Il 24 settembre 2023, il Gruppo editoriale Gedi ha firmato un accordo con OpenAI per l’utilizzo dei suoi archivi digitali. Questo accordo ha sollevato preoccupazioni riguardo alla protezione dei dati personali contenuti nei giornali. In particolare, il Garante per la protezione dei dati personali ha inviato un avvertimento formale al gruppo editoriale, evidenziando i rischi legati alla cessione dei dati a OpenAI per l’addestramento degli algoritmi di intelligenza artificiale.
Cosa rischia il Gruppo Gedi?
La GEDI ha precisato che “tutti i contenuti editoriali verranno utilizzati da OpenAI per consentire agli utenti [del servizio ChatGPT, n.d.r.] di fare ricerche in tempo reale di notizie di attualità, con contestuale fornitura di un riassunto (generato da sistemi di intelligenza artificiale di OpenAI) e del link diretto alla notizia medesima” e che “tutti i contenuti editoriali verranno utilizzati da OpenAI altresì per migliorare i propri servizi e addestrare i propri algoritmi di intelligenza artificiale”.
Secondo il Garante Privacy, l’accordo tra Gedi e OpenAI potrebbe violare le disposizioni del Regolamento Ue sulla protezione dei dati, noto anche come GDPR. Se il Gruppo Gedi cedesse i dati personali contenuti negli archivi giornalistici a OpenAI senza le necessarie cautele, potrebbe incorrere in sanzioni. In particolare, i dati personali di milioni di persone, che potrebbero includere informazioni molto delicate, verrebbero utilizzati senza il consenso esplicito degli interessati.
Il Garante ha sottolineato che questo trattamento di dati potrebbe coinvolgere non solo informazioni generiche, ma anche dati particolari, come quelli di natura giudiziaria. Tali dati sono considerati particolarmente sensibili e richiedono una protezione più rigorosa, in base alla legislazione europea.
I rischi per la privacy degli utenti
I dati raccolti e conservati dai giornali non sono semplici notizie; includono dettagli personali che, se mal gestiti, potrebbero compromettere la privacy degli utenti. Il trattamento di questi dati, soprattutto quando destinato a fini commerciali come l’addestramento di algoritmi di intelligenza artificiale, deve essere effettuato nel rispetto della normativa europea sulla privacy.
Sulla base delle informazioni ricevute, l’Autorità ritiene che le attività di trattamento sono destinate a coinvolgere un grande volume di dati personali, anche di natura particolare e di carattere giudiziario, e che la valutazione d’impatto, svolta dalla società e trasmessa al Garante, non analizzi sufficientemente la base giuridica in forza della quale l’editore potrebbe cedere o licenziare in uso a terzi i dati personali presenti nel proprio archivio a OpenAI, perché li tratti per addestrare i propri algoritmi.
In altre parole, il problema maggiore, secondo il Garante, risiede nella possibile mancanza di una solida base giuridica che giustifichi la cessione di questi dati. Il trattamento deve essere trasparente e deve rispettare i diritti degli utenti, che potrebbero non essere sufficientemente informati su come i loro dati vengono utilizzati.
La valutazione d’impatto e le lacune riscontrate
Uno degli aspetti principali sollevati dall’avvertimento riguarda la valutazione d’impatto, un processo previsto dal GDPR per analizzare i rischi legati al trattamento dei dati personali. Secondo il Garante, la valutazione d’impatto effettuata da Gedi non analizza in modo adeguato la base giuridica che legittima la cessione dei dati a terzi, come nel caso di OpenAI. Senza una solida giustificazione legale, il trattamento di questi dati potrebbe risultare illecito.
La valutazione d’impatto dovrebbe garantire che il trattamento dei dati sia fatto in modo conforme alle normative europee. Tuttavia, nella valutazione presentata da Gedi, non emergono evidenze che dimostrino una sufficiente attenzione alla protezione dei dati personali degli utenti.
Gli obblighi informativi e di trasparenza
Un altro punto critico che il Garante solleva riguarda l’obbligo di trasparenza e di informazione verso gli interessati. Ogni persona che fornisce i propri dati ha il diritto di sapere come l’azienda li utilizza, per quale scopo e con chi li condivide. Nel caso dell’accordo tra Gedi e OpenAI, il Garante sottolinea che Gedi non ha dato agli utenti informazioni adeguate sui possibili utilizzi dei loro dati.
Questa mancanza di trasparenza potrebbe compromettere la fiducia degli utenti nel trattamento dei loro dati e sollevare dubbi su come Gedi tuteli i loro diritti, in particolare il diritto di opposizione. Gedi deve permettere agli utenti di opporsi a qualsiasi trattamento che considerino illegittimo o dannoso per la loro privacy.
