Pubblicati da Nicolò Shargool

Scraping e Intelligenza Artificiale Generativa: l’informativa del Garante Privacy

La raccolta automatizzata di dati online, comunemente nota come web scraping, è diventata una pratica diffusa in molti settori per l’analisi dei dati e lo sviluppo di applicazioni basate sull’intelligenza artificiale generativa (IAG). Tuttavia, questa pratica solleva importanti questioni legali, soprattutto in relazione alla protezione dei dati personali. Lo scorso 20 maggio  il Garante per la protezione dei dati personali italiano ha emesso delle linee guida specifiche che forniscono indicazioni sulle misure da adottare per mitigare i rischi legati al web scraping. Questo articolo esamina in dettaglio le nuove linee guida, esplorando le implicazioni legali e le migliori pratiche per conformarsi alla normativa.

Cos’è il Web Scraping?

Il web scraping è il processo di estrazione automatica di dati da siti web utilizzando software specifici, noti come scraper. Questi programmi possono navigare automaticamente tra le pagine web, raccogliere dati strutturati e non strutturati, e salvarli per ulteriori analisi. Il web scraping può essere eseguito attraverso vari metodi, tra cui:

  • Parsing HTML: Analisi del codice HTML delle pagine web per estrarre informazioni specifiche.
  • APIs: Utilizzo di interfacce di programmazione per accedere ai dati offerti dai siti web.
  • Bot: Programmi automatizzati che simulano la navigazione umana per raccogliere dati.

Rischi Associati al Web Scraping

Sebbene possa avere applicazioni legittime, come la raccolta di informazioni per analisi di mercato, è spesso associato a usi meno leciti, come il furto di dati personali per scopi commerciali o addirittura fraudolenti. L’uso indiscriminato del web scraping può infatti comportare vari rischi legali e di sicurezza come:

  • violazione della Privacy: La raccolta di dati personali senza consenso può violare le normative sulla privacy, come il GDPR.
  • abuso dei Termini di Servizio: Molti siti web vietano il web scraping nei loro termini di servizio, e la violazione di queste condizioni potrebbe comportare azioni legali.
  • Sicurezza dei Dati: La raccolta massiva di dati può esporre le informazioni a rischi di sicurezza, come l’accesso non autorizzato o l’uso malevolo dei dati.

La nota informativa del Garante Privacy

Il Garante per la protezione dei dati personali ha recentemente pubblicato un documento che fornisce indicazioni per gestire i rischi legati al web scraping. L’informativa si concentra su diversi aspetti che gravitano intorno alla protezione dei dati personali e la conformità alle normative esistenti. Di seguito sono riportate le principali raccomandazioni:

  • Creazione di Aree Riservate: una delle misure suggerite è la creazione di aree riservate sui siti web, accessibili solo previa registrazione. Questa pratica riduce la disponibilità di dati personali al pubblico generico e può costituire una barriera contro l’accesso indiscriminato da parte dei bot. In questo modo sarà inoltre possibile monitorare chi accede ai dati e in quale misura, migliorando la tracciabilità e la responsabilità in capo all’utente. D’altro canto, è fondamentale che la raccolta dei dati per la registrazione sia proporzionata e rispetti il principio di minimizzazione dei dati.
  • Clausole nei Termini di Servizio: l’inserimento di clausole specifiche nei Termini di Servizio che vietano esplicitamente l’uso di tecniche di web scraping è un altro strumento efficace. Queste clausole possono fungere da deterrente e fornire una base legale per agire contro chi viola tali condizioni.
  • Monitoraggio del Traffico di Rete: implementare sistemi di monitoraggio per individuare flussi di dati anomali può aiutare a prevenire attività sospette. L’adozione di misure come il rate limiting consente di limitare il numero di richieste provenienti da specifici indirizzi IP, contribuendo a ridurre il rischio di web scraping eccessivo o malevolo.
  • Interventi Tecnici sui Bot: il documento suggerisce anche l’uso di tecniche per limitare l’accesso ai bot, come l’implementazione di CAPTCHA o la modifica periodica del markup HTML delle pagine web. Questi interventi, sebbene non risolutivi, possono rendere più difficile l’attività di scraping.

Conclusioni

L’informativa del Garante per la protezione dei dati personali rappresenta un passo avanti significativo nella regolamentazione dell’uso del web scraping e della protezione dei dati personali. Per i gestori di siti web e piattaforme online, è cruciale adottare le misure raccomandate per garantire la conformità normativa e proteggere i dati personali degli utenti.

La conformità alle normative sulla protezione dei dati non è solo un obbligo legale, ma anche un elemento fondamentale per costruire e mantenere la fiducia degli utenti. Le aziende devono essere proattive nell’adozione delle migliori pratiche per la protezione dei dati e nel monitoraggio delle evoluzioni normative.

Contattaci

Se avete domande o necessitate di assistenza legale in merito a web scraping e protezione dei dati, il nostro studio è a vostra disposizione. Contattateci per una consulenza personalizzata e per scoprire come possiamo aiutarvi a navigare nel complesso panorama delle normative sulla privacy.

Strategie brevettuali “Lean”: fare di più con meno

Nei precedenti articoli abbiamo parlato di come nel frenetico mondo delle startup, la proprietà intellettuale (PI) rappresenti un fattore cruciale per il successo. I brevetti, in particolare, sono spesso considerati il Santo Graal per proteggere invenzioni innovative e conquistare un vantaggio competitivo.

Tuttavia, la realtà per le startup è spesso più complessa, poiché la registrazione e il mantenimento dei brevetti possono richiedere ingenti somme di denaro, creando un ostacolo significativo per le startup con risorse limitate. Inoltre, non tutti i brevetti si traducono in un reale valore strategico e solo una piccola percentuale ottiene un impatto significativo sul mercato. La procedura di brevettazione è spesso intricata e richiede competenze legali specifiche, non sempre facilmente reperibili all’interno di una startup. 

A questo si aggiunga che, le informazioni concrete sull’effettivo ritorno sull’investimento (ROI) dei brevetti sono spesso scarse, rendendo difficile valutare il loro reale valore. 

Diviene pertanto fondamentale per le startup distinguere tra brevetti “strategici” e quelli meno significativi. I brevetti ad alto valore strategico alimentano la strategia aziendale, consentendo di implementare le strategie chiave e posizionarsi sul mercato in modo distintivo. Inoltre, generano ritorni tangibili, traducendosi in aumenti di ricavi significativi o impedendo l’ingresso di competitor sul mercato. Offrono anche un vantaggio competitivo solido, distinguendo l’azienda dai concorrenti e proteggendo le innovazioni che la rendono unica.

Per superare le sfide e ottimizzare le risorse, le startup possono adottare un approccio “lean” alla brevettazione, basato su principi di efficienza e lungimiranza. 

