In Italia e in Europa il tema del rapporto tra il diritto fondamentale alla protezione dei dati personali e i sistemi che offrono servizi basati sull’Intelligenza Artificiale è esploso in modo fragoroso con la vicenda legata ai provvedimenti del Garante Italiano relativi a ChatGPT.
La risonanza è stata tanto elevata che praticamente tutte le Autorità degli altri Paesi UE hanno avviato attività ispettive sul funzionamento della Chat e dei servizi offerti nel territorio di loro competenza e il 13 aprile lo European Data Protection Board ha reso noto di aver istituito una task force dedicata a promuovere la cooperazione e scambiare informazioni su possibili misure adottate o da adottare da parte delle Autorità di protezione dati rispetto ai servizi offerti da ChatGPT e alle sue modalità di funzionamento.
Della nota vicenda, merita accentare l’attenzione sul fatto che il provvedimento del Garante ha di fatto sindacato il funzionamento di ChatGPT e del sistema di intelligenza artificiale che ne è alla base alla luce del GDPR, dettando poi obblighi basati sul rispetto di alcuni capisaldi della protezione dei dati personali. Proprio questo aspetto infatti apre il tema del rapporto tra sistemi di AI e la tutela del diritto fondamentale alla protezione dei dati personali affermato dalla Carta dei diritti fondamentali della UE e regolato dal GDPR.
La domanda di fondo che la vicenda pone è infatti se il funzionamento di una chat o altra applicazione basata sulla AI possa coinvolgere il GDPR che riguarda la tutela del diritto alla protezione dei dati personali, e non riguarda invece direttamente le regole da rispettare rispetto al funzionamento nella UE di applicazioni basati su sistemi di intelligenza artificiale.
Peraltro, sarebbe troppo semplice e sicuramente sbagliato obiettare appunto che la AI e la ChatGPT richiedono per il loro funzionamento l’utilizzazione di grandi quantità di dati, essendo evidente che il loro core business non è l’uso dei dati come tale né il loro trattamento, ma piuttosto corrispondere alle critiche formulate dagli utenti del servizio, utilizzando a tal fine i dati a loro disposizione, compresi, si può supporre, anche quelli eventualmente relativi a persone identificate o identificabili. Del resto, che il funzionamento di sistemi di AI possa implicare anche il trattamento di dati personali e coinvolgere quindi eventuali violazioni delle regole europee di protezione dati è ampiamente presente anche ai decisori europei, impegnati proprio in questo periodo a cercare un accordo definitivo sulla proposta di Regolamento UE che stabilisca regole armonizzate sull’intelligenza artificiale. Basta leggere il Considerando 5 bis della proposta della Commissione approvato il 6 dicembre 2022, che recita: “le regole armonizzate concernenti l’immissione sul mercato, la messa in servizio e l’utilizzo dei sistemi di AI stabilite nel presente regolamento, non dovrebbero pregiudicare la normativa vigente nell’Unione, in particolare in materia di protezione dei dati, tutela dei consumatori, diritti fondamentali, occupazione e sicurezza dei prodotti, a cui il presente regolamento è complementare”.
Non vi è dunque dubbio che i sistemi di intelligenza artificiale possano costituire pericolo anche per i diritti tutelati dalla normativa europea in materia di protezione dei dati, così come non vi è dubbio, anzi viene ribadito, che le regole UE in materia di AI devono garantire il rispetto delle normative in materia di tutela dei dati personali alle quali sono complementari.
Lo stesso considerando inoltre specifica che i sistemi di AI devono garantire anche una specifica protezione dei diritti dei minori, proprio il tema al centro di una delle prescrizioni più importanti del provvedimento del Garante e che ChatGPT deve assicurare. Di conseguenza non può esservi dubbio che le regole europee in materie di AI devono tener conto ed essere armonizzate alle regole UE in materia di tutela dei dati personali, ivi comprese quelle relative alla tutela di minori.
Non ha valore dunque affermare, che il Garante, utilizzando il GDPR rispetto al funzionamento del sistema di AI utilizzato da ChatGPT, avrebbe toccato (o forse oltrepassato) i limiti della sua competenza. Al contrario dobbiamo riconoscere che il Garante italiano ha saputo fare un sapiente uso dei diritti tutelati dal GDPR e delle regole in esso contenute applicandole anche a un sistema come la AI che certamente non aveva formato oggetto specifico di attenzione da parte del Regolamento UE, fermo restando che quella regolazione già era stata pensata avendo a mente l’evoluzione digitale e i problemi che essa avrebbe portato con sé, specificamente rispetto al bisogno di assicurare una accountability che giustificasse e incentivasse la fiducia degli utenti nella società digitale. Del resto che il GDPR, pur non contenendo norme specifiche per la AI, già avesse intravisto gli sviluppi più importanti della società digitale lo dimostra il tanto volte richiamato art. 22, che non a caso prevede il diritto di chiedere l’intervento umano a controllo dei trattamenti interamente automatizzati di dati personali. Fermo restando questo quadro, resta da interrogarsi sul nodo centrale: quale sia, cioè, il vero diritto essenziale da tutelare per garantire il rispetto dei diritti fondamentali delle persone che si trovano a usare servizi di AI.
La domanda da porsi, a cui credo che si debba rispondere guardando anche oltre il GDPR, resta però se di fronte all’evoluzione tecnologica della società digitale basti l’informativa sui trattamenti dei dati per rispettare i diritti fondamentali delle persone richiamati dai considerando della proposta del nuovo Regolamento sull’intelligenza artificiale.
La questione essenziale, che è alla base della tutela di ogni diritto fondamentale delle persone nel mondo digitale è quella di garantire che gli utenti dei sistemi digitali abbiano adeguate informazioni non solo sulle modalità relative al trattamento dei dati ma anche, e soprattutto, su chi siano i soggetti con i quali entrano in relazione in rete e su quale possa essere la affidabilità e il contenuto effettivo delle relazioni poste in essere con questi soggetti. Proprio il fenomeno della AI e delle Chat basate su questa tecnologia, sono centrali per comprendere l’importanza di questo aspetto.
Ovviamente, per far fronte a queste nuove esigenze e a questi nuovi orizzonti che segnano nuove importanti frontiere per la tutela dei diritti fondamentali delle persone umane, occorreranno nuove regole e non basterà far ricorso all’etica o alle pompose dichiarazioni sulla centralità dell’uomo ma saranno necessarie nuove regole vincolanti e nuove misure di vigilanza. Il Regolamento sull’Intelligenza Artificiale in corso di approvazione è certamente un buon modo per avviare nuove iniziative adatte al nuovo mondo, ma l’auspicio è che la task force istituita dall’EDPB sappia andar oltre ChatGPT e sia capace di promuovere, come già fecero le Autorità garanti all’epoca della messa a punto del GDPR, nuove regole per garantire una tutela ampia e davvero efficace dei diritti fondamentali dell’uomo nel mondo digitale, a partire dal diritto di essere sicuro della realtà dell’identità dei soggetti che operano in rete, delle loro modalità di azione e delle loro finalità: solo a queste condizioni potremo dire che l’EU è davvero alla guida dell’evoluzione della società digitale verso nuove frontiere utili all’umanità.
