Recentemente, il gruppo editoriale Gedi, proprietario di testate come La Repubblica e La Stampa, è stato al centro di polemiche per l’accordo siglato con OpenAI, che prevede l’utilizzo dei suoi contenuti editoriali per migliorare i modelli di IA come ChatGPT. Il Garante per la privacy ha sollevato preoccupazioni riguardo alla possibile violazione del GDPR, in particolare sul trattamento di dati personali contenuti negli archivi digitali delle testate, sollecitando trasparenza e una valutazione adeguata dei rischi: questo caso ha sollevato criticità specialmente riguardo alla legittimità del trattamento di contenuti editoriali da parte dei sistemi di intelligenza artificiale. La questione fondamentale riguarda la possibilità che i contenuti condivisi, pur non essendo immediatamente riconducibili a dati personali, possano essere trasformati da IA in informazioni personali attraverso un’elaborazione algoritmica, violando così i diritti degli interessati. In particolare, si pone il problema di come bilanciare l’efficienza degli algoritmi con la protezione dei diritti fondamentali, come il diritto alla privacy, previsto dal GDPR.

L’accordo è stato annunciato nel settembre 2024, e prevedeva la condivisione di contenuti editoriali da parte di GEDI con OpenAI, volta al miglioramento delle capacità linguistiche dei modelli di IA. Di fatto, il Garante ha sollevato delle obiezioni riguardo alla base giuridica del trattamento, poiché non è stato chiarito se il trasferimento di questi dati fosse conforme alle disposizioni del GDPR, in particolare per quanto riguarda il consenso degli interessati e la trasparenza delle operazioni. Il rischio che i contenuti editoriali potessero includere dati identificabili o generare nuovi dati personali attraverso il processo algoritmico è stato sottolineato dal Garante, che ha anche messo in evidenza la difficoltà di tracciare l’origine e l’utilizzo dei dati una volta che vengono rielaborati.

In difesa della posizione di GEDI, si è sostenuto che i contenuti trasferiti a OpenAI non rientrano nella definizione di dati personali secondo il GDPR, poiché sono trattati come materiale editoriale pubblico, destinato a migliorare le capacità del modello di IA senza alcun intento di trattamento diretto dei dati personali ma tale punto di vista risulta problematico alla luce della giurisprudenza esistente, che considera come dato personale ogni informazione che possa essere utilizzata per identificare una persona, anche indirettamente.

La giurisprudenza in materia è rilevante per comprendere la posizione del Garante, poiché, nel marzo del 2023, infatti, un intervento simile aveva portato alla limitazione provvisoria del trattamento dei dati da parte di OpenAI, motivato dalla mancanza di trasparenza e dalla difficoltà di verificare l’età degli utenti, con implicazioni particolarmente gravi per i minori. Questa attenzione da parte delle autorità è testimoniata da una serie di provvedimenti che dimostrano come le istituzioni abbiano intrapreso un ruolo proattivo nell’affrontare le problematiche legate all’IA e al trattamento dei dati personali. La Corte di Giustizia dell’Unione Europea ha contribuito a chiarire ulteriormente la questione, come nel caso Schrems II, in cui è stato invalidato il Privacy Shield, ribadendo l’importanza della protezione dei dati personali a livello europeo, e la necessità di limitare l’accesso ai dati da parte di entità extraeuropee.

Il caso Gedi-OpenAI mette, quindi, in evidenza, la difficoltà di applicare le tradizionali categorie giuridiche al trattamento dei dati da parte di sistemi IA. In particolare, la distinzione tra contenuti editoriali e dati personali diventa sempre più sfocata, poiché la capacità dell’IA di trasformare ogni frammento informativo in un dato potenzialmente utilizzabile per altri scopi richiede una riconsiderazione delle normative esistenti. La protezione dei diritti fondamentali deve evolversi di pari passo con l’innovazione tecnologica, affinché si possa garantire un equilibrio tra progresso e tutela della privacy.

Questa circostanza, quindi, è pronta a sollevare interrogativi giuridici che trascendono il singolo contratto tra GEDI e OpenAI, spingendo verso una riflessione più ampia sulla necessità di aggiornare le leggi per rispondere alle sfide poste dall’IA e dalla crescente capacità di profilazione algoritmica e la risposta a tali criticità consiste nel definire nuove soluzioni giuridiche che garantiscano una protezione efficace dei diritti individuali.

Visualizzazioni: 4