Mbikëqyrësi i mbrojtjes së të dhënave të Italisë ka paraqitur atë që OpenAI duhet të bëjë që ajo të heqë një urdhër kundër ChatGPT të lëshuar në fund të muajit të kaluar – kur tha se dyshonte se shërbimi i chatbot i AI ishte në shkelje të Rregullores së Përgjithshme të Mbrojtjes së të Dhënave të BE-së (GDPR). dhe urdhëroi kompaninë me bazë në SHBA të ndalojë përpunimin e të dhënave të vendasve.
GDPR e BE-së zbatohet sa herë që përpunohen të dhënat personale dhe nuk ka dyshim që modelet e mëdha gjuhësore si GPT-ja e OpenAI-t kanë grumbulluar sasi të mëdha të gjërave nga interneti publik në mënyrë që të trajnojnë modelet e tyre gjeneruese të AI që të jenë në gjendje të përgjigjen në mënyrë njerëzore. si mënyra për kërkesat e gjuhës natyrore.
OpenAI iu përgjigj urdhrit të autoritetit italian për mbrojtjen e të dhënave duke bllokuar me shpejtësi aksesin në ChatGPT. Në një deklaratë të shkurtër publike, CEO i OpenAI, Sam Altman, gjithashtu cicëroi konfirmimin se kishte pushuar së ofruari shërbimin në Itali – duke e bërë këtë së bashku me paralajmërimin e zakonshëm të pllakës së kazanit të Big Tech se “mendon se ne po ndjekim të gjitha ligjet e privatësisë”.
Garante e Italisë duket qartë se ka një pikëpamje tjetër.
Versioni i shkurtër i kërkesës së re për pajtueshmërinë e rregullatorit është ky: OpenAI do të duhet të bëhet transparent dhe të publikojë një njoftim informacioni që detajon përpunimin e të dhënave të tij; duhet të miratojë menjëherë kufirin e moshës për të parandaluar të miturit të aksesojnë teknologjinë dhe të kalojnë në masa më të forta verifikimi të moshës; ajo duhet të qartësojë bazën ligjore që pretendon për përpunimin e të dhënave të njerëzve për trajnimin e AI-së së saj (dhe nuk mund të mbështetet në zbatimin e një kontrate – që do të thotë se duhet të zgjedhë midis pëlqimit ose interesave legjitime); ai gjithashtu duhet të ofrojë mënyra për përdoruesit (dhe jopërdoruesit) për të ushtruar të drejtat mbi të dhënat e tyre personale, duke përfshirë kërkesën për korrigjime të dezinformatave të krijuara rreth tyre nga ChatGPT (ose përndryshe të fshihen të dhënat e tyre); duhet gjithashtu t’u ofrojë përdoruesve mundësinë për të kundërshtuar përpunimin e të dhënave të OpenAI-t për trajnimin e algoritmeve të tij; dhe duhet të zhvillojë një fushatë ndërgjegjësimi lokal për të informuar italianët se përpunon informacionin e tyre për të trajnuar AI-të e saj.
DPA i ka dhënë OpenAI një afat – deri më 30 prill – për të kryer pjesën më të madhe të kësaj. (Fushata lokale e ndërgjegjësimit të radios, TV dhe internetit ka një afat kohor pak më bujar të 15 majit për t’u vepruar.)
Ka gjithashtu pak më shumë kohë për kërkesën shtesë për të migruar nga teknologjia e sigurisë së fëmijëve që kërkohet menjëherë (por e dobët) në një sistem verifikimi të moshës më të vështirë për t’u anashkaluar. OpenAI-t i është dhënë kohë deri më 31 maj për të paraqitur një plan për zbatimin e teknologjisë së verifikimit të moshës për të filtruar përdoruesit nën moshën 13 vjeç (dhe përdoruesit e moshës 13 deri në 18 vjeç që nuk kishin marrë pëlqimin prindëror) – me afatin përfundimtar për të patur atë sistem më të fuqishëm të vendosur me 30 shtator.
Në një njoftim për shtyp që detajon se çfarë duhet të bëjë OpenAI në mënyrë që ajo të heqë pezullimin e përkohshëm në ChatGPT, urdhëruar dy javë më parë kur rregullatori njoftoi se po fillonte një hetim zyrtar të shkeljeve të dyshuara të GDPR, ai shkruan:
OpenAI do të duhet të pajtohet deri më 30 prill me masat e përcaktuara nga SA italiane [autoriteti mbikëqyrës] në lidhje me transparencën, të drejtën e subjekteve të të dhënave – duke përfshirë përdoruesit dhe jo-përdoruesit – dhe bazën ligjore të përpunimit për trajnimin algoritmik që mbështetet tek përdoruesit ‘ të dhëna. Vetëm në atë rast SA Italiane do të heqë porosinë e saj që vendosi një kufizim të përkohshëm në përpunimin e të dhënave të përdoruesve italianë, duke mos pasur më urgjencën në bazë të porosisë, në mënyrë që ChatGPT të jetë sërish i disponueshëm nga Italia.