Questo approccio prevede la protezione mirata delle invenzioni con il più alto potenziale strategico e commerciale, evitando di disperdere risorse su idee meno promettenti. Inoltre, un approccio graduale consente – ove la legge nazionale lo consenta – di iniziare con domande di brevetto provvisorie per ottenere una protezione iniziale a costi contenuti, posticipando la registrazione definitiva a un momento successivo. 

Una valutazione e revisione continua della strategia brevettuale alla luce del feedback del mercato, delle evoluzioni aziendali e delle ultime tendenze nel settore è un’altra componente chiave dell’approccio lean. Difatti, il panorama tecnologico è in continua evoluzione, con nuove invenzioni e brevetti che emergono frequentemente e, pertanto, una valutazione continua permette di rimanere aggiornati sulle ultime tendenze del settore e identificare nuove opportunità di brevettazione. Si pensi ad una Startup che opera nel campo delle biotecnologie: con l’avanzare della ricerca medica e lo sviluppo di nuove terapie, la stessa deve monitorare costantemente le ultime innovazioni per avere contezza di cosa si possa o non si possa brevettare al fine di proteggere il proprio vantaggio competitivo.

Infine, la collaborazione esterna con esperti di proprietà intellettuale qualificati permette di ottimizzare il processo di brevettazione, sfruttando la loro conoscenza e competenza specifica. 

Adottare un approccio “lean” alla brevettazione offre alle startup una serie di vantaggi concreti, tra cui la riduzione dei costi, l’aumento dell’agilità e la massimizzazione del valore. Focalizzandosi sui brevetti con il più alto potenziale di ritorno sull’investimento, le startup possono ottimizzare le loro risorse limitate. Un approccio flessibile permette di adattare la strategia brevettuale alle mutevoli esigenze del mercato e alle nuove opportunità che si presentano. Proteggendo le invenzioni più critiche per il successo aziendale, le startup possono accrescere il proprio valore e attrarre investitori interessati. Le startup innovative che desiderano sfruttare appieno il potenziale della proprietà intellettuale non devono lasciarsi scoraggiare dalle sfide. Adottando una strategia brevettuale “lean”, basata su una valutazione accurata del valore strategico, su un approccio mirato e flessibile e sull’utilizzo efficiente delle risorse, le startup possono navigare il mare della proprietà intellettuale con successo, conquistare un vantaggio competitivo duraturo e massimizzare il valore per i propri stakeholder.

Cosa cercano gli investitori negli asset IP di una Startup?

Nel mondo dinamico delle startup, i fondi di venture capital o VC (di cui abbiamo parlato in questo articolo) giocano un ruolo fondamentale nel sostenere l’innovazione e la crescita. Quando valutano una startup, uno dei fattori chiave che considerano sono il portafoglio di asset di proprietà intellettuale di cui la startup è titolare e la gestione strategica dello stesso.

 Ma cosa cercano realmente questi investitori quando esaminano la strategia di IP di una startup? Scaviamo più a fondo per comprendere le loro aspettative e ciò che li spinge a investire.

Protezione delle Innovazioni e Attrazione degli Investimenti:

Innanzitutto, partiamo dal presupposto che i fondi di venture capital comprendono il valore intrinseco della proprietà intellettuale per una startup. Questa comprende brevetti, marchi, diritti d’autore e segreti commerciali. Essi sanno che una solida strategia di IP non solo protegge le innovazioni e l’identità del marchio, ma può anche creare un vantaggio competitivo sostenibile nel mercato. Quando valutano una startup, i VC cercano segni che dimostrino una consapevolezza della importanza della protezione della proprietà intellettuale.

Uno degli obiettivi principali dei fondi dei VC è quello di finanziare le startup che mostrano un potenziale significativo di crescita e successo nel mercato. Una strategia di proprietà intellettuale solida è un indicatore cruciale di questo potenziale. Gli investitori sono più inclini a finanziare startup con un solido portafoglio di IP e con un Innovation Plan ben delineato perché sono consapevoli del fatto che le privative industriali, se frutto di decisioni oculate, portano quasi sempre ad un vantaggio competitivo per la startup target. Inoltre, una solida strategia di IP può attrarre investimenti grazie alle opportunità di monetizzazione offerte attraverso licenze o vendite dirette.

Sviluppo di una Strategia Organizzata di Proprietà Intellettuale:

I fondi di venture capital apprezzano le startup che hanno una chiara strategia di IP ben strutturata. Questo significa Identificazione degli asset innovativi elencando tutte le innovazioni sviluppate dall’azienda, compreso il know-how e i marchi e Stabilire le priorità di protezione poiché la tutela della Proprietà Intellettuale può risultare eccessivamente costosa e finire con il tarpare le ali, oltre che la cassa, delle startup, soprattutto se early stage. Una startup che dimostra di avere una strategia organizzata di IP dimostra anche una predisposizione a gestire e proteggere le proprie risorse chiave senza però sottrarre risorse ad altri impieghi.

Ricerca di Anteriorità, libertà attuazione e Mitigazione dei Rischi:

I fondi di venture capital sono consapevoli dei rischi legali che possono derivare da una strategia di IP mal gestita. Pertanto, cercano startup che abbiano verificato che gli asset IP che vantano siano effettivamente i propri per garantire di non violare i diritti di proprietà intellettuale di altri. Troppo spesso le startup si lanciano sul mercato utilizzando – inconsapevolmente – marchi già registrati, con conseguenze disastrose: necessità di rebranding, controversie legali e danni reputazionali.

Una startup che dimostra di aver mitigato i rischi legali attraverso una ricerca accurata sul proprio portafoglio IP è più attraente per gli investitori, poiché questo riduce il potenziale per costose controversie legali.

Monitoraggio e Protezione Continua della Proprietà Intellettuale:

Un altro aspetto fondamentale di cui i VC tengono conto è quello della strategia di protezione della startup per i propri “gioielli di famiglia”. Una startup virtuosa dovrebbe, nei limiti  delle proprie disponibilità, valorizzare il proprio portafoglio IP monitorando e proteggendo attivamente la propria proprietà intellettuale nel tempo. Questo include la sorveglianza regolare del mercato per individuare potenziali violazioni e l’adempimento delle azioni necessarie per far rispettare i propri diritti. Una startup che dimostra un impegno continuo per la protezione della sua proprietà intellettuale indica agli investitori un livello di responsabilità e cura che è fondamentale per il successo a lungo termine.

Formazione del Team e Consulenza Legale:

Infine, i fondi di venture capital apprezzano le startup che comprendono l’importanza della proprietà intellettuale e che hanno un team adeguatamente formato e informato su questo argomento. Inoltre, consultare un avvocato specializzato in proprietà intellettuale può aiutare le startup a navigare nel complesso paesaggio legale e a sviluppare strategie efficaci di IP.

