- Data breach, Garante Privacy sanziona Postel per 900mila euro Una vulnerabilità, nota da tempo, ha reso inadeguate le misure di sicurezza e agevolato l’attacco
- Garante: stop al software che accede all’email del dipendente Sanzione di 80mila euro a un’azienda che effettuava i backup durante il rapporto di lavoro
- Calendario Corsi Videoconferenza Novembre – Dicembre 2024
- Le prime indicazioni dell’Ispettorato sulla patente a crediti
- D.lgs. resilienza dei soggetti critici, ok del Garante ma più tutele per la privacy
- Dal Garante Privacy sanzione di 5mln di euro a un fornitore di luce e gas Agenti porta a porta attivavano contratti non richiesti a clienti ignari
- Calendario Corsi Videoconferenza Settembre – Ottobre 2024
- L’obbligo di impedire l’instaurarsi di prassi di lavoro non sicure
- L’obbligo di Vigilanza del Datore di Lavoro sul comportamento del Preposto
- Telemarketing, dal Garante sanzione di oltre 6 milioni di euro a Eni Plenitude Dei 747 contratti stipulati in una “settimana campione”, 657 sono arrivati da un contatto illecito
- Il tempo di cui l’RSPP deve disporre per poter svolgere i suoi compiti
- GDPR e intelligenza artificiale, il Report della task force europea su ChatGPT
- Concorsi della P.A.: online solo le graduatorie definitive dei vincitori Il Garante sanziona l’INPS per illecita diffusione di dati personali
- Calendario Corsi Videoconferenza Giugno – Luglio 2024
- Telemarketing: dal Garante Privacy sanzioni di 100mila euro a due gestori di energia Telefonate senza consenso e attivazione di contratti non richiesti
- Lavoro: Garante Privacy, il dipendente ha il diritto di accedere ai propri dati Sanzione di 20mila euro ad una banca
- GDPR: L’ importante ruolo del “Referente privacy”
- Pa: trasparenza siti, il Garante Privacy chiede più tutele per i dati personali
- Dossier sanitario: il Garante Privacy sanziona una Asl
- Quando il preposto è ritenuto responsabile dell’infortunio accaduto a un lavoratore
GDPR e intelligenza artificiale, il Report della task force europea su ChatGPT
Quali sono i principi di protezione dei dati personali applicabili a ChatGPT?
È la domanda a cui risponde il Report sul lavoro della task force del Comitato europeo (EDPB), creata lo scorso anno per promuovere la cooperazione tra le Autorità di protezione dei dati personali che indagano a livello nazionale sul chatbot di OpenAI.
Nel valutarne la liceità, il Report suggerisce di distinguere le diverse fasi del trattamento: raccolta dati per addestramento, compresi web scraping o riutilizzo di set di dati; pre-elaborazione, compreso il filtraggio; addestramento; prompt e output di ChatGPT; addestramento di ChatGPT con prompt.
Particolare attenzione viene riservata al web scraping. Per la raccolta dei dati, OpenAI ha individuato come base giuridica il legittimo interesse del titolare. Una condizione che – ricorda l’EDPB – deve essere bilanciata con diritti e le libertà fondamentali degli interessati.
Benché le istruttorie siano ancora in corso, il Comitato europeo suggerisce alcune garanzie che potrebbero rendere lecito il legittimo interesse, come la definizione di criteri di raccolta e l’esclusione di determinate categorie di dati e fonti (es: profili pubblici sui social). Ulteriori misure adottabili potrebbero essere la cancellazione o l’anonimizzazione dei dati personali prima della fase di addestramento.
Per quanto riguarda le categorie particolari di dati, per le quali è necessario un consenso specifico e caratterizzato da un’azione positiva, le misure potrebbero prevedere un filtraggio, da applicare sia alla raccolta dei dati, selezionandone ad esempio i criteri, sia immediatamente dopo, eliminandoli.
Oltre alla liceità della raccolta dei dati per l’addestramento di ChatGPT, il Report sul lavoro della task force analizza il principio di correttezza, in base al quale spetta a OpenAI garantire la conformità al GDPR; il principio di trasparenza e quello di esattezza, secondo i quali il titolare del trattamento dovrebbe fornire informazioni adeguate sulla natura probabilistica dell’output chatbot e fare esplicito riferimento al fatto che il testo generato potrebbe essere parziale o inventato. Sempre in base al principio di trasparenza, OpenAI dovrebbe informare gli interessati che il contenuto prodotto dell’utente, vale a dire l’input fornito al sistema, viene usato per addestrare il chatbot.
Il Comitato europeo sottolinea infine come sia obbligatorio che gli interessati possano esercitare i loro diritti in modo efficace. Il Report è il risultato di valutazioni preliminari che non pregiudicano l’analisi che verrà effettuata da ciascuna Autorità nazionale nell’ambito delle istruttorie in corso, aperte prima del 15 febbraio 2024, quando OpenAI ha posto stabilimento in Europa. Da quella data le attività di trattamento transfrontaliero della società Usa rientrano nell’ambito di applicazione delloSportello unico (One-stop shop).
Fonte: garanteprivacy.it
