Il talk tra Ilario Gobbi e l’avvocato Giovanna Panucci ha esplorato in profondità il tema dell’utilizzo di ChatGPT nel rispetto del regolamento AI Act, soffermandosi su vari aspetti tecnici e legali legati all’uso dell’intelligenza artificiale nelle aziende. Ecco un resoconto minuzioso dei principali argomenti trattati durante la conversazione.
Leggi tutto: Come Utilizzare ChatGPT in azienda secondo l’AI ActCome utilizzare ChatGPT in azienda in ottemperanza all’AI Act
Giovanna Panucci, avvocato specializzato in Data Protection, ha introdotto il suo ruolo professionale, spiegando che si occupa prevalentemente di privacy e protezione dei dati personali. Ha descritto la sua attività a supporto di aziende e enti pubblici nel garantire la conformità normativa, specialmente in relazione alla gestione dei dati. Panucci ha anche sottolineato l’importanza di queste tematiche nell’era moderna, dove il concetto di dato si estende oltre i dati personali, includendo i dati trattati da sistemi di intelligenza artificiale come ChatGPT.
Il ruolo del DