la Protezione dei Dati, ma è ancora incerto se si raggiungerà un consenso su come affrontare queste sfide.
Se l’Irish DPC diventasse l’autorità di controllo principale di OpenAI, avrebbe il potere di rallentare l’applicazione del GDPR in relazione alle tecnologie avanzate dell’azienda. La DPC è già stata criticata per la lentezza delle sue indagini sulla conformità al GDPR da parte delle grandi aziende tecnologiche locali, nonché per le sanzioni spesso inferiori rispetto ad altre autorità di controllo europee.
È importante sottolineare che gli utenti del Regno Unito sono esclusi dal passaggio di OpenAI all’ente irlandese, in quanto l’UE GDPR non si applica più nel Regno Unito a causa della Brexit. Tuttavia, il Regno Unito ha adottato una normativa nazionale sulla protezione dei dati, che si basa ancora sul quadro europeo.
