Il Report della task force europea analizza la conformità di ChatGPT al GDPR, evidenziando le fasi del trattamento dati e le garanzie necessarie.
Il rapporto della task force del Comitato europeo per la protezione dei dati (EDPB) rappresenta un’analisi approfondita sulla conformità di ChatGPT, il chatbot sviluppato da OpenAI, alle normative del GDPR. Questo documento è stato creato per promuovere la cooperazione tra le Autorità di protezione dei dati personali a livello nazionale, che stanno indagando sull’uso di ChatGPT.
Uno degli aspetti principali del rapporto riguarda la distinzione delle diverse fasi del trattamento dei dati: dalla raccolta per l’addestramento, che include tecniche come il web scraping o il riutilizzo di set di dati, alla pre-elaborazione, addestramento, e infine l’uso dei prompt e degli output generati da ChatGPT. Ogni fase presenta specifiche sfide e requisiti di conformità al GDPR.
Particolare attenzione è stata riservata al web scraping, una tecnica utilizzata da OpenAI per raccogliere dati. La base giuridica individuata per questa attività è il legittimo interesse del titolare del trattamento. Tuttavia, l’EDPB sottolinea che questo interesse deve essere bilanciato con i diritti e le libertà fondamentali degli interessati. Il rapporto suggerisce alcune garanzie per rendere lecito il legittimo interesse, come la definizione di criteri di raccolta e l’esclusione di determinate categorie di dati e fonti, ad esempio i profili pubblici sui social media. Inoltre, misure come la cancellazione o l’anonimizzazione dei dati personali prima della fase di addestramento sono considerate essenziali.
Per quanto riguarda le categorie particolari di dati, che richiedono un consenso specifico e un’azione positiva, il rapporto raccomanda l’implementazione di un filtraggio rigoroso sia durante la raccolta dei dati che immediatamente dopo, per eliminare i dati non conformi.
Oltre alla liceità della raccolta dei dati, il rapporto analizza il principio di correttezza, che impone a OpenAI di garantire la conformità al GDPR. Il principio di trasparenza richiede che il titolare del trattamento fornisca informazioni adeguate sulla natura probabilistica degli output generati da ChatGPT e chiarisca che il testo prodotto potrebbe essere parziale o inventato. Inoltre, OpenAI dovrebbe informare gli utenti che i loro input vengono utilizzati per addestrare il chatbot.
Il rapporto sottolinea anche l’importanza di garantire che gli interessati possano esercitare i loro diritti in modo efficace. Le valutazioni preliminari contenute nel rapporto non pregiudicano le analisi che verranno effettuate da ciascuna Autorità nazionale nell’ambito delle istruttorie in corso, aperte prima del 15 febbraio 2024, data in cui OpenAI ha stabilito una sede in Europa. Da quel momento, le attività di trattamento transfrontaliero della società rientrano nell’ambito di applicazione dello Sportello unico (One-stop shop).