Protezione dei dati e ChatGPT: linee guida europee per la privacy e la sicurezza dei dati personali

Il rapporto della task force fornisce indicazioni sulla legittimità del trattamento dei dati da parte di ChatGPT, suddividendo le varie fasi:

• la raccolta dei dati per l'addestramento, inclusi il web scraping e il riutilizzo di set di dati;
• la pre-elaborazione, come il filtraggio;
• l'addestramento del sistema;
• i prompt e i risultati prodotti da ChatGPT;
• il suo addestramento con prompt.

Un' attenzione particolare è data al web scraping. OpenAI ha dichiarato il proprio legittimo interesse per la raccolta dei dati. Tuttavia, l'EDPB sottolinea che questo interesse deve essere bilanciato con i diritti e le libertà fondamentali delle persone coinvolte. Al fine di rendere legittimo questo interesse, potrebbero essere prese misure come la definizione di criteri di raccolta e l'esclusione di determinate categorie di dati e fonti, come i profili pubblici sui social. Altre azioni potrebbero includere la cancellazione o l'anonimizzazione dei dati personali prima dell'addestramento.

Il rapporto si sofferma anche sul principio di correttezza, in base al quale OpenAI deve garantire la conformità al GDPR; sulla trasparenza e sull'esattezza, che richiedono di informare chiaramente sull'output probabilistico della chatbot e sul fatto che il testo generato potrebbe essere parziale o inventato. È necessario anche informare gli utenti che il testo fornito viene utilizzato per addestrare la chatbot.

Infine, il Comitato europeo sottolinea l'importanza che gli interessati possano esercitare i propri diritti in modo efficace. Il rapporto è solo un'analisi preliminare e non influenzerà le indagini in corso condotte dalle Autorità nazionali, avviate prima del 15 febbraio 2024, quando OpenAI si è stabilita in Europa. A partire da quella data, le attività di trattamento transfrontaliero di OpenAI saranno soggette al controllo dello Sportello Unico (NL del Garante Privacy del 6 giugno 2024, n. 524)