Nell'UE, il GDPR richiede che le informazioni sulle persone siano accurate e che queste abbiano pieno accesso alle informazioni memorizzate, così come alle informazioni sulla fonte. Sorprendentemente, però, OpenAI ammette apertamente di non essere in grado di correggere le informazioni errate su ChatGPT. Inoltre, l'azienda non è in grado di dire da dove provengano i dati o quali dati ChatGPT memorizzi sulle singole persone. L'azienda è ben consapevole di questo problema, ma non sembra preoccuparsene. Al contrario, OpenAI sostiene semplicemente che "l'accuratezza fattuale nei modelli linguistici di grandi dimensioni rimane un'area di ricerca attiva". Quindi, noyb ha presentato oggi una denuncia contro OpenAI alla DPA austriaca.
ChatGPT continua ad avere le allucinazioni e nemmeno OpenAI riesce a fermarlo. Il lancio di ChatGPT nel novembre 2022 ha scatenato un'ondata di successo senza precedenti. Le persone hanno iniziato a usare il chatbot per ogni tipo di scopo, compresi i compiti di ricerca. Il problema è che, secondo la stessa OpenAI, l'applicazione genera solo "risposte alle richieste degli utenti prevedendo le prossime parole più probabili che potrebbero apparire in risposta a ogni richiesta". In altre parole: Sebbene l'azienda disponga di ampi dati di addestramento, al momento non c'è modo di garantire che ChatGPT mostri agli utenti informazioni effettivamente corrette. Al contrario, gli strumenti di intelligenza artificiale generativa sono noti per avere regolarmente delle "allucinazioni", ovvero per inventare semplicemente delle risposte.
Va bene per i compiti, ma non per i dati sulle persone. Se le informazioni imprecise possono essere tollerate quando uno studente usa ChatGPT per aiutarlo a fare i compiti, sono inaccettabili quando si tratta di informazioni sulle persone. Dal 1995, la legislazione dell'Unione Europea richiede che i dati personali siano accurati. Attualmente, ciò è sancito dall'articolo 5 del GDPR. Le persone hanno anche il diritto di rettificare i dati inesatti ai sensi dell'articolo 16 del GDPR e possono richiedere la cancellazione di informazioni false. Inoltre, in base al "diritto di accesso" di cui all'articolo 15, le aziende devono essere in grado di mostrare quali dati conservano sulle persone e quali sono le fonti.
Maartje de Graaf, avvocato specializzato in protezione dei dati presso la noyb: "Inventare informazioni false è di per sé abbastanza problematico. Ma quando si tratta di informazioni false sulle persone, le conseguenze possono essere gravi. È chiaro che le aziende non sono attualmente in grado di rendere i chatbot come ChatGPT conformi alla legge dell'UE, quando trattano dati relativi a persone fisiche. Se un sistema non è in grado di produrre risultati accurati e trasparenti, non può essere utilizzato per generare dati sulle persone. La tecnologia deve seguire i requisiti legali, non il contrario"
Inventare semplicemente i dati sulle persone non è un'opzione. Si tratta di un problema strutturale. Secondo un recente rapporto del New York Times, "i chatbot inventano informazioni almeno il 3% delle volte, con punte del 27%". Per illustrare questo problema, possiamo dare un'occhiata al denunciante (un personaggio pubblico) nella nostra causa contro OpenAI. Quando gli è stata chiesta la data di nascita, ChatGPT ha ripetutamente fornito informazioni errate invece di dire agli utenti che non disponeva dei dati necessari.
Nessun diritto GDPR per le persone catturate da ChatGPT? Nonostante il fatto che la data di nascita del denunciante fornita da ChatGPT sia errata, OpenAI ha rifiutato la sua richiesta di rettifica o cancellazione dei dati, sostenendo che non è possibile correggere i dati. OpenAI afferma di poter filtrare o bloccare i dati su alcuni prompt (come il nome del reclamante), ma non senza impedire a ChatGPT di filtrare tutte le informazioni sul reclamante. OpenAI non ha inoltre risposto adeguatamente alla richiesta di accesso del reclamante. Sebbene il GDPR dia agli utenti il diritto di chiedere alle aziende una copia di tutti i dati personali che vengono trattati su di loro, OpenAI non ha rivelato alcuna informazione sui dati trattati, sulle loro fonti o sui destinatari.
Maartje de Graaf, avvocato specializzato in protezione dei dati presso la noyb: "L'obbligo di soddisfare le richieste di accesso si applica a tutte le aziende. È chiaramente possibile tenere un registro dei dati di formazione che sono stati utilizzati, almeno per avere un'idea delle fonti di informazione. Sembra che ad ogni 'innovazione', un altro gruppo di aziende pensi che i suoi prodotti non debbano rispettare la legge"
Finora gli sforzi delle autorità di vigilanza sono stati vani. Dopo l'improvvisa ascesa di popolarità di ChatGPT, gli strumenti di IA generativa sono rapidamente finiti sotto l'esame degli organi di vigilanza europei sulla privacy. Tra gli altri, il DPA italiano ha affrontato l'imprecisione del chatbot imponendo una restrizione temporanea al trattamento dei dati nel marzo 2023. Poche settimane dopo, il Comitato europeo per la protezione dei dati (EDPB) ha istituito una task force sui ChatGPT per coordinare gli sforzi nazionali. Resta da vedere dove porterà tutto ciò. Per ora, OpenAI sembra non voler nemmeno fingere di essere conforme al GDPR dell'UE.
Noybchiede ora all'autorità austriaca per la protezione dei dati (DSB) di indagare sul trattamento dei dati da parte di OpenAI e sulle misure adottate per garantire l'accuratezza dei dati personali trattati nel contesto dei grandi modelli linguistici dell'azienda. Inoltre, chiediamo al DSB di ordinare a OpenAI di soddisfare la richiesta di accesso del denunciante e di rendere il suo trattamento conforme al GDPR. Infine, ma non meno importante, noyb chiede all'autorità di imporre una multa per garantire la futura conformità. È probabile che questo caso venga trattato attraverso la cooperazione dell'UE.