Duke hyrë në më shumë detaje për secilën nga “masat konkrete” të kërkuara, PDSH-ja përcakton se njoftimi i mandatuar i informacionit duhet të përshkruajë “rregullimet dhe logjikën e përpunimit të të dhënave të kërkuara për funksionimin e ChatGPT së bashku me të drejtat që u jepen subjekteve të të dhënave (përdoruesit dhe jo-përdorues),” duke shtuar se “do të duhet të jetë lehtësisht i aksesueshëm dhe i vendosur në mënyrë të tillë që të lexohet përpara se të regjistroheni në shërbim”.
Përdoruesit nga Italia duhet të paraqiten me këtë njoftim përpara se të regjistrohen dhe gjithashtu të konfirmojnë se janë mbi 18 vjeç, kërkon më tej. Ndërsa përdoruesve që janë regjistruar përpara urdhrit të ndalimit të përpunimit të të dhënave të DPA-së do t’u shfaqet njoftimi kur të hyjnë në shërbimin e riaktivizuar dhe gjithashtu duhet të shtyhen përmes një porte moshe për të filtruar përdoruesit e mitur.
Në çështjen e bazës ligjore të bashkangjitur me përpunimin e OpenAI të të dhënave të njerëzve për algoritmet e saj të trajnimit, Garante ka ngushtuar opsionet e disponueshme në dy: pëlqim ose interesa legjitime – duke përcaktuar se duhet të heqë menjëherë të gjitha referencat për zbatimin e një kontrate “në përputhje me parimi i llogaridhënies [GDPR].” (Politika e privatësisë së OpenAI aktualisht citon të tre arsyet, por duket se mbështetet më së shumti në performancën e një kontrate për ofrimin e shërbimeve si ChatGPT.)
“Kjo do të jetë pa paragjykim ndaj ushtrimit të kompetencave të hetimit dhe zbatimit të SA në këtë aspekt,” shton ai, duke konfirmuar se po refuzon gjykimin nëse dy bazat e mbetura mund të përdoren në mënyrë të ligjshme edhe për qëllimet e OpenAI.
Për më tepër, GDPR u siguron subjekteve të të dhënave një grup të drejtash aksesi, duke përfshirë të drejtën për korrigjime ose fshirje të të dhënave të tyre personale. Kjo është arsyeja pse rregullatori italian ka kërkuar gjithashtu që OpenAI të zbatojë mjete në mënyrë që subjektet e të dhënave – që do të thotë përdoruesit dhe jo-përdoruesit – të mund të ushtrojnë të drejtat e tyre dhe të korrigjojnë gabimet që chatbot gjeneron rreth tyre. Ose, nëse korrigjimi i gënjeshtrave të krijuara nga AI rreth individëve të emërtuar rezulton se është “teknikisht i pamundur”, DPA përcakton se kompania duhet të sigurojë një mënyrë që të dhënat e tyre personale të fshihen.
“OpenAI do të duhet të vërë në dispozicion mjete lehtësisht të aksesueshme për të lejuar jo-përdoruesit të ushtrojnë të drejtën e tyre për të kundërshtuar përpunimin e të dhënave të tyre personale siç mbështetet për funksionimin e algoritmeve. E njëjta e drejtë do t’u jepet përdoruesve nëse interesi legjitim zgjidhet si bazë ligjore për përpunimin e të dhënave të tyre,” shton ai, duke iu referuar një tjetër të drejte që GDPR u ofron subjekteve të të dhënave kur interesi legjitim mbështetet si bazë ligjore për përpunimin. te dhena Personale.
Të gjitha masat që Garante ka shpallur janë të paparashikuara, bazuar në shqetësimet e tij paraprake. Dhe njoftimi i tij për shtyp vë në dukje se hetimet e tij formale – “për të vërtetuar shkelje të mundshme të legjislacionit” – vazhdojnë dhe mund të çojnë në vendimin e tij për të marrë “masa shtesë ose të ndryshme nëse kjo rezulton e nevojshme pas përfundimit të ushtrimit të gjetjes së fakteve në zhvillim. ”
