Sempre più spesso, nell’ambito delle nostre consulenze in materia di privacy, ci viene chiesto quali siano le implicazioni dell’uso di ChatGPT, magari semplicemente perché qualcuno dell’ufficio marketing ha iniziato a utilizzarlo per redigere dei testi destinati al web. L’evoluzione delle tecnologie di Natural Language Processing, dopotutto, ha reso i sistemi di AI generativa particolarmente attraenti anche e soprattutto nell’uso professionale – per la possibilità di rendere vari processi aziendali più rapidi ed efficienti.
Allo stesso tempo, emerge un certo timore nell’uso professionale di AI generative, come indica anche il rapporto di Cisco riportato da Federprivacy, secondo cui molte organizzazioni hanno deciso di limitare l’utilizzo da parte del proprio personale di tecnologie come ChatGPT. Preoccupazioni giustificate dalla necessità di adempiere a regole e norme sulla gestione dei dati, e dall’interesse a tutelare di informazioni privilegiate, proteggere brevetti, loghi, marchi registrati. Gli interessi in gioco sono svariati, sia sotto il profilo della compliance, sia in termini di sicurezza delle informazioni di elevato valore per il business.
Se anche nella vostra organizzazione avete iniziato a sperimentare ChatGPT ed è sorto qualche dubbio sulla privacy e sugli altri rischi collegati al suo utilizzo, cerchiamo allora di inquadrare le problematiche note, e dare risposta ai dubbi più frequenti.
Indice
Cosa si può fare con l’Intelligenza Artificiale generativa?
Il concetto di AI generativa fa riferimento a tutti quei sistemi basati su intelligenza artificiale utilizzata per creare nuovi contenuti (testi, immagini, grafici, tracce audio, video, codice informatico, ecc.), tramite il ricorso a modelli statistici addestrati su grandi set di dati. Assumono tipicamente la forma di chatbot, talvolta integrate in software di editing audio/foto/video, ambienti di sviluppo informatico, o anche ulteriori applicazioni più “verticali” (es. ricerca medica e scientifica, progettazione di prodotti, disegno tecnico, ecc).
Alcuni esempi noti: ChatGPT e DALL-E di OpenAI, Copilot di Microsoft, Bard di Google, e molte altre.
Partiamo proprio dall’esempio di ChatGPT, probabilmente l’AI generativa più diffusa, nonché quella che per prima ha raggiunto il grande pubblico.
Quali condizioni governano l’utilizzo di ChatGPT?
Il primo elemento da capire è: in che modo lo si utilizza? E in particolare, sulla base di quali termini di servizio? Proviamo quindi a orientarci proprio tra le ultime versioni della documentazione fornita da OpenAI. Ecco le fonti principali pubblicamente accessibili sul sito web dell’azienda:
- Termini di Servizio (generali)
- Termini d’utilizzo applicabili ai residenti in Europa, Svizzera e UK
- Termini d’utilizzo (resto del mondo)
- Termini d’utilizzo Business (per l’utilizzo di ChatGPT Enterprise, APIs e altri servizi per aziende e sviluppatori)
La documentazione, a sua volta, richiama le Policy d’uso, le Policy relative alla condivisione e pubblicazione, Condizioni di credito del servizio, le Linee Guida sull’utilizzo del marchio OpenAI nel marketing e nelle comunicazioni.
Insomma, molte le fonti e indicazioni contrattuali a cui porre attenzione. Proviamo perciò a estrarne gli elementi più rilevanti per dare risposta ad alcuni dubbi frequenti per l’utilizzo di ChatGPT in azienda.
ChatGPT è privacy compliant?
La risposta a questa domanda non può essere secca. E il periodo è al momento particolarmente caldo, visto l’atto di contestazione inviato negli ultimi giorni dal Garante su tematiche, però, ancora da chiarire. Tra le più probabili, ipotizziamo:
- chiarezza e completezza delle informative
- prevenzione e protezione dei dati riferiti ai minori
- trasparenza e correttezza nelle modalità di raccolta dei dati utilizzati per addestrare i modelli statistici dell’AI.
Quindi, con le dovute attenzioni, e mantenendoci aggiornati sui rapporti tra le Autorità di protezione dati e le società di sviluppo di AI, iniziamo intanto a circoscrivere una prospettiva per esaminare le caratteristiche di ChatGPT. Così come per i distinti termini d’utilizzo, segnaliamo l’esistenza di una Privacy policy applicabile ai residenti in UE, Svizzera e UK (applicabile dal 15/02/2024) e una Privacy policy dedicata al resto del mondo. Se poi ci concentriamo sull’utilizzo dei servizi dedicati alle aziende, è utile fare riferimento alla pagina di supporto privacy per l’ambito Business.
Per un utilizzo aziendale sicuro, l’utilizzo dei servizi OpenAI a pagamento è quello che offre le migliori garanzie in termini di protezione dei dati e sicurezza delle informazioni.
D’altro canto, non è nemmeno detto che ChatGPT venga usato nel contesto aziendale per trattare dati personali. Se invece così fosse, sarà necessario sottoscrivere un Data Processing Addendum con OpenAI. Attenzione, però, occorre farlo attivamente, compilando il form online.
La sola gestione del rapporto tra Titolare e Responsabile, tuttavia, potrebbe non essere sufficiente per ritenersi conformi al GDPR. Ecco alcuni spunti:
- Trasparenza: pensiamo all’utilizzo di ChatGPT per elaborare statistiche e produrre rapidamente grafici riferiti ai dati sulle vendite e complessivamente riguardanti i consumatori registrati nell’e-commerce. Questo genere di operazioni, finalità e la partecipazione di OpenAI nel processo, dovranno essere correttamente rappresentate al pubblico – all’interno dell’informativa.
- Liceità: per il trattamento di dati personali tramite ChatGPT potrebbe essere necessario un consenso. In alternativa, bisognerà valutare attentamente la base giuridica applicabile per procedere con un’elaborazione dei dati automatizzata, e l’impatto che questa potrà avere sugli interessati.
- Sicurezza: OpenAI presenta una serie di elementi e documentazione per dimostrare la sicurezza della propria infrastruttura informatica. Tuttavia, anche affidandosi alle garanzie del fornitore, le caratteristiche tecniche e di cybersecurity dell’hardware o del software, non necessariamente soddisfano tutte le esigenze di sicurezza dell’attività svolta tramite quell’hardware o quel software. Ad esempio, abbiamo stabilito delle regole interne per l’utilizzo di ChatGPT? Il personale è attento, preparato e consapevole sui rischi e i vincoli nell’utilizzo dell’intelligenza artificiale generativa?
[Vedi anche: Cybersecurity dell’AI: l’affidabilità va messa nell’equazione]
- Minimizzazione: quali informazioni sono date in pasto all’AI? Si è consapevoli, ad esempio, del divieto – imposto anche dal servizio – di trasmettere in input informazioni personali riferite a minori di 13 anni? Sulla questione, d’altronde, nel 2023 OpenAI ha già ricevuto le attenzioni del Garante, in quello che molti ricorderanno come il primo blocco del servizio in Italia, motivato dalla necessità di implementare modalità sicure di controllo dell’età degli utenti.
- Privacy by design: immaginiamo l’utilizzo dell’AI generativa per la scrittura di codice. Quel codice per quale prodotto, sistema, processo o flusso di operazioni sarà destinato? Tratterà dati personali? E se sì, si applica poi un attento processo di revisione, per assicurarsi che l’esito rispetti i requisiti stabiliti per la protezione dei dati personali? Più in generale, si è considerata l’eventuale necessità di valutare attentamente l’utilizzo dell’AI all’interno di una DPIA?