In conclusione, per attirare il sostegno finanziario dei fondi di venture capital, una startup deve dimostrare di avere una strategia di proprietà intellettuale solida, organizzata e ben strutturata. Gli investitori cercano segni di consapevolezza del valore della proprietà intellettuale, protezione delle innovazioni, mitigazione dei rischi legali, monitoraggio continuo e formazione del team. Una startup che soddisfa queste aspettative sarà più attraente per gli investitori e avrà maggiori possibilità di ottenere il sostegno finanziario necessario per crescere e avere successo nel mercato.

GESTIRE LA PROPRIETÀ INTELLETTUALE NELLE STARTUP EARLY STAGE

Nell’ambiente dinamico e competitivo delle startup, la proprietà intellettuale riveste un ruolo fondamentale nel garantire l’innovazione e proteggere gli investimenti. Queste giovani imprese spesso si basano su idee innovative e tecnologie all’avanguardia per differenziarsi sul mercato e ottenere vantaggio competitivo. In questo contesto, i diritti di proprietà industriale assumono un’importanza cruciale, consentendo alle startup di proteggere i propri asset intellettuali e di esclusiva, come brevetti, marchi e design. Questa protezione non solo garantisce il valore delle loro creazioni, ma può anche essere determinante per attrarre investimenti e partnership strategiche. In tal modo, la corretta gestione della proprietà intellettuale diventa un elemento chiave nella strategia di crescita e successo delle startup.

Le principali forme di tutela della proprietà intellettuale e industriale:

La tutela della proprietà intellettuale è cruciale per le startup, poiché garantisce la protezione delle loro innovazioni e la valorizzazione dei loro asset immateriali. Le forme di tutela più comuni includono:

  • Brevetti: Questi conferiscono al detentore il diritto esclusivo di sfruttare un’invenzione per un periodo determinato, solitamente vent’anni. I brevetti possono essere assegnati a invenzioni di processo, prodotto o design.
  • Copyright: Questo protegge le opere letterarie, artistiche e creative come libri, musica, film, software e altre opere originali. Garantisce al creatore il diritto esclusivo di riprodurre, distribuire e sfruttare commercialmente l’opera.
  • Marchi: I marchi identificano e distinguono i prodotti o servizi di un’azienda da quelli della concorrenza. Possono assumere forme come parole, loghi, slogan o suoni distintivi e proteggono l’identità e la reputazione di un’azienda.
  • Disegni o modelli industriali: Questi proteggono l’aspetto estetico o ornamentale di un prodotto, come la forma, i colori, i contorni o la texture. Sono utilizzati per proteggere l’aspetto visivo dei prodotti, come l’abbigliamento, i mobili o i gioielli.
  • Segreti commerciali: Questi includono informazioni riservate, come formule, processi, strategie di marketing o clienti, che conferiscono un vantaggio competitivo all’azienda. La protezione dei segreti commerciali implica mantenerli riservati e adottare misure di sicurezza, anche tramite accordi di riservatezza, per prevenirne la divulgazione non autorizzata.

Queste forme di tutela consentono alle startup di proteggere e valorizzare le loro creazioni, garantendo il vantaggio competitivo e la sostenibilità nel mercato.

L’importanza dell’Innovation Plan e come realizzarlo:

L’Innovation Plan costituisce un elemento cruciale nel percorso delle startup poiché non solo consente di massimizzare il valore della proprietà intellettuale, ma anche di gestire efficacemente i rischi associati alla sua violazione. Questo piano strategico implica una serie di passaggi metodici e articolati:

  1. Identificazione degli asset innovativi: Il primo passo consiste nell’elencare tutte le innovazioni sviluppate dall’azienda, compreso il know-how e i marchi. Molto spesso, soprattutto nelle startup early stage, i founder fanno ricorso a prestazioni di terzi che, tuttavia, non vengono regolarizzate con contratti contenenti clausole di cessione della proprietà intellettuale sviluppata, lasciando la titolarità della stessa in capo a terzi e non alla startup. Il processo di identificazione degli asset può inoltre essere facilitato, non solo attraverso l’assistenza di consulenti esperti nella tutela degli asset IP, ma anche attraverso la realizzazione di corsi sulla Proprietà Intellettuale per i dipendenti e l’instaurazione di un efficace percorso di comunicazione tra le persone che realizzano innovazione e i decisori. Inoltre, potrebbe essere utile istituire un sistema premiante di incentivi per incoraggiare l’innovazione da affiancare al più classico sistema deterrente, caratterizzato dalla previsione di accordi di riservatezza (Non Disclosure Agreement o NDA) da far sottoscrivere a dipendenti, collaboratori e partner strategici.
  2. Stabilire le priorità di protezione: Poiché la tutela della Proprietà Intellettuale può risultare costosa, è essenziale selezionare attentamente gli asset da proteggere. Per ogni tecnologia o innovazione, occorre decidere se è meglio depositare una domanda di brevetto, mantenere l’invenzione segreta e tutelarla attraverso NDA oppure pubblicarla. Questa decisione dovrebbe basarsi su una valutazione dettagliata dei seguenti fattori:
  • Unicità: Valutare la probabilità di concessione di una domanda di brevetto attraverso un’analisi della prior art e dei requisiti di brevettabilità, come la novità, l’attività inventiva e l’applicazione industriale.
  • Capacità distintiva: Verificare se è possibile rilevare facilmente l’eventuale contraffazione, soprattutto nel caso del software, per determinare se la brevettazione è la soluzione migliore da adottare.
  • Possibili alternative sul mercato: Esaminare se il brevetto tutela il miglior metodo per realizzare un prodotto di successo, rendendo impossibile l’imitazione da parte dei concorrenti.
  • Valore del prodotto: Valutare quanto l’invenzione contribuisce allo sviluppo complessivo del prodotto e quanto sia strategica per il business dell’azienda.

Valutazione complessiva: La decisione finale su quali asset proteggere dovrebbe essere il risultato di una valutazione complessiva, che non si basa su un punteggio predefinito, ma su un’analisi ponderata dei fattori sopra elencati. L’obiettivo è creare un piano efficace che permetta alla startup di convertire gli asset intangibili in Proprietà Intellettuale, massimizzando il valore per l’impresa e minimizzando i rischi di contraffazione e contenziosi legali. 

Un’attività di questo tipo, se portata avanti con efficienza e senza sprechi di risorse, porta con se in dote il vantaggio positivo di attrarre investitori e partnership strategiche che possano fornire fondi e opportunità commerciali alla Startup. Di questo tema parleremo in uno dei prossimi articoli.

T&C may appl-AI  (v.2.0)
Breve guida ai termini di utilizzo delle AI generative per i content creators

Esattamente un anno fa, mentre il mondo veniva scombussolato dal lancio di ChatGPT-3, avevamo pubblicato sul nostro blog una breve panoramica delle clausole di licenza della proprietà intellettuale sui contenuti generati dagli strumenti di AI Generativa più utilizzati. Oggi, a distanza di 12 mesi dallo scorso articolo e alla luce delle numerose cause in materia di copyright che hanno iniziato a imperversare il mondo dell’IA generativa, abbiamo deciso di aggiornare tale panoramica.

