O órgão de proteção de dados da Itália expôs o que a OpenAI precisa fazer para suspender um pedido contra o ChatGPT emitido no final do mês passado – quando disse que suspeitava o serviço AI chatbot violou o Regulamento Geral de Proteção de Dados da UE (GDPR) e ordenou que a empresa com sede nos EUA parasse de processar os dados dos locais.
O GDPR da UE se aplica sempre que dados pessoais são processados e não há dúvida de que grandes modelos de linguagem, como o GPT da OpenAI, aspiraram grandes quantidades de material da Internet pública para treinar seus modelos de IA generativos para serem capazes de responder de maneira semelhante à humana. caminho para prompts de linguagem natural.
A OpenAI respondeu à ordem da autoridade italiana de proteção de dados rapidamente acesso de bloqueio geográfico ChatGPT. Em uma breve declaração pública, o CEO Sam Altman também tuitou confirmação de que havia parado de oferecer o serviço na Itália – fazendo isso junto com a advertência usual da Big Tech de que “pensa[s] estamos seguindo todas as leis de privacidade”.
da Itália Garante evidentemente tem uma visão diferente.
A versão resumida da nova demanda de conformidade do regulador é: a OpenAI terá que ser transparente e publicar um aviso informativo detalhando seu processamento de dados; deve adotar imediatamente a restrição de idade para impedir que menores acessem a tecnologia e passar para medidas de verificação de idade mais robustas; precisa esclarecer a base legal que reivindica para processar os dados das pessoas para treinar sua IA (e não pode confiar na execução de um contrato – o que significa que deve escolher entre consentimento ou interesses legítimos); também deve fornecer meios para que usuários (e não usuários) exerçam direitos sobre seus dados pessoais, inclusive solicitando correções de desinformações geradas sobre eles pelo ChatGPT (ou então ter seus dados deletados); também deve fornecer aos usuários a capacidade de se opor ao processamento de seus dados pela OpenAI para treinar seus algoritmos; e deve conduzir uma campanha de conscientização local para informar aos italianos que está processando suas informações para treinar seus AIs.
O DPA deu à OpenAI um prazo – de 30 de abril – para fazer a maior parte disso. (A campanha de conscientização no rádio, TV e internet local tem um cronograma um pouco mais generoso, de 15 de maio, para ser acionado.)
Também há um pouco mais de tempo para o requisito de adição migrar da tecnologia de segurança infantil imediatamente necessária (mas fraca) para um sistema de verificação de idade mais difícil de contornar. OpenAI foi dado até 31 de maio para enviar um plano para implementar a tecnologia de verificação de idade para filtrar usuários com menos de 13 anos (e usuários de 13 a 18 anos onde nenhum consentimento dos pais foi obtido) – com o prazo para ter esse sistema mais robusto estabelecido em 30 de setembro.
Em um comunicado à imprensa detalhando o que a OpenAI deve fazer para suspender a limitação temporária, aplicada há duas semanas, quando também anunciou que estava iniciando uma investigação formal das suspeitas de violação do GDPR do ChatGPT, o DPA escreve:
OpenAI terá de cumprir até 30 de abril as medidas definidas pela SA italiana [supervisory authority] no que respeita à transparência, ao direito dos titulares dos dados — incluindo utilizadores e não utilizadores — e à base jurídica do tratamento para formação algorítmica com base nos dados dos utilizadores. Só nesse caso a SA italiana levantará o seu despacho que limitava temporariamente o tratamento dos dados dos utilizadores italianos, deixando de existir a urgência subjacente ao despacho, pelo que o ChatGPT estará novamente disponível a partir de Itália.
Entrando em mais detalhes sobre cada uma das “medidas concretas” exigidas, a DPA estipula que o aviso informativo obrigatório deve descrever “as disposições e a lógica do processamento de dados necessários para a operação do ChatGPT, juntamente com os direitos concedidos aos titulares dos dados (usuários e não utilizadores)”, acrescentando que “terá de ser de fácil acesso e colocado de forma a ser lido antes da adesão ao serviço”.
Os usuários da Itália devem receber este aviso antes de se inscrever e também confirmar que são maiores de 18 anos, exige ainda. Enquanto os usuários que se registraram antes da ordem de interrupção do processamento de dados do DPA terão que receber o aviso quando acessarem o serviço reativado e também devem ser empurrados por um portão de idade para filtrar usuários menores de idade.
Sobre a questão da base legal anexada ao processamento de dados de pessoas pela OpenAI para treinamento de seus algoritmos, o Garante reduziu as opções disponíveis a duas: consentimento ou interesses legítimos — estipulando que deve remover imediatamente todas as referências à execução de um contrato “em linha com o [GDPR’s] princípio da responsabilidade”. (A política de privacidade da OpenAI atualmente cita todos os três fundamentos, mas parece se apoiar mais fortemente na execução de um contrato para fornecer serviços como o ChatGPT.)
“Isso não prejudicará o exercício dos poderes de investigação e execução da SA a esse respeito”, acrescenta, confirmando que está retendo julgamento sobre se os dois fundamentos restantes podem ser usados legalmente também para fins da OpenAI.
Além disso, o GDPR fornece aos titulares de dados um conjunto de direitos de acesso, incluindo o direito de correção ou exclusão de seus dados pessoais. É por isso que o regulador italiano também exigiu que a OpenAI implemente ferramentas para que os titulares dos dados – o que significa usuários e não usuários – possam exercer seus direitos e corrigir as falsidades geradas pelo chatbot sobre eles. Ou, se corrigir mentiras geradas por IA sobre indivíduos nomeados for considerado “tecnicamente inviável”, o DPA estipula que a empresa deve fornecer uma maneira de excluir seus dados pessoais.
“A OpenAI terá que disponibilizar ferramentas facilmente acessíveis para permitir que não usuários exerçam seu direito de se opor ao processamento de seus dados pessoais, conforme invocado para a operação dos algoritmos. O mesmo direito terá de ser concedido aos usuários se o interesse legítimo for escolhido como base legal para o processamento de seus dados”, acrescenta, referindo-se a outro dos direitos que o GDPR oferece aos titulares de dados quando um interesse legítimo é invocado como base legal. para o processamento.
Todas as medidas anunciadas são contingências baseadas em suas preocupações preliminares. E seu comunicado de imprensa observa que as investigações formais – “para estabelecer possíveis infrações à legislação” – continuam e podem levar à decisão de tomar “medidas adicionais ou diferentes se isso se mostrar necessário após a conclusão do exercício de instrução em andamento”.
Entramos em contato com a OpenAI para obter uma resposta ao Garantedas medidas da empresa, mas a empresa não respondeu ao nosso e-mail até o momento.