Chi è responsabile per l’utilizzo di ChatGPT?
I termini di servizio business chiariscono che l’azienda assume tutte le responsabilità sulle attività che si verificano sotto il proprio account cliente, comprese le attività di qualsiasi utente finale che acceda ai Servizi OpenAI in virtù del contratto. L’azienda dovrà quindi rispondere delle modalità di utilizzo di ChatGPT da parte dei propri dipendenti. Di conseguenza, così come si regola l’uso di qualsiasi altro dispositivo aziendale e/o strumento informativo, è opportuno sensibilizzare le persone all’interno dell’organizzazione sui rischi e i limiti dell’AI, regolamentarne l’utilizzo e divulgare correttamente le restrizioni e i vincoli imposti.
Diverso è il caso di account individuali, soggetti ai termini d’utilizzo diversi dalla versione business. In questo caso l’utilizzatore assume direttamente la responsabilità sui contenuti e sull’uso dei servizi. Va notato, tuttavia, che questa modalità d’uso può rappresentare una forzatura per l’uso di ChatGPT da parte di un dipendente. Questo, infatti, in tal modo si dichiarerebbe proprietario e autorizzato a condividere con OpenAI dati e informazioni che in realtà sono dell’azienda. E non a caso, OpenAI ha previsto un sistema di segnalazione per gli account registrati con dominio aziendale, che potranno essere trasferiti in maniera facilitata sotto la licenza business – ove già esistente (ved. Corporate Domains nei Termini d’utilizzo).
Cos’altro è necessario fare nei confronti degli incaricati? Sicuramente, per un obbligo di trasparenza nei confronti del dipendente, informarlo che l’utilizzo dei servizi di OpenAI e i relativi contenuti – le conversazioni col chatbot, gli input e gli output – potranno essere consultati e verificati dagli amministratori della piattaforma (tipicamente, il personale del reparto IT) che gestiscono gli account aziendali e la licenza di utilizzo dei servizi.
A chi appartengono gli Input immessi e gli Output restituiti da ChatGPT?
Usciamo dal tema privacy, e addentriamoci nella proprietà delle informazioni.
La principale garanzia del contratto business è rappresentata dal fatto che tutti i contenuti generati dall’utilizzo dei servizi, nello specifico gli input, gli output e le conversazioni col chatbot nel loro complesso, restano sotto la proprietà dell’utilizzatore di ChatGPT.
L’elemento principale di garanzia del contratto business, è che i contenuti così generati non saranno mai utilizzati da OpenAI per addestrare ulteriormente il sistema di AI.
Alcuni limiti inevitabilmente permangono. Per esempio, la piena responsabilità dell’utilizzatore sulla qualità, adeguatezza e accuratezza delle risposte fornite da ChatGPT. Con il conseguente obbligo – se non altro morale – di “diffidare” e revisionarle regolarmente (ad esempio, prima di procedere alla loro pubblicazione). Ancora, la consapevolezza che alcune risposte di ChatGPT potrebbero essere fornite in maniera simile anche ad altri utilizzatori. Sarà pertanto impossibile ritenersi proprietari “esclusivi” di determinati contenuti.
La questione cambia lievemente con l’utilizzo di account individuali (non business). In questa circostanza, infatti, di default OpenAI mantiene la libertà di utilizzare i contenuti generati per fornire, mantenere, sviluppare e migliorare i propri Servizi. Leggi: per continuare ad addestrare l’AI. Va segnalata, certo, la possibilità anche per il singolo utilizzatore di chiedere il blocco all’utilizzo dei propri contenuti come base di addestramento dei modelli. Ma la procedura non sembra del tutto chiara. I dati sono filtrati all’origine (non entrano nel dataset di addestramento) o al termine delle elaborazioni (sono eliminati solo dalle risposte fornite agli altri utenti)? E il rischio di muoversi in un terreno incerto, vale la candela anche per un utilizzo aziendale?