In questo contesto, diventa sempre più evidente l’importanza di una comprensione approfondita dei Termini e Condizioni (T&C) applicabili alle IA generative. La nostra breve guida fornirà un’analisi aggiornata dei T&C che circondano l’utilizzo delle IA generative, con un focus particolare sulle implicazioni legali che emergono dalle recenti cause, come quella tra il New York Times e OpenAI. La fluidità e la rapidità con cui queste questioni si evolvono richiedono un costante aggiornamento delle conoscenze per evitare possibili complicazioni legali.

Continuando da dove ci eravamo fermati l’anno scorso, esploreremo le clausole di licenza, la paternità creativa, la responsabilità e le dinamiche di collaborazione tra l’intelligenza artificiale e gli autori umani. Questa guida vuole essere uno strumento per navigare nel complesso scenario giuridico dell’IA generativa, fornendo consigli pratici e punti di riflessione per coloro che si avventurano nel mondo della creazione di contenuti in collaborazione con le “macchine intelligenti”.

  • OPENAI – DALL-E; CHATGPT (31 Gennaio 2024)

Questi due modelli sviluppati dalla Startup OpenAI probabilmente non hanno bisogno di presentazioni. ChatGPT è un modello conversazionale in grado di intrattenere conversazioni complesse, fornire informazioni e scrivere testi utilizzando il linguaggio naturale; Dall-E è un strumento di intelligenza artificiale capace di generare immagini a partire da descrizioni testuali.

I contenuti creati tramite questi due popolari strumenti sono soggetti alla stessa licenza, rilasciata da OpenAI.

In questo caso, proprio come un anno fa, la licenza prevede che “l’Utente è proprietario di tutti gli Input e, subordinatamente al rispetto da parte dell’Utente delle presenti Condizioni, OpenAI cede all’Utente tutti i propri diritti, titoli e interessi relativi agli Output.”  Tuttavia troviamo ancora le stesse eccezioni all’esclusività di tale licenza, in quanto OpenAI si riserva, in maniera molto generica, il diritto di “utilizzare i Contenuti come necessario per fornire e mantenere i Servizi, rispettare la legge applicabile e applicare le nostre politiche. L’utente è responsabile dei Contenuti, anche per quanto riguarda la garanzia che non violino alcuna legge applicabile o i presenti Termini”.

Novità significativa rispetto all’anno scorso, conseguente anche alla vicenda che aveva visto il blocco di ChatGPT in Italia per opera di un provvedimento dell’Autorità Garante per la Protezione dei Dati Personali, è certamente l’introduzione della facoltà per l’utente di impedire a OpenAi, tramite un Optout, di allenare il proprio modello sui contenuti – siano essi input o output – immessi e generati dalla piattaforma.

  • MIDJOURNEY (22 Dicembre, 2023)

Altro, popolare, strumento di intelligenza artificiale capace di generare immagini a partire da descrizioni testuali.  

I vecchi termini e condizioni di Midjourney prevedevano che, in base alla licenza, l’utente fosse proprietario di tutte le risorse create con i servizi. Tuttavia, esisteva un’importante eccezione per gli utenti non a pagamento, i quali ricevevano una Licenza Internazionale Creative Commons Non Commerciale 4.0 Attribuzione sugli output finali. Ciò significava che i contenuti potevano essere utilizzati solo se venivano rispettati determinati requisiti, tra cui menzionare la paternità dell’opera, fornire un link alla licenza e indicare eventuali modifiche. Inoltre, l’utilizzo doveva essere non commerciale. 

I nuovi termini e condizioni di Midjourney stabiliscono che l’utente è proprietario delle risorse create con i servizi nella misura massima consentita dalla legge applicabile. Tuttavia, ci sono alcune eccezioni, come la soggezione della proprietà dell’utente agli obblighi contrattuali e ai diritti di terzi. Inoltre, nel caso in cui l’Utente sia un’azienda con un fatturato superiore a 1.000.000 USD all’anno, è necessario sottoscrivere un piano “Pro” o “Mega” per possedere le risorse create. Infine, se si “ingrandiscono” le immagini di altri, queste rimangono di proprietà dei creatori originali. 

Questi nuovi termini riflettono un approccio più specifico e dettagliato rispetto ai vecchi, con un’attenzione particolare alle condizioni di utilizzo per utenti aziendali e al rispetto dei diritti di terzi.

Inoltre, nei nuovi termini e condizioni di Midjourney, si specifica che utilizzando i Servizi, l’Utente concede a Midjourney, ai suoi successori e cessionari una licenza di copyright perpetua, mondiale, non esclusiva, sub-licenziabile, gratuita e irrevocabile. Questa licenza consente a Midjourney di riprodurre, preparare lavori derivati, visualizzare pubblicamente, eseguire pubblicamente, sub-licenziare e distribuire le richieste di testo e di immagini inserite dall’Utente nei Servizi, così come qualsiasi Attivo prodotto dall’Utente attraverso il Servizio. Importante sottolineare che questa licenza sopravvive alla risoluzione del presente Contratto da parte di qualsiasi soggetto, per qualsiasi motivo. Questo aggiornamento enfatizza il fatto che Midjourney acquisisce ampi diritti sulle risorse create dagli utenti attraverso i Servizi, anche dopo la cessazione del contratto.

  • STABLE DIFFUSIONS WEB (20 Agosto2022)

Stable Diffusion è un modello di apprendimento automatico profondo pubblicato nel 2022, utilizzato principalmente per generare immagini dettagliate a partire da descrizioni di testo.

In questo caso, l’art. 6 della Licenza si limita a dire che “il Licenziante, non rivendica alcun diritto sull’Output generato dall’utente utilizzando il Modello. L’utente è responsabile dell’output generato e dei suoi successivi utilizzi.” All’utente è dunque riconosciuta la disponibilità del contenuto generato. Vi sono tuttavia alcune eccezioni. Infatti, al periodo successivo, la licenza statuisce che “nessun uso dell’output può contravvenire alle disposizioni della Licenza (Allegato A)” rimandando ad un elenco di utilizzi illeciti dell’Output poiché potenzialmente dannosi nei confronti di terzi.

Concludendo giova sottolinerare come sia fondamentale per i creatori di contenuti comprendere appieno il panorama legale che circonda l’utilizzo delle IA generative, garantendo una collaborazione armoniosa e rispettosa dei diritti di tutte le parti coinvolte, evitando così di incappare in responsabilità civili per violazione del diritto d’autore di terzi.

