Con gli sviluppi tecnologici degli ultimi anni, i chatbot a intelligenza artificiale sono entrati nelle nostre vite come tanti nuovi strumenti e si sono evoluti per rispondere a tutte le nostre esigenze, diventando parte integrante della nostra vita. Come naturale conseguenza, questi sistemi basati sull’intelligenza artificiale, che raccolgono continuamente dati dai loro utenti, hanno sollevato diverse preoccupazioni e sono diventati oggetto di frequenti discussioni sia da parte delle autorità preposte alla protezione dei dati sia da parte dei professionisti che si occupano di sicurezza dei dati e di privacy.
Mentre la questione di come i chatbot dotati di intelligenza artificiale utilizzino e conservino i dati raccolti dagli utenti rimane all’ordine del giorno attraverso decisioni, pubblicazioni e comunicati stampa, l’Autorità Garante per la protezione dei dati personali ha pubblicato l’8.11.2024 una nota informativa intitolata “Nota informativa sui chatbot (esempio ChatGPT)”, che si concentra sulle intense attività di questi chatbot, che prevedono l’interazione tra l’uomo e la tecnologia, sulla raccolta e il trattamento dei dati personali. Il memorandum, che contiene varie spiegazioni sui chatbot supportati dall’intelligenza artificiale, fa anche luce su ciò che deve essere fatto per gli operatori e gli sviluppatori nel quadro della legge sulla protezione dei dati personali.
I chatbot possono essere definiti come applicazioni di intelligenza artificiale in grado di interagire con gli utenti per rispondere a domande e fornire informazioni. L’Agenzia lo definisce come “un software che simula una conversazione umana con l’utente finale, cercando di adempiere ai compiti/direzioni impartitigli dall’utente attraverso un’interfaccia”.
È noto che tutti i tipi di dati sono risorse indispensabili per i sistemi di intelligenza artificiale. Il motivo principale è che i sistemi supportati dall’intelligenza artificiale necessitano per natura di varie e grandi quantità di dati per poter lavorare con le migliori prestazioni. In questo contesto, i dati possono essere elaborati per molti scopi, come fornire una migliore esperienza agli utenti, analizzare, migliorare i servizi, sviluppare nuovi programmi, anche se la natura dei dati può variare. I dati elaborati comprendono, a titolo esemplificativo e non esaustivo, nome, informazioni di contatto, informazioni sulla carta di pagamento, indirizzo IP (Internet Protocol) inviato automaticamente dal browser o dal dispositivo, tipo e impostazioni del browser, informazioni sull’ubicazione, orari di accesso, tipo di computer o dispositivo mobile, cronologia delle ricerche, informazioni sui cookie e dati testuali, vocali e simili trasmessi dalle persone.
Per quanto riguarda le applicazioni di chatbot a intelligenza artificiale come ChatGPT, esistono approcci diversi alla protezione dei dati personali nei vari Paesi. Per quanto riguarda il nostro Paese, non è possibile mantenere i chatbot a intelligenza artificiale indipendenti dai principi e dalle norme della Legge sulla protezione dei dati personali, e le pratiche devono essere esaminate e valutate meticolosamente nel quadro della Legge. Infatti, se da un lato queste norme mirano a proteggere i diritti delle persone in materia di privacy e sicurezza dei dati, dall’altro impongono vari obblighi ai fornitori di chatbot in questo contesto. Tali applicazioni basate sull’intelligenza artificiale devono essere valutate soprattutto in termini di principi di base relativi alle procedure e ai principi del trattamento dei dati disciplinati dall’articolo 4 della Legge, intitolato “Principi generali”.
