La rubrica CONSUMER FIRST ospita interventi di rappresentanti del mondo del consumerismo afferenti ad Euroconsumers, principale gruppo internazionale di Organizzazioni di consumatori che unisce Test-Aankoop/Test-Achats (Belgio), DECOProteste (Portogallo), OCU (Spagna), Proteste (Brasile) e Altroconsumo (Italia). La rubrica è curata da un Comitato Editoriale di Euroconsumers composto da Marco Pierani (Director Public Affairs and Media Relations), Els Bruggeman (Head of Policy and Enforcement), Luisa Crisigiovanni (Head of Fundraising Program & EU Projects Development) e Marco Scialdone (Head of Litigation & Academic Outreach). L’obiettivo è la presentazione di contenuti originali sui principali temi del mondo del consumerismo in ambito europeo e mondiale. Per leggere tutti gli articoli clicca qui.
Nel 1992 i Black Sabbath pubblicano “Dehumanizer”, il loro sedicesimo disco in studio, la cui traccia di apertura si intitola “Computer God”, dedicata alle conseguenze sociali dello strapotere informatico (“Computerize God, it’s the new religion”).
A distanza di trent’anni, la lettera aperta pubblicata da Elon Musk, Steve Wozniak, Yuval Noah Harari (e molti altri intellettuali, imprenditori ed esperti), con cui si chiede di fermare lo sviluppo dei sistemi di Intelligenza Artificiale, sembra echeggiare le medesime paure (“Contemporary AI systems are now becoming human-competitive at general tasks,and we must ask ourselves: Should we let machines flood our information channels with propaganda and untruth? Should we automate away all the jobs, including the fulfilling ones? Should we develop nonhuman minds that might eventually outnumber, outsmart, obsolete and replace us? Should we risk loss of control of our civilization?”).
L’appello
Si tratta, in particolare, di un appello indirizzato a tutti i laboratori nei quali vengano addestrati sistemi di intelligenza artificiale a sospendere l’implementazione di sistemi più potenti di GPT-4: questa pausa, nei desiderata dei firmatari dell’appello, dovrebbe avere una durata di almeno sei mesi, nel corso dei quali ogni sforzo dovrebbe essere concentrato sulla definizione di protocolli di sicurezza avanzati, da sviluppare di concerto con le istituzioni, tesi ad assicurare che questi sistemi siano del tutto sicuri. L’appello si spinge ad auspicare – anzi, a ritenere necessaria – l’istituzione di nuove autorità di regolamentazione ad hoc.
La nettezza delle posizioni espresse nell’appello, nonché l’eterogeneità – miracolosa– dei suoi firmatari non può lasciare indifferenti. E costringe a porsi un molteplice ordine di quesiti:
- le autorità pubbliche sono davvero in grado di governare un fenomeno del genere?
- se sì, quali strumenti dovrebbero essere utilizzati? E soprattutto
- come fare ad assicurare la compliance con i provvedimenti o le leggi che dovessero effettivamente essere approvati a tale riguardo?
L’ultimo punto sta diventando un tema centrale nel rapporto tra tecnologia e diritto.
Il provvedimento del Garante italiano
E’ cronaca degli ultimi giorni il provvedimento d’urgenza nei confronti di OpenAI da parte dell’Autorità italiana garante per la protezione dei dati personali, con cui è stata disposta, con effetto immediato, la limitazione provvisoria del trattamento dei dati degli utenti italiani per quanto concerne ChatGPT, il più noto tra i software di intelligenza artificiale relazionale.
Le contestazioni sono essenzialmente di quattro tipi: 1) la mancanza di una informativa agli utenti e a tutti gli interessati i cui dati vengono raccolti da OpenAI, 2) l’assenza di una base giuridica che giustifichi la raccolta e la conservazione massiccia di dati personali, allo scopo di “addestrare” gli algoritmi sottesi al funzionamento della piattaforma, 3) l’inesattezza di dati personali inclusi negli output generati dal sistema 4) l’assenza di qualsivoglia filtro per la verifica dell’età degli utenti di età inferiore ai 14 anni.
La risposta di OpenAI non si è fatta attendere ed è consistita nel rendere il servizio non più accessibile dall’Italia e nell’annunciare il rimborso dell’abbonamento pagato dagli utenti “pro”.
Phone verification
Non è questa la sede per dilungarsi sui possibili vizi del provvedimento, sebbene desti una certa perplessità il fatto che l’urgenza alla base della sua adozione non sia in alcun modo motivata e che non sia stato compiutamente scrutinato il sistema di “phone verification” che OpenAI implementa per l’iscrizione a ChatGPT (come noto, in Italia, per poter essere titolari di una SIM card occorre aver compiuto 15 anni).
Parimenti desta perplessità il richiamo all’assenza di informativa che pure è presente nella pagina di iscrizione e contiene il riferimento agli utenti europei con designazione del rappresentante in UE: quand’anche essa sia stata considerata non pienamente conforme al dettato dell’art. 13 GDPR, non si vede come ciò, da solo, possa giustificare il provvedimento d’urgenza.
L’aspetto, invece, di maggior interesse è quello relativo all’assenza di una base giuridica che giustifichi la raccolta di dati personali allo scopo di “addestrare” gli algoritmi sottesi al funzionamento della piattaforma perché pone una questione centrale per lo sviluppo dell’intelligenza artificiale e si ricollega in qualche modo alla lettera aperta cui si faceva cenno in precedenza.
Rigidità del GDPR e dell’EDPB
Senza entrare nel merito se tale base sussista o meno nel caso di specie, è innegabile che la rigidità dell’impostazione del GDPR (amplificata da interpretazioni spesso restrittive di EDPB e Corte di Giustizia UE) rappresenti un problema rispetto al quale possono prospettarsi due soluzioni:
- l’Artificial Intelligence Act, in discussione in questi mesi, avrebbe potuto essere l’atto normativo ideale in cui inserire basi giuridiche ad hoc per il trattamento dei dati nell’ambito dei sistemi di intelligenza artificiale. Purtroppo, non è stato fatto: è un grave lacuna e si sarebbe ancora in tempo per colmarla, rendendo così quella normativa davvero “future-proof”;
- Se proprio non si vogliono prevedere basi giuridiche ad hoc, allora è necessario ampliare – anche in via interpretativa – il perimetro applicativo del “legittimo interesse” di cui all’articolo 6, lett. f) GDPR. Questo consentirebbe di salvaguardare anche altre ipotesi di trattamento dei dati (si pensi al c.d. targeted advertising), oggi tutte parimenti vittime della regola aurea del consenso.
Percorso
È un percorso che va intrapreso, questo sì, con urgenza.
Ciò detto, qualunque strumento normativo o regolamentare dovesse essere approntato per governare lo sviluppo dei sistemi di intelligenza artificiale, non si potrà prescindere dalla responsabilizzazione (anche culturale) del singolo.
Forse la domanda che ci si potrebbe porre è: siamo certi che la sicurezza di questi sistemi si garantisca attraverso la produzione di leggi, regolamenti, linee guida, la cui corretta applicazione sarebbe in ogni caso lenta e sicuramente difficile da assicurare? Lo strumento giuridico è ancora il più potente che possiamo immaginare per governare i cambiamenti? Possiamo concentrare le nostre attenzioni solo su ciò, ignorando la necessità di rafforzare la formazione degli esseri umani per fare sì che ad essi sempre di più siano forniti gli strumenti culturali e critici per essere utilizzatori consapevoli dei nuovi mezzi, piuttosto che esserne vittime?
Tornando al riferimento musicale inziale, al “Computer God” del 1992, ha fatto seguito molti anni più tardi, nel 2013, “God is dead?”: è, metaforicamente, l’interrogativo normativo che ci accompagnerà nei prossimi anni.