Pseudonimizzazione e anonimizzazione: la linea sfocata tra dato personale e non

Nel contesto del Regolamento Generale sulla Protezione dei Dati (GDPR), l’articolo 4, comma 5, definisce la pseudonimizzazione come il trattamento dei dati personali in modo tale che essi non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive. È essenziale notare che queste informazioni aggiuntive devono essere conservate separatamente e soggette a misure tecniche e organizzative atte a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile.

Contrariamente a una percezione comune, la pseudonimizzazione non dovrebbe essere considerata unicamente un aspetto tecnologico ma piuttosto una strategia operativa e organizzativa. Difatti, il GDPR, al considerando 29, riconosce la possibilità di misure di pseudonimizzazione con la capacità di analisi generale all’interno dello stesso titolare del trattamento, a patto che siano adottate le misure tecniche e organizzative necessarie e che le informazioni aggiuntive per l’attribuzione dei dati personali a un interessato specifico siano conservate separatamente.

Fondamenta Concettuali e Giuridiche della Pseudonimizzazione e Anonimizzazione

L’approfondimento concettuale rivela che la pseudonimizzazione non è un concetto isolato, ma piuttosto parte integrante di un complesso orchestrale di misure volte, da un lato alla protezione dei dati del soggetto interessato e, dall’altro, a facilitare la circolazione degli stessi salvaguardando il rispetto degli obblighi di protezione dei dati da parte dei titolari del trattamento.

In questo contesto, discernere tra pseudonimizzazione e anonimizzazione ha una rilevanza cruciale. In breve, mentre la pseudonimizzazione consente la ricostruzione dell’informazione, l’anonimizzazione rende il dato irricostruibile.  Questo principio è chiaramente enunciato nel Considerando 26, che esclude l’applicazione dei principi di protezione dei dati alle informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’interessato.

Ma nella pratica come possiamo stabilire se un dato è pseudonimo o anonimo? Anche in questo caso ci viene in aiuto il considerando 26 del GDPR il quale stabilisce che per stabilire l’identificabilità di una persona è opportuno considerare tutti i mezzi, come l’individuazione, di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente. 

La Sentenza T-557-20 del Tribunale Europeo sulla Pseudonimizzazione e Anonimizzazione dei Dati

La recente sentenza emessa dal Tribunale Europeo il 26 aprile 2023, nel contesto del caso T-557-20, rappresenta una pietra miliare significativa nella comprensione giuridica delle pratiche di anonimizzazione e pseudonimizzazione. Allontanandosi dal precedente orientamento del Gruppo Articolo 29 (ora sostituito dall’European Data Protection Board), che postulava un approccio più restrittivo, il Tribunale ha adottato una prospettiva più sfumata e relativista.

La decisione del Tribunale ha sottolineato la necessità di considerare attentamente le circostanze specifiche nel valutare l’identificabilità dei dati. Nel caso in questione, riguardante la trasmissione di osservazioni di azionisti e creditori da parte del Comitato di risoluzione unico (CRU) a terzi, il Tribunale ha respinto l’idea che la possibilità di re-identificazione automaticamente qualifichi i dati come personali. In particolare, il Tribunale ha concluso che, nonostante il CRU avesse accesso a dati aggiuntivi per l’identificazione, le osservazioni e i codici alfanumerici trasmessi dovevano essere qualificati come dati anonimi applicando coerentemente un principio che è quello contenuto nei Considerando 26 del GDPR e Considerando 16 del Regolamento 1725/18 tale per cui  se i dati personali sono stati resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’interessato, non si applicano i principi di protezione dei dati.

Questo cambiamento di rotta rappresenta una deviazione significativa dalle precedenti interpretazioni restrittive, enfatizzando la necessità di valutare attentamente la reale identificabilità dei dati in contesti specifici. La sentenza del Tribunale Europeo ha notevolmente influenzato il panorama legale in merito alle tecniche di anonimizzazione e pseudonimizzazione, sollevando questioni cruciali sull’applicazione pratica di tali concetti nel contesto normativo attuale.

Conclusioni e Ruolo Chiave delle Tecniche di Pseudonimizzazione e Anonimizzazione

In conclusione, la corretta implementazione di tecniche di pseudonimizzazione e anonimizzazione è imperativa per garantire la privacy dell’utente, soprattutto nei settori sensibili come quello sanitario e finanziario. Le tecnologie utilizzate devono rispettare i principi giuridici, e la scelta tra pseudonimizzazione e anonimizzazione dovrebbe essere guidata dalle esigenze specifiche e dalla reversibilità richiesta. La comprensione approfondita di questi concetti e la loro implementazione accurata sono fondamentali per affrontare le sfide legali e normative connesse alla protezione dei dati personali.

In questo contesto la sentenza del Tribunale Europeo non solo fornisce un chiarimento cruciale sulla distinzione tra dati anonimi e pseudonimi, ma solleva anche importanti riflessioni sul futuro delle pratiche di protezione dei dati. La decisione sottolinea l’importanza di adottare un approccio contestuale e circostanziato nella valutazione dell’anonimizzazione e pseudonimizzazione dei dati. Definendo che, per stabilire se le informazioni costituiscano dati personali, sia necessario porsi dal punto di vista del soggetto destinatario, valutando se la possibilità di combinare le informazioni trasmesse con eventuali informazioni aggiuntive in possesso del terzo costituisca un mezzo ragionevolmente attuabile per identificare gli interessati.

Questo nuovo orientamento dei giudici lussemburghesi potrebbe influenzare il modo in cui le organizzazioni implementeranno le misure di protezione dei dati. L’analisi accurata delle circostanze specifiche diventa, dunque, cruciale per determinare se i dati possano essere effettivamente considerati anonimi, anche quando sono associati a codici alfanumerici o altri identificatori.

Il Risarcimento dei Danni per Trattamento Illecito di Dati Personali

La sentenza della Corte di Cassazione, Cass. civ., Sez. I, Ord. 12-05-2023, n. 13073, affronta un caso in cui un Comune è stato condannato a risarcire i danni causati a un’impiegata a seguito di un trattamento illecito dei suoi dati personali. Questa sentenza solleva importanti questioni in merito al risarcimento dei danni derivanti da violazioni delle normative sulla protezione dei dati personali, in particolare il Regolamento (UE) 2016/679, noto come GDPR.

I Fatti del Caso

Nel caso in questione, il Comune aveva accidentalmente pubblicato sul proprio sito istituzionale una determina relativa al pignoramento per un certo importo dello stipendio di una dipendente comunale, violando così le norme di protezione dei dati personali previste dal GDPR. Scoperto l’errore il Comune aveva ammesso che la divulgazione dei dati era avvenuta accidentalmente, attivandosi tempestivamente per rimuovere i suddetti dati in poco più di 24 ore.

Ciononostante, il Tribunale di prima istanza aveva rilevato la responsabilità del Comune, imponendo allo stesso il risarcimento del danno. La Corte d’Appello confermava tale sentenza la quale, a sua volta, veniva impugnata dal Comune di fronte agli Ermellini.