Nell’ambito della legge sulla protezione dei dati personali, è di grande importanza ottenere il consenso esplicito per la raccolta e l’elaborazione dei dati degli utenti. L’ottenimento del consenso esplicito da parte degli utenti che interagiscono con i chatbot e la spiegazione trasparente dei processi di elaborazione dei dati sono tra i principi fondamentali importanti in termini di conformità con la KVKK. Garantire la trasparenza nei processi di elaborazione dei dati è possibile fornendo all’utente informazioni sufficienti su questioni quali le modalità e le finalità di utilizzo dei dati elaborati, la loro condivisione, la durata di conservazione dei dati e i diritti delle persone. Questi testi informativi, che devono essere creati meticolosamente per garantire che le persone non perdano il controllo sui propri dati, devono essere redatti in un linguaggio chiaro e semplice e devono essere conformi alla guida e alla legislazione sull’adempimento dell’obbligo di divulgazione.
Oltre alla trasparenza nei confronti delle persone, un’altra dimensione dei requisiti imposti dai processi di trattamento dei dati è che i dati trattati devono essere conformi ai principi generali stabiliti dalla legge. In questo contesto, i dati personali trattati devono essere elaborati per finalità specifiche, esplicite e legittime e devono essere pertinenti, limitati e proporzionati allo scopo per cui sono trattati.
Nel caso di ChatGPT, l’informativa sulla privacy afferma che i dati personali raccolti dagli utenti sono trattati per finalità quali la fornitura di servizi, l’analisi, lo sviluppo di nuove funzionalità del prodotto, la comunicazione con gli utenti, la prevenzione dell’uso improprio dei servizi, l’adempimento degli obblighi di legge e la tutela dei legittimi interessi dell’azienda. Gli utenti hanno inoltre la possibilità di modificare le proprie preferenze nel caso in cui non desiderino che i dati vengano utilizzati per l’addestramento di modelli nell’ambito del miglioramento dei servizi. A questo punto, è possibile affermare che si fa riferimento a motivi legali in termini di trattamento dei dati e che agli utenti viene dato il controllo sui loro dati in termini di autorizzazione o meno all’uso dei dati della cronologia delle chat per lo sviluppo dell’applicazione. Dare agli utenti il diritto di scegliere se utilizzare o meno la cronologia delle chat per lo sviluppo dell’applicazione è un passo positivo in termini di protezione dei dati personali. In termini di distruzione dei dati, si afferma che se viene selezionata la modalità di chat temporanea, i dati saranno conservati per un massimo di 30 giorni per motivi di sicurezza, il che solleva la questione se questo impegno fornirà una protezione sufficiente per gli utenti in Turchia. La questione potrebbe dover essere esaminata anche alla luce del principio di “conservazione per il periodo necessario allo scopo” della legge.
Di conseguenza, è un dato di fatto che le applicazioni di chatbot basate sull’intelligenza artificiale presentino alcune incertezze in termini di protezione dei dati personali e che sia necessario mostrare una maggiore sensibilità in materia di protezione dei dati personali nello sviluppo e nell’utilizzo di tali applicazioni. Lo studio pubblicato dall’Autorità sotto forma di nota informativa ha rappresentato un importante punto di partenza in tal senso. Nella nota in questione, infatti, l’Autorità ha messo in guardia gli utenti dall’eccesso di condivisione dei propri dati personali e ha inserito importanti principi da considerare nello sviluppo di un chatbot, come “effettuare una valutazione del rischio prima di toccare i dati personali”, “agire nel rispetto del principio di accountability e dei principi stabiliti dalla Legge” e “rispettare l’obbligo di informazione”.
È di grande importanza che le applicazioni come i chatbot siano sviluppate nel rispetto dei principi sopra citati e che vengano prese le misure necessarie per proteggere i dati degli utenti; le autorità per la protezione dei dati dovrebbero condurre regolarmente audit e studi in questo settore per garantire che questo sistema possa essere realizzato nel rispetto della legislazione. Di fronte alla sempre maggiore complessità delle tecnologie di intelligenza artificiale, si ritiene che la preparazione di note informative più dettagliate e complete contribuirà alla protezione dei dati personali e della privacy delle persone e sarà illuminante in termini di sviluppo di applicazioni nel settore e soprattutto in conformità con i principi della protezione dei dati personali.
Avvocato Selin Ünverdi