Il diritto di opposizione
Il provvedimento del Garante ha rilevato che dalla DPIA risulta che “Le testate del Gruppo GEDI non sono e non saranno, quindi, responsabili in alcun modo dell’operazione o dell’insieme di operazioni di trattamento di dati personali messe in atto da parte di OpenAI, neppure con riferimento ai dati personali compresi nei contenuti comunicati a OpenAI in base all’Accordo” e che OPEN AI sarebbe “titolare autonomo del trattamento e possa utilizzare tali contenuti (e, quindi, i dati personali negli stessi compresi) per fini di training dei propri sistemi di intelligenza artificiale, e a fini di miglioramento dei propri servizi, come il perfezionamento dell’accessibilità dei contenuti quando gli utenti cercano tali informazioni utilizzando ChatGPT”.
Dal canto suo, la Gedi afferma che “Ciascun soggetto interessato potrà sempre, in qualsiasi momento, esercitare il diritto di opposizione alla comunicazione dei dati a OpenAI e gli altri diritti riconosciuti dalla normativa applicabile (come descritti anche in altre sezioni della presente informativa) mediante comunicazione da trasmettere all’editore“. Inoltre, aggiunge che “implementerà procedure idonee a garantire l’adempimento degli obblighi derivanti dalla normativa applicabile ivi compresi quelli di cui all’articolo 19 GDPR”.
Ma il Garante, nel provvedimento emanato sostiene che “GEDI non risulta nelle condizioni di garantire i diritti degli interessati; infatti, sia con riferimento agli archivi giornalistici che verranno comunicati in blocco in data 30 novembre 2024, sia nei casi in cui la comunicazione ad OpenAI avverrà contestualmente alla pubblicazione dei singoli articoli, l’esercizio del diritto di opposizione nei confronti delle testate del gruppo GEDI coinvolte non risulta essere effettivo atteso che, in tali ipotesi, l’esercizio dei diritti di cui al Capo III del Regolamento potrà avvenire esclusivamente nei confronti di OpenAI IE“. (clicca qui per leggere la versione integrale del provvedimento)
Cosa deve fare Gedi per evitare sanzioni?
Per evitare potenziali sanzioni, Gedi dovrà adeguarsi rapidamente alle richieste del Garante Privacy. In particolare, dovrà rivedere la propria valutazione d’impatto, fornire informazioni più dettagliate agli utenti e garantire che il trattamento dei dati sia effettuato nel pieno rispetto delle normative vigenti. Inoltre, l’azienda dovrà fare chiarezza sul tipo di dati che intende cedere a OpenAI e sull’utilizzo per l’addestramento degli algoritmi.
Un altro passo fondamentale sarà quello di assicurarsi che gli utenti possano esercitare i propri diritti, inclusi quelli di opposizione e di accesso ai dati, in modo semplice e trasparente. Questo garantirà che l’uso dei dati personali rispetti il principio di “privacy by design”, un concetto che implica che la protezione dei dati debba essere integrata in ogni fase del trattamento.
Le implicazioni per l’industria dei media e l’intelligenza artificiale
L’avvertimento del Garante Privacy non riguarda solo il Gruppo Gedi, ma potrebbe avere implicazioni più ampie per l’industria dei media e per l’uso dei dati nell’ambito dell’intelligenza artificiale. Il trattamento dei dati personali per addestrare algoritmi di AI sta diventando un tema sempre più discusso, in quanto le aziende devono bilanciare la necessità di sviluppare tecnologie avanzate con la protezione dei diritti degli utenti.
Se le autorità di controllo in tutta Europa continueranno a monitorare da vicino questi sviluppi, l’industria dovrà adattarsi rapidamente per conformarsi alle normative. La privacy dei dati, infatti, non è solo un obbligo legale, ma anche una questione etica che incide sulla fiducia del pubblico. Le aziende che non rispettano i diritti degli utenti rischiano di perdere credibilità e, a lungo termine, la loro base di clienti.
In sintesi, l’avvertimento formale inviato dal Garante a Gedi solleva importanti interrogativi sul trattamento dei dati personali nell’era dell’intelligenza artificiale. Sebbene l’uso dei dati per addestrare algoritmi di AI rappresenti una grande opportunità, non bisogna mai perdere di vista la protezione della privacy degli utenti. Le aziende, come Gedi, dovranno adottare tutte le misure necessarie per garantire la conformità alle normative europee, trasparenza nei confronti degli utenti e rispetto dei diritti di privacy.
L’industria dei media e l’intelligenza artificiale devono lavorare insieme per sviluppare soluzioni che siano sia innovative che rispettose della privacy. Solo in questo modo sarà possibile garantire un futuro in cui la tecnologia possa essere utilizzata in modo sicuro e responsabile, senza compromettere la fiducia degli utenti.
Foto di copertina di CreativeCanvas da Pixabay
Potrebbe interessarti anche:
La razza umana si estinguerà a causa dell’Intelligenza Artificiale?
Papa Francesco al G7: “Intelligenza Artificiale, serve una sana politica”
Professionisti a rischio a causa dell’Intelligenza Artificiale?