La sentenza della Suprema corte, rigettando le istanza del Comune, sottolinea che il danno non patrimoniale risarcibile in casi di violazione dei dati personali è determinato dalla lesione del diritto fondamentale alla protezione dei dati personali, sancito sia a livello costituzionale che dal GDPR. Ricordando che il GDPR, all’articolo 82, stabilisce che chiunque subisca un danno materiale o immateriale causato da una violazione delle disposizioni del regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento dei dati o dal responsabile del trattamento.

Il Cambiamento Normativo

Prima dell’entrata in vigore del Regolamento (UE) 2016/679, nel nostro ordinamento, il tema della responsabilità civile derivante dall’illecito trattamento dei dati personali trovava la propria disciplina nell’art. 15 del d.lgs. 30 giugno 2003 n. 196 (Codice in materia di protezione dei dati personali). Questo stabiliva che chiunque causasse danno ad altri a causa del trattamento di dati personali doveva risarcire il danno ai sensi dell’art. 2050 del codice civile. Il danno non patrimoniale era risarcibile anche in caso di violazione dell’articolo 11.

Con l’entrata in vigore del GDPR, la normativa è cambiata, introducendo regole più uniformi per la responsabilità in caso di trattamento illecito dei dati personali. La nuova normativa stabilisce che chiunque subisca un danno materiale o immateriale causato da una violazione del regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento. Tuttavia, questi soggetti possono essere esentati dalla responsabilità se dimostrano che l’evento dannoso non è loro “in alcun modo imputabile.”

La Responsabilità del Titolare vs. il Responsabile

La responsabilità del titolare e quella del responsabile discendono da fatti diversi. Il titolare è colui che determina le finalità e i mezzi del trattamento ed è responsabile per il danno cagionato dal suo trattamento che violi il regolamento. Inoltre, secondo la massima degli ermellini “il titolare del trattamento dei  dati personali è sempre tenuto a risarcire il danno cagionato a una persona da un trattamento non  conforme al regolamento stesso, e può essere esonerato dalla responsabilità non semplicemente se si è  attivato (come suo dovere) per rimuovere il dato illecitamente esposto, ma solo “se dimostra che l’evento  dannoso non gli è in alcun modo imputabile”.

Il responsabile, invece, tratta dati personali per conto del titolare del trattamento e risponde solo se non ha adempiuto gli obblighi del regolamento specificamente diretti ai responsabili del trattamento o ha agito in modo difforme rispetto alle istruzioni del titolare.

La Serietà del Danno

Per quanto riguarda il risarcimento del danno non patrimoniale, derivante da una lesione del diritto fondamentale alla protezione dei dati personali, devono ricorrere i presupposti della gravità della lesione e della serietà del danno. La violazione delle prescrizioni in materia di protezione dei dati personali può ritenersi ingiustificabile, e dunque risarcibile, solo se la stessa ha offeso in maniera sensibile la portata del diritto stesso. Pertanto può non determinare il danno la mera violazione delle  prescrizioni formali in tema di trattamento del dato, mentre induce sempre al risarcimento quella violazione  che concretamente offenda la portata effettiva del diritto alla riservatezza

L’onere della prova per dimostrare il danno non patrimoniale è a carico del danneggiato, mentre il titolare del trattamento deve dimostrare di aver adottato misure adeguate per evitare il danno.

Il Principio di Accountability

L’entrata in vigore del GDPR ha introdotto il principio di accountability, che impone al titolare del trattamento di assumersi la responsabilità di individuare un equilibrio tra interessi contrapposti, con piena autonomia di giudizio. L’accountability richiede al titolare di modulare la concreta attuazione dei principi sanciti dalla normativa, in astratto, e di documentare come ha dato attuazione alle previsioni normative.

In conclusione, il Regolamento (UE) 2016/679 ha ridefinito il quadro normativo in materia di trattamento dei dati personali, introducendo regole più uniformi sulla responsabilità e sull’accountability. Queste normative pongono un’enfasi significativa sulla protezione dei dati personali e sul risarcimento dei danni in caso di violazioni. La sentenza della Corte di Cassazione rafforza l’importanza di tali norme e la necessità per le organizzazioni di rispettarle per evitare controversie legali e risarcimenti dei danni. La protezione dei dati personali è una questione cruciale nella società digitale odierna e richiede l’attenzione e la conformità da parte di tutti gli attori coinvolti.

Il Garante Privacy sanziona il web scraping: il caso del portale Trovanumeri.com

Il Garante Privacy ha recentemente vietato il web scraping e ha sanzionato il portale Trovanumeri.com per aver rastrellato utenze online al fine di creare elenchi. Queste violazioni hanno coinvolto ben 26 milioni di utenti, suscitando grande preoccupazione per la tutela dei dati personali. Preoccupazioni culminate in un provvedimento emesso il 17 maggio scorso dal Garante il quale ha vietato al gestore del sito web la creazione e la diffusione di un elenco telefonico ottenuto tramite web scraping una tecnica che consiste nell’estrazione di dati da uno o più siti web mediante l’uso di programmi software appositi.

IL FATTO

Nel caso specifico, sono state presentate numerose segnalazioni al Garante Privacy riguardo alla pubblicazione non autorizzata di nomi, indirizzi e numeri di telefono, di soggetti senza l’ottenimento del consenso da parte di quest’ultimi. Inoltre, stando a quanto segnalato, in alcuni casi la pubblicazione avrebbe riguardato anche dati personali di soggetti che avevano particolari esigenze di riservatezza circa il numero telefonico e l’indirizzo di abitazione: alcuni segnalanti avevano infatti rappresentato di essere titolari di utenze riservate, cioè non pubblicate nell’elenco telefonico generale.

Infine, diversi soggetti lamentavano che nel sito e nella breve informativa privacy in esso pubblicata non era rinvenibile alcuna indicazione (neanche le informazioni obbligatorie per legge) in merito al soggetto intestatario del sito, rendendo pertanto impossibile l’identificazione del titolare del trattamento.

LE VIOLAZIONI RISCONTRATE

Diffusione di dati personali in assenza di idonea base giuridica e trattamento in violazione di legge

Il trattamento consistente nella realizzazione, di fatto, di un elenco telefonico è stato ritenuto dal Garante in contrasto con la normativa vigente, con la conseguente diffusione di dati personali su Internet in assenza di un’idonea base giuridica. È importante sottolineare che non è legittimo formare un elenco telefonico, sia online che cartaceo, con dati che non siano tratti da fonti autorizzate, come il database degli operatori telefonici. Solo tale fonte può garantire la correttezza e l’aggiornamento dei dati, nonché documentare la volontà degli interessati di renderli pubblici.

Dagli accertamenti condotti è emerso che il sito web trovanumeri.com rendeva disponibile anche la ricerca inversa, senza però consentire agli utenti di esprimere un consenso libero e specifico per tale funzionalità. Il flag del consenso era infatti pre-selezionato e non modificabile, violando così i requisiti previsti dalla normativa vigente.

