Il problema delle “allucinazioni” di ChatGPT ha dovuto affrontare un'altra denuncia sulla privacy nell'UE

Crediti immagine: Olivier Daulieri/AFP/Getty Images

OpenAI deve affrontare un altro reclamo sulla privacy nell'Unione Europea. Questo caso, che è stato portato avanti da un'organizzazione no-profit interessata al diritto alla privacy no A nome di un singolo denunciante, prende di mira l'incapacità del chatbot ChatGPT basato sull'intelligenza artificiale di correggere la disinformazione che genera sugli individui.

La tendenza degli strumenti GenAI a produrre informazioni false è stata ben documentata. Ma mette anche la tecnologia in rotta di collisione con il Regolamento generale sulla protezione dei dati (GDPR) del blocco, che regola il modo in cui vengono elaborati i dati personali degli utenti regionali.

Le sanzioni per il mancato rispetto del GDPR possono ammontare fino al 4% del totale delle vendite annuali globali. Ancora più importante per un gigante ricco di risorse come OpenAI: i regolatori della protezione dei dati potrebbero ordinare modifiche al modo in cui le informazioni vengono elaborate, quindi l’introduzione del GDPR potrebbe rimodellare il modo in cui operano gli strumenti di intelligenza artificiale generativa nell’UE.

OpenAI è già stata costretta ad apportare alcune modifiche dopo il tempestivo intervento dell'Autorità italiana per la protezione dei dati, che ha costretto per breve tempo ChatGPT a chiudere localmente nel 2023.

Ora noyb ha presentato il suo ultimo reclamo GDPR contro ChatGPT all'autorità austriaca per la protezione dei dati per conto di un denunciante anonimo (descritto come un “personaggio pubblico”) che ha scoperto che il loro chatbot basato sull'intelligenza artificiale aveva prodotto per loro una data di nascita errata.

Ai sensi del Regolamento generale sulla protezione dei dati, le persone nell’UE hanno una serie di diritti associati alle informazioni che li riguardano, incluso il diritto alla correzione dei dati inesatti. noyb afferma che OpenAI non rispetta questo obbligo rispetto all'output del suo chatbot. Ha affermato che la società ha respinto la richiesta del denunciante di correggere la data di nascita errata, ritenendo tecnicamente impossibile correggerla.

Si è invece offerto di filtrare o bloccare i dati in base a determinati suggerimenti, come il nome del denunciante.

OpenAI politica sulla riservatezza Si afferma che gli utenti che notano che il loro chatbot AI ha generato “informazioni inesatte su di te” possono inviare una “richiesta di correzione” tramite Privacy.openai.com Oppure via email a dsar@openai.com. Tuttavia, sottolinea questa linea con l’avvertenza: “A causa della complessità tecnica del funzionamento dei nostri modelli, potremmo non essere in grado di correggere le imprecisioni in ogni caso”.

In questo caso, OpenAI suggerisce agli utenti di richiedere che le loro informazioni personali vengano completamente rimosse dall'output di ChatGPT, compilando un modulo Modulo web.

Il problema per il colosso dell’IA è che i suoi diritti GDPR non sono selettivi. Le persone in Europa hanno il diritto di chiedere la correzione. Hanno inoltre il diritto di richiedere la cancellazione dei propri dati. Ma, come sottolinea Noib, OpenAI non ha il diritto di scegliere nessuno di questi diritti disponibili.

Altri elementi del reclamo si concentrano sulle preoccupazioni in materia di trasparenza del GDPR, con Noib che sostiene che OpenAI non è in grado di identificare la fonte dei dati che genera sugli individui, né i dati che il chatbot memorizza sulle persone.

Questo è importante perché il Regolamento, ancora una volta, attribuisce ai soggetti il ​​diritto di richiedere tali informazioni presentando una cosiddetta Richiesta di Accesso del soggetto (SAR). Tuttavia, OpenAI non ha risposto adeguatamente alla SAR del denunciante e non ha divulgato alcuna informazione sui dati trattati, sulle loro fonti o sui loro destinatari.

Commentando la denuncia in una dichiarazione, Maartje de Graaf, avvocato specializzato in protezione dei dati presso noyb, ha dichiarato: “Inventare informazioni false è di per sé un grosso problema, ma quando si tratta di informazioni false sulle persone, ci possono essere gravi conseguenze È chiaro che le aziende non sono attualmente in grado di rendere i chatbot come ChatGPT conformi alla legislazione dell'UE, quando elaborano dati sulle persone se un sistema non può produrre risultati accurati e trasparenti, non può essere utilizzato per generare dati sulle persone. La tecnologia non deve seguire i requisiti legali viceversa.

La società ha affermato che chiederà alla DPA austriaca di indagare sul reclamo riguardante il trattamento dei dati di OpenAI, oltre a esortarla a imporre una multa per garantire la futura conformità. Ma ha aggiunto che è “probabile” che la questione venga affrontata attraverso la cooperazione con l'Unione europea.

OpenAI deve affrontare una denuncia molto simile in Polonia. Lo scorso settembre, l'autorità locale per la protezione dei dati ha aperto un'indagine su ChatGPT a seguito di una denuncia da parte di un ricercatore sulla privacy e sulla sicurezza che non è stato ritenuto in grado di correggere informazioni errate al riguardo da OpenAI. Questa denuncia accusa anche il colosso dell’IA di non aver rispettato i requisiti di trasparenza stabiliti dal regolamento.

Nel frattempo, l’Autorità Garante per la Protezione dei Dati Personali italiana sta ancora conducendo un’indagine aperta su ChatGPT. A gennaio, ha emesso un progetto di decisione, affermando all'epoca di ritenere che OpenAI avesse violato il GDPR in diversi modi, anche in relazione alla tendenza del chatbot a produrre informazioni fuorvianti sulle persone. I risultati riguardano anche altre questioni sostanziali, come la legalità del trattamento.

Le autorità italiane hanno concesso a OpenAI un mese per rispondere ai suoi risultati. La decisione finale è ancora in sospeso.

Ora, con un altro reclamo GDPR lanciato sul suo chatbot, è aumentato il rischio che OpenAI debba affrontare una serie di azioni di applicazione del GDPR in diversi stati membri.

Lo scorso autunno, la società ha aperto un ufficio regionale a Dublino, con una mossa che sembra mirata a ridurre i rischi normativi attraverso la deviazione dei reclami sulla privacy da parte della Commissione irlandese per la protezione dei dati, grazie a un meccanismo nel GDPR volto a semplificare il controllo transfrontaliero dei dati. denunce, contestazioni. Indirizzandoli all'autorità di un unico Stato membro in cui la società è una “impresa principale”.