OpenAI si trasferisce in Irlanda Spostando il rischio regolamentare o un vaso d’oro del GDPR?
Nonostante la maggior parte dell'Europa si sia ancora dedicata ai cioccolatini natalizi il mese scorso, OpenAI, il creatore di ChatGPT, stava attivamente inviando un'email ai suoi utenti per avvisarli di un prossimo aggiornamento dei termini di utilizzo. Questo aggiornamento sembra mirare a ridurre il rischio regolamentare nell'Unione Europea.
OpenAI sta prendendo misure per ridurre il potenziale di problemi regolatori legati alla privacy dei dati nell’Unione Europea.
Mentre gran parte dell’Europa era ancora alle prese con le scatole di cioccolatini natalizi alla fine del mese scorso, OpenAI, la società che ha sviluppato ChatGPT, stava inviando una email con i dettagli di un aggiornamento imminente dei suoi termini, che sembra mirato a ridurre il rischio regolatorio nell’Unione Europea.
La tecnologia del gigante dell’intelligenza artificiale è stata oggetto di attenzione precoce nella regione per l’impatto di ChatGPT sulla privacy delle persone, con diverse indagini in corso sulle preoccupazioni legate alla protezione dei dati e alla gestione delle informazioni personali degli individui, anche da parte delle autorità di vigilanza in Italia e Polonia. (L’intervento dell’Italia ha persino determinato una sospensione temporanea di ChatGPT nel paese fino a quando OpenAI non ha revisionato le informazioni e i controlli forniti agli utenti.)
“Abbiamo cambiato l’entità di OpenAI che fornisce servizi come ChatGPT agli utenti che risiedono nell’Area Economica Europea (EEA) e in Svizzera, trasferendoli alla nostra entità irlandese, OpenAI Ireland Limited”, ha scritto OpenAI in una email inviata il 28 dicembre.
Un aggiornamento parallelo alla Privacy Policy di OpenAI per l’Europa specifica quanto segue:
- La Rivoluzione dell’IA 5 Preoccupazioni sulla Sicurezza Infor...
- 🛡️ Biden firma legge sulla difesa e proroga programma controverso d...
- La crescita degli sviluppatori cittadini Da zero a uno
Se vivi nell’Area Economica Europea (EEA) o in Svizzera, OpenAI Ireland Limited, con sede legale al 1° piano, The Liffey Trust Centre, 117-126 Sheriff Street Upper, Dublino 1, D01 YC43, Irlanda, è il responsabile del trattamento dei tuoi dati personali come descritto in questa Privacy Policy.
I nuovi termini d’uso, che elencano la controllata recentemente istituita a Dublino come responsabile del trattamento dei dati per gli utenti dell’Area Economica Europea (EEA) e della Svizzera, dove è in vigore il Regolamento Generale sulla Protezione dei Dati (GDPR) dell’UE, inizieranno ad applicarsi il 15 febbraio 2024.
Gli utenti vengono informati che, se non accettano i nuovi termini di OpenAI, possono eliminare il loro account.
Il meccanismo “One-Stop-Shop” del GDPR e le aspirazioni di OpenAI a Dublino
Il meccanismo “One-Stop-Shop” (OSS) del GDPR permette alle aziende che trattano dati di cittadini europei di semplificare la sorveglianza sulla privacy sotto l’autorità di un’unica autorità di controllo dei dati situata in uno Stato membro dell’UE, dove l’azienda è “principalmente stabilita”, come lo definisce la terminologia regolamentare.
Ottenere questo status riduce effettivamente la possibilità per le autorità di controllo della privacy situate altrove nell’UE di intervenire unilateralmente in caso di preoccupazioni. Invece, di solito farebbero riferimento alle autorità di controllo principali dell’azienda per valutarle.
Le altre autorità di controllo del GDPR mantengono comunque il potere di intervenire localmente in caso di rischi urgenti, ma tali interventi sono tipicamente temporanei e straordinari per natura, con la maggior parte della sorveglianza del GDPR che passa attraverso un’autorità di controllo principale. Ecco perché questo status è così allettante per le grandi aziende tecnologiche, che possono semplificare la sorveglianza sulla privacy del loro trattamento transfrontaliero di dati personali.
Alla domanda se OpenAI stia collaborando con l’autorità di vigilanza sulla privacy dell’Irlanda per ottenere lo status di principale stabilità per la sua filiale di Dublino, nel contesto del meccanismo OSS del GDPR, una portavoce della Irish Data Protection Commission (DPC) ha dichiarato a ENBLE: “Posso confermare che OpenAI sta collaborando con la DPC e altre autorità di protezione dei dati dell’UE su questa questione”.
È stato anche contattato OpenAI per un commento.
Costruire una presenza a Dublino
Il gigante dell’intelligenza artificiale ha aperto un ufficio a Dublino a settembre – assumendo inizialmente alcuni specialisti nelle politiche, nel diritto e nella privacy, oltre a qualche ruolo nell’area amministrativa.
Alla data di scrittura di questo articolo, ci sono solo cinque posizioni aperte a Dublino su un totale di 100 elencate nella pagina delle offerte di lavoro, quindi l’assunzione locale sembra ancora limitata. Al momento, un ruolo di responsabile delle politiche e delle partnership per gli Stati membri dell’UE, con sede a Bruxelles, sta reclutando richiedenti che siano disponibili a lavorare nell’ufficio di Dublino tre giorni a settimana. La maggior parte delle posizioni aperte del gigante dell’intelligenza artificiale sono comunque elencate come basate a San Francisco negli Stati Uniti.
Uno dei cinque ruoli con sede a Dublino pubblicizzati da OpenAI è quello di ingegnere software per la privacy. Gli altri quattro sono: direttore account, piattaforma; specialista internazionale in pagamento delle retribuzioni; responsabile delle relazioni con i media in Europa; e ingegnere commerciale.
Chi e quante assunzioni sta facendo OpenAI a Dublino sarà rilevante per ottenere lo status di principale stabile ai sensi del GDPR, poiché non si tratta semplicemente di presentare un po’ di documentazione legale e spuntare una casella per ottenere lo status. L’azienda dovrà convincere i regolatori sulla privacy del blocco che l’entità con sede nello Stato membro a cui è stato affidato il compito legale dei dati degli europei è effettivamente in grado di influenzare la presa di decisioni al riguardo.
Questo significa avere l’esperienza e le strutture legali corrette per esercitare influenza e mettere in atto controlli significativi sulla privacy di una società madre statunitense.
In altre parole, aprire un ufficio front-end a Dublino che semplicemente approva le decisioni dei prodotti prese a San Francisco non dovrebbe bastare.
Detto questo, OpenAI potrebbe guardare con interesse all’esempio di X, l’azienda precedentemente nota come Twitter, che ha scosso ogni tipo di barca dopo un cambio di proprietà nell’autunno del 2022. Ma non è riuscita ad uscire dal OSS da quando Elon Musk ha preso il controllo, nonostante il proprietario miliardario eccentrico abbia tagliato drasticamente il numero di dipendenti regionali di X, eliminando le competenze rilevanti e prendendo decisioni sui prodotti apparentemente molto unilaterali. (Quindi, beh, capite voi.)
Aggiungere Dublino alla Lista
Se OpenAI ottenesse lo status di principale stabile GDPR in Irlanda, ottenendo la supervisione principale da parte del DPC irlandese, si unirebbe a nomi come Apple, Google, Meta, TikTok e X, solo per citare alcune delle multinazionali che hanno scelto di trasferire la loro sede UE a Dublino.
Il DPC, nel frattempo, continua a subire critiche sostanziali per il ritmo e la cadenza della sua supervisione GDPR delle grandi aziende tecnologiche locali. E sebbene gli ultimi anni abbiano visto diverse penalità che hanno fatto notizia per i Big Tech finalmente emanate in Irlanda, i critici fanno notare che il regolatore spesso propone penalità notevolmente inferiori rispetto ai suoi omologhi. Altre critiche includono la lentezza glaciale e/o il percorso insolito delle indagini del DPC. O casi in cui sceglie di non indagare su un reclamo, o opta per ridefinirlo in modo da evitare la preoccupazione principale (a questo proposito, vedere ad esempio questo reclamo di Google adtech).
Le Implicazioni Future
Ogni indagine GDPR in corso su ChatGPT, come quelle dei regolatori in Italia e in Polonia, potrebbe comunque essere di conseguenza per quanto riguarda la regolamentazione regionale del chatbot AI generativo di OpenAI, poiché le indagini probabilmente proseguiranno dato che riguardano il trattamento dei dati precedente a qualsiasi futuro status di principale stabile che il gigante AI potrebbe ottenere. Tuttavia, è meno chiaro quanto impatto potrebbero avere.
Come promemoria, il regolatore della privacy italiano ha esaminato una lunga lista di preoccupazioni su ChatGPT, tra cui la base legale su cui OpenAI si basa per trattare i dati delle persone per addestrare le sue IA. Mentre l’autorità di vigilanza polacca ha aperto un’indagine in seguito a un dettagliato reclamo su ChatGPT, inclusa la modalità in cui il bot IA inventa (cioè fabbrica) dati personali.
In particolare, l’aggiornata politica sulla privacy europea di OpenAI include anche maggiori dettagli sulle basi legali che rivendica per trattare i dati delle persone, con una nuova formulazione secondo cui rivendica di fare affidamento su una base legale di interessi legittimi per il trattamento dei dati delle persone per l’addestramento del modello AI come “necessario per i nostri interessi legittimi e quelli di terze parti e della società nel suo complesso” [nostro enfasi].
Mentre l’attuale politica sulla privacy di OpenAI contiene una linea molto più secca riguardo a questo elemento della sua base legale rivendicata: “I nostri interessi legittimi nella protezione dei nostri Servizi da abusi, frodi o rischi per la sicurezza, o nello sviluppo, miglioramento o promozione dei nostri Servizi, incluso quando addestriamo i nostri modelli.”
Ciò suggerisce che OpenAI potrebbe avere l’intenzione di difendere la sua vasta raccolta, senza consenso, dei dati personali degli utenti Internet per il profitto dell’AI generativa, rivolgendosi agli europei preoccupati dalla privacy facendo un qualche tipo di argomento di interesse pubblico per l’attività, oltre ai propri interessi (commerciali). Tuttavia, il GDPR ha un insieme strettamente limitato di sei valide basi legali per il trattamento dei dati personali; i controllori dei dati non possono semplicemente scegliere liberamente dai punti di tale elenco per inventare la propria giustificazione su misura.
È anche importante notare che le autorità di controllo del GDPR hanno già cercato di trovare un terreno comune su come affrontare l’incrocio complicato tra la legge sulla protezione dei dati e le IA alimentate dai big data tramite un gruppo di lavoro istituito all’interno del Consiglio europeo per la protezione dei dati l’anno scorso. Resta da vedere se emergerà un consenso dal processo. E dato che OpenAI ha deciso di stabilire una società legale a Dublino come responsabile dei dati degli utenti europei, a lungo andare sarà probabilmente l’Irlanda a decidere il corso da seguire per quanto riguarda l’IA generativa e i diritti alla privacy.
Se la DPC diventerà l’autorità di supervisione principale di OpenAI, avrà la capacità, ad esempio, di rallentare l’applicazione del GDPR sulla tecnologia in rapido sviluppo.
Già lo scorso aprile, dopo l’intervento italiano su ChatGPT, l’attuale commissario della DPC, Helen Dixon, ha avvertito che i custodi della privacy non dovrebbero affrettarsi a vietare la tecnologia per questioni legate ai dati, sottolineando che i regolatori dovrebbero prendersi il tempo necessario per capire come applicare la legge sulla protezione dei dati dell’Unione Europea nelle IA.
Nota: Gli utenti nel Regno Unito sono esclusi dal passaggio del fondamento legale di OpenAI all’Irlanda, in quanto l’azienda specifica che rientrano nell’ambito della sua società statunitense con sede in Delaware. (Dopo la Brexit, il GDPR dell’UE non si applica più nel Regno Unito, anche se conserva il proprio regolamento GDPR del Regno Unito, una normativa sulla protezione dei dati ancora storicamente basata sul quadro europeo, ma che cambierà poiché il Regno Unito abbandona lo standard aureo della protezione dei dati dell’UE tramite la legge di “riforma dei dati” che diluisce i diritti).
Riferimenti: – OpenAI aprirà la sua prima sede dell’UE mentre si prepara agli ostacoli normativi – OpenAI, produttrice di ChatGPT, accusata di una serie di violazioni della protezione dei dati in una denuncia GDPR presentata da un ricercatore sulla privacy