È inoltre importante sottolineare che il proprietario del sito aveva dichiarato che i dati presenti nei suoi siti web erano stati raccolti tramite l’inserimento autonomo degli utenti o tramite web scraping, ovvero tramite un processo automatizzato di ricerca di dati personali nel web. Tale tecnica, tuttavia, era già stata considerata illecita dal Garante tramite in provvedimento che sanzionava l’illiceità dell’utilizzo di dati raccolti tramite web scraping per finalità incompatibili con quelle iniziali. Pertanto, i dati acquisiti e trattati senza il consenso degli interessati e senza una base giuridica valida rappresentano una violazione delle norme sulla privacy.

Mancato rispetto dei diritti degli interessati, inidoneità dell’informativa e assenza di misure di garanzia

Le segnalazioni ricevute hanno evidenziato non solo la diffusione non autorizzata dei dati, ma anche l’impossibilità per gli interessati di esercitare il diritto alla cancellazione e, potenzialmente, altri diritti legati alla protezione dei dati personali. Nel sito web non erano infatti presenti informazioni sul titolare né risultavano disponibili canali di contatto con lo stesso. 

Inosservanza del divieto di trattamento

Infine, nonostante il divieto disposto dal Garante Privacy, il portale Trovanumeri.com ha continuato a operare e rendere disponibili online numerosi dati personali. Questa inosservanza del divieto è stata ulteriormente contestata come una violazione delle disposizioni dell’autorità di regolamentazione.

CONCLUSIONI E MISURE CORRETTIVE ADOTTATE

Il trattamento dei dati personali da parte di Trovanumeri.com è stato ritenuto illecito e presenta numerosi profili di illegalità. Anche se alcune delle violazioni possono essere corrette, la violazione principale riguardante l’assenza di una base giuridica idonea è sufficiente a inficiare l’intero trattamento. Pertanto, le misure correttive adottate devono affrontare la questione di base e garantire che i dati personali vengano trattati nel rispetto della normativa sulla privacy.

In conclusione, il caso del portale Trovanumeri.com ha evidenziato l’importanza della tutela dei dati personali e le conseguenze negative del web scraping non autorizzato. Il Garante Privacy ha adottato misure sanzionatorie per garantire che i diritti degli utenti siano rispettati e che il trattamento dei dati avvenga nel rispetto della legge. Questo caso rappresenta un richiamo per le aziende e i siti web che trattano dati personali, sottolineando l’importanza della conformità normativa e del rispetto della privacy degli utenti.

Il Potenziale e le Sfide della Legge sul Diritto d’Autore nell’era dell’AI

Il ruolo del Text and Data Mining nell’economia dei dati

A partire dal 12 dicembre 2021, la Legge sul diritto d’autore (L. 22 aprile 1941 n. 633) ha integrato due specifiche disposizioni, di cui agli articoli 3 e 4 della Direttiva Direttiva Copyright 2019/790/UE, relative al Text and Data Mining (TDM) – un metodo automatizzato per analizzare i contenuti digitali. Questa pratica è diventato centrale in molteplici settori dell’economia dei dati, dalla ricerca farmaceutica all’applicazione dell’Intelligenza Artificiale (IA) e dei Big Data. Esaminiamo quindi di seguito, l’introduzione nella legge sul diritto d’autore dei nuovi articoli 70-ter e 70-quater, l. 633/1941 (di seguito anche “Legge Autore”),

Definizione e importanza del TDM per l’Unione Europea

Il TDM, definito dall’art. 70 ter della legge come “qualsiasi tecnica automatizzata volta ad analizzare grandi quantità di testi, suoni, immagini, dati o metadati in formato digitale con lo scopo di generare informazioni, inclusi modelli, tendenze e correlazioni”, è fondamentale per il progresso dell’economia dei dati e, di conseguenza, per la crescita del mercato unico digitale dell’Unione Europea.

Interferenze del TDM con il diritto d’autore

Tuttavia, l’estrazione automatizzata di dati – un’attività tipica del TDM – può interferire con il diritto d’autore e i diritti correlati. Infatti, il processo di TDM solitamente implica la riproduzione temporanea delle fonti utilizzate, che potrebbero includere opere protette o parti significative delle banche dati utilizzate. Questo potrebbe rappresentare una violazione del diritto esclusivo di riproduzione, secondo l’art. 13 della legge sul diritto d’autore, e potrebbe anche contraddire il diritto del creatore di un database di proibire l’estrazione o il riutilizzo dell’intero database o di una parte sostanziale di esso.

Riforma del diritto d’autore nell’Unione Europea

Nonostante queste sfide, l’Unione Europea ha deciso di riformare il settore, introducendo eccezioni e limitazioni al diritto d’autore obbligatorie per ogni Stato Membro. Queste sono state implementate nell’art. 70 ter e 70 quater della legge sul diritto d’autore. Queste disposizioni, recependo pedissequamente il contenuto degli art. 3 e 4 della nuova direttiva Copyright, permettono l’estrazione di dati da fonti e database a cui si ha legalmente accesso, senza alcuna necessità di autorizzazione da parte dei titolari dei diritti d’autore o dei diritti sui generis sui database.

Differenze tra l’art. 70 ter e 70 quater

Le due norme appena citate hanno tuttavia ambiti di applicazione differenti. Mentre l’art. 70 ter si applica esclusivamente all’estrazione per scopi scientifici da parte di organizzazioni di ricerca e istituti di tutela del patrimonio culturale, l’art. 70 quater consente l’estrazione di testo e dati in generale, da parte di chiunque, anche per scopi di lucro.

Protezione dei diritti sui database digitali

Questo scenario complica la protezione dei diritti esclusivi sui database digitali, con un impatto maggiore sul diritto sui generis del creatore del database rispetto al diritto d’autore. Tuttavia, ci sono misure che possono essere adottate per proteggere i database, tra cui limitare l’accesso e utilizzare l’opzione di opt-out prevista dall’art. 70 quater della legge sul diritto d’autore. Questa opzione permette ai titolari dei diritti di riservare l’uso delle opere e dei materiali riprodotti nell’ambito dell’attività di text and data mining, a meno che non sia espressamente indicato.

Utilizzo dell’opzione di opt-out

Nonostante l’incertezza su come esercitare correttamente l’opt-out, ci sono diversi strumenti che possono essere utilizzati. Ad esempio, un software può tecnicamente riconoscere un opt-out espresso nei termini d’uso di un sito, il che potrebbe essere considerato un modo appropriato per esprimere la riserva menzionata nell’art. 70 quater. Inoltre, l’uso di strumenti informatici come un file robots.txt potrebbe fornire una protezione più efficace per i titolari dei diritti.

