ChatGPT zabranjen u Italiji jer krši privatnost. I što ćemo sad?

Iako su neki mislili da se radi o preuranjenoj prvoaprilskoj šali, a drugi komentirali da je ChatGPT sigurno davao recepte u kojima se carbonara radi s vrhnjem, činjenica jest da je talijansko nadzorno tijelo za zaštitu podataka, Garante privacy, naredilo tvrtki OpenAI da privremeno prestane obrađivati osobne podatke talijanskih građana. U praksi to znači da je upotreba ChatGPT-ja trenutno blokirana u Italiji.

S Talijanima i njihovim zaštitničkim porivima kad su njihova nacionalna jela u pitanju lako se šaliti, ali s njihovim regulatorom za zaštitu privatnosti očito nije.

Kako ChatGPT krši GDPR?

Stručnjak za zaštitu podataka Duje Kozomara objašnjava što točno Talijani zamjeraju ChatGPT-ju:

• Nedostatak transparentnosti: korisnici servisa nisu dobili adekvatne informacije o obradi podataka, a posebno je zanimljivo isticanje nadzornog tijela kako ni osobe čiji su podaci korišteni za treniranje algoritma također nisu o tome obaviještene
• Nedostatak pravne osnove za obradu podataka prilikom treniranja algoritama: Garante je provjerio je li OpenAI imao privolu osoba na čijim podacima je trenirao algoritme, odnosno je li tvrtka mogla za tu obradu imati legitimni interes ili možda ugovornu osnovu. Očito je zaključila da niti jedna pravna osnova nije bila primjenjiva.
• Nepoštivanje načela točnosti: informacije koje pruža servis ne odgovaraju točnim osobnim podacima. Chat GPT će samouvjereno tvrditi da je živa osoba preminula i slično. GDPR inzistira da voditelj obrade poduzme svaki razuman korak kako bi osigurao da su netočni podaci izbrisani ili ispravljeni bez odgode.
• Izostanak provjere godina: Garante je zamijetio da ChatGPT u uvjetima korištenja tvrdi kako je servis namijenjen osobama starijima od 13 godina, međutim tijekom analize je otkriveno da ne postoji nikakav filter kojim bi pokušali spriječiti mlađe osobe da pristupe servisu. GDPR navodi da je privola roditelja potrebna za djecu koja koriste IT servise, u slučajevima kada je privola valjana pravna osnova.
• Generalno kršenje načela tehničke i integrirane zaštite podataka (data protection by design and default)

U odluci objavljenoj 31. ožujka se od tvrtke OpenAI traži da odmah prestane obrađivati podatke Talijana te da u roku od 20 dana obavijesti talijansko tijelo o tome koje mjere su poduzeli kako bi to učinili. U suprotnom im prijeti moguća kazna od do 20 milijuna eura ili 4 % godišnjeg globalnog prihoda.

Ovo je prva odluka nekog nadzornog tijela koja se odnosi konkretno na OpenAI i ChatGPT i javnost je možda iznenadila, ali ne i stručnjake koji se bave zaštitom osobnih podataka. Pravnica i stručnjakinja za zaštitu podataka Ana Bačić podsjeća da je isto to talijansko nadzorno tijelo prvo donijelo odluke vezane za korištenje Facebooka, a dodaje i da su 2018. zbog prodaje podataka korisnika Facebooku izrekli kaznu od 10 milijuna eura.

“Nismo protiv AI, ali ako se obrađuju osobni podaci primjenjuje se GDPR.”

Kozomara dodaje da očekuje slične odluke niza niza nadzornih tijela u EU:

Francuski CNIL je već dao naslutiti kako su u procesu nadzora servisa i uskoro možemo očekivati njihovu reakciju.

Iako nadolazeći EU AI Act ima potencijal za ozbiljnu zakonsku regulaciju sustava umjetne inteligencije, baziranu na riziku koji pojedini sustavi nose – odluka talijanskog nadzornog tijela zapravo je poziv na buđenje svima koji još nisu shvatili kako već imamo strogi zakonski okvir koji se primjenjuje i na AI, dok god su osobni podaci uključeni u proces njegovog razvoja ili pružanja usluge krajnjem korisniku.

Iako i Kozomara i Bačić napominju da nisu “protiv” novih tehnologija i da servisi poput ChatGPT-ja sigurno mogu biti korisni, ali da treba misliti da oni koji koriste te nove tehnologije ne budu ugroženi te da su rizici dobro procijenjeni.

Talijanski regulator u odluci, među ostalim, podsjeća i na nedavni incident kad su korisnicima plaćene verzije ChatGPT-ja postali dostupni podaci koji bi trebali biti privatni (povijest promptova, pitanja određenih korisnika, ali i podaci za plaćanje).

“Ako je nešto javno podijeljeno, ne znači da svatko smije koristiti te podatke.”

Kozomara komentira kako je očito da je OpenAI odustao od svojih open-source početaka tijekom kojih su izdavali pamflete o otvorenosti svojih modela i sklonosti “ispitivanju rizika s ciljem kreiranja boljeg čovječanstva” i prešao na zloglasni moto Silicijske doline – Move fast and break things. Bačić podsjeća na još jedan problem u tome što OpenAI koristi podatke talijanskih, odnosno europskih građana:

Veliki problem predstavlja i prijenos podataka u treće zemlje izvan EU. Novi Privacy Shield nije donesen tako da – osim što su podaci Iskorišteni za treniranje algoritma,  bojazan je i da su preneseni u treće zemlje koje ne jamče našim građanima istu razinu zaštite.

Često vidimo kako se javno objavljeni podaci koriste u svakakve svrhe drugačije od onih u koje su objavljeni. Zaboravlja se da nešto što je javno je stavljeno i podijeljeno s trećim stranama u točno određene svrhe za koje ta osoba koja ih je podijelila zna, ne znači da netko može samo “pokupiti” i iskoristiti te podatke jer su javno dostupni. To je u velikom broju slučajeva kršenje GDPR-a i to treba sankcionirati kao kršenje GDPR-a.

“Javnost mora znati na kojim podacima se treniraju algoritmi”

Dodaje kako sad ostaje za vidjeti hoće li ova odluka dovesti do ubrzanog donošenja nove regulative na razini EU ili to neće imati utjecaj. Kozomara pak napominje da zaključci Garante mogu poslužiti kao pouka  drugim tvrtkama koje razvijaju neku vrstu AI sustava:

Dva su dijela koja posebno treba istaknuti. Prvo, važnost transparentnosti: javnost mora biti upoznata koji su to podaci na kojima se treniraju algoritmi, a fizičke osobe čiji podaci se koriste u tom procesu moraju biti obaviještene o tome. Osim toga, još jednom se ističe načelo privacy by design, koje naglašava činjenicu da zaštita osobnih podataka treba biti integrirana u proizvod ili uslugu od najranije faze dizajna, prije nego uopće krene razvoj – ovakvi propusti se onda sigurno neće događati.