L’equilibrio tra l’innovazione e la protezione dei diritti d’autore

In conclusione, mentre il Text and Data Mining rappresenta un’opportunità enorme per l’avanzamento della ricerca e lo sviluppo dell’economia dei dati, è importante che i diritti d’autore e i diritti correlati siano adeguatamente tutelati. Questo richiede un equilibrio attento tra la necessità di proteggere la proprietà intellettuale e l’importanza di mantenere la competitività del mercato europeo. Le disposizioni recentemente introdotte nella legge sul diritto d’autore rappresentano un passo importante in questa direzione, ma è fondamentale che le questioni rimanenti vengano risolte per garantire la protezione efficace dei diritti d’autore nell’era del Text and Data Mining.

Il blocco (e lo sblocco) di ChatGPT in Italia: cause, modifiche e soluzioni adottate.

ChatGPT è un modello di linguaggio sviluppato da OpenAI basato sull’architettura GPT-4. È progettato per comprendere e generare testo in modo simile agli esseri umani, rendendo possibile la creazione di conversazioni fluide e coerenti. Tuttavia, il 30 marzo 2023, l’utilizzo di ChatGPT è stato bloccato in Italia a causa di preoccupazioni riguardanti la privacy degli utenti e la protezione dei dati. In questo articolo, esploreremo le ragioni del blocco, le modifiche richieste dal Garante Privacy ad OpenAI e le soluzioni che sono state implementate per risolvere il problema e tutelare la privacy dei cittadini italiani.

Il blocco di ChatGPT in Italia

Il blocco di ChatGPT in Italia, auto-imposto dalla stessa OpenAI, era stato causato da un provvedimento del Garante che aveva imposto alla piattaforma di limitare temporaneamente il trattamento dei dati degli utenti italiani finché non fosse stata messa in regola con la normativa privacy italiana e europea. Il Garante, con un provvedimento d’urgenza, aveva ritenuto che l’uso di ChatGPT potesse violare le normative sulla privacy, come il Regolamento Generale sulla Protezione dei Dati (GDPR) dell’Unione Europea, che prevede una rigorosa tutela dei dati personali degli individui.

Il motivo del blocco

All’interno del provvedimento del 30 marzo, il Garante per la Protezione dei Dati Personali aveva identificato diversi motivi di preoccupazione riguardo l’uso di ChatGPT nel paese. Tra questi, i principali erano:

  • la mancanza di una informativa agli utenti e a tutti gli interessati i cui dati vengono raccolti da OpenAI, 
  • l’assenza di una base giuridica che giustificasse la raccolta e la conservazione massiccia di dati personali, allo scopo di “addestrare” gli algoritmi sottesi al funzionamento della piattaforma;
  • un trattamento di dati personali inesatto dovuto dalla ricorrente inesattezza delle informazioni informazioni fornite da ChatGPT 
  • l’assenza di qualsivoglia filtro per la verifica dell’età degli utenti che esponeva i minori a risposte assolutamente inidonee rispetto al loro grado di sviluppo e autoconsapevolezza.

Modifiche richieste ad OpenAI

Per affrontare queste preoccupazioni, il Garante ha richiesto a OpenAI di apportare una serie di modifiche e interventi alla piattaforma sulla quale opera ChatGPT al fine garantire una maggiore tutela della privacy degli utenti. Tra le principali modifiche il Garante ha richiesto di:

  1. Predisporre un’informativa sul sito per spiegare il trattamento dei dati e i diritti degli interessati, anche non utenti di ChatGPT.
  2. Fornire uno strumento per esercitare il diritto di opposizione al trattamento dei dati per l’addestramento degli algoritmi.
  3. Consentire la correzione o cancellazione dei dati personali inesatti attraverso uno strumento sul sito.
  4. Inserire un link all’informativa durante la registrazione, visibile prima di completare il processo.
  5. Modificare la base giuridica del trattamento dei dati per l’addestramento degli algoritmi da contratto a consenso o legittimo interesse.
  6. Fornire uno strumento per esercitare il diritto di opposizione al trattamento dei dati per l’addestramento degli algoritmi, se basato sul legittimo interesse.
  7. Implementare un age gate per gli utenti italiani, escludendo minorenni.
  8. Sottoporre al Garante un piano per l’adozione di strumenti di age verification entro il 31 maggio 2023, con implementazione entro il 30 settembre 2023.
  9. Promuovere una campagna informativa entro il 15 maggio 2023, concordata con il Garante, per informare sulla raccolta dei dati e gli strumenti disponibili per la cancellazione dei dati personali.

Modifiche implementate da OpenAI

Per rispondere alle richieste del Garante, OpenAI ha implementato una serie di modifiche a ChatGPT per garantire una maggiore tutela della privacy degli utenti italiani. Tra le principali modifiche adottate, vi sono:

  1. La predisposizione di un’informativa accessibile a utenti e non utenti sia europei che extra-europei riguardante il trattamento dei dati personali per l’addestramento degli algoritmi e il diritto di opporsi a tale trattamento.
  2. L’ampliamento dell’informativa sul trattamento dei dati riservata agli utenti, rendendola accessibile nella maschera di registrazione prima che un utente si registri al servizio.
  3. La facoltà di esercitare il diritto di opporsi al trattamento dei dati personali per l’addestramento degli algoritmi anche a non utenti residenti in Europa, fornendo un modulo compilabile online e facilmente accessibile.
  4. L’introduzione di una schermata di benvenuto alla riattivazione di ChatGPT in Italia, con i rimandi alla nuova informativa sulla privacy e alle modalità di trattamento dei dati personali per il training degli algoritmi.
  5. La previsione, per gli interessati di far cancellare le informazioni ritenute errate. A ciò va tuttavia aggiunto che OpenAI si è dichiarata tecnicamente impossibilitata a correggere gli errori.
  6. Esplicitazione, nell’informativa riservata agli utenti, la base giuridica del trattamento dei dati personali per l’addestramento degli algoritmi e il corretto funzionamento del servizio.
  7. L’implementazione di un modulo che consenta a tutti gli utenti europei di esercitare il diritto di opposizione al trattamento dei propri dati personali e poter così escludere le conversazioni e la relativa cronologia dal training dei propri algoritmi.
  8. L’inserimento nella schermata di benvenuto riservata agli utenti italiani già registrati un pulsante attraverso il quale, per riaccedere al servizio, dovranno dichiarare di essere maggiorenni o ultratredicenni e, in questo caso, di avere il consenso dei genitori.
  9. L’inserimento nella maschera di registrazione al servizio della richiesta di data di nascita, prevedendo un blocco alla registrazione per gli utenti infratredicenni e la necessità di confermare il consenso dei genitori per gli utenti ultratredicenni ma minorenni.

Gli interventi suesposti sono stati accolti con favore dal Garante che ha spospeso il provvedimento di limitazione del trattamento dei dati personali nei confronti di OpenAI che, contestualmente, ha riaperto la piattaforma agli utenti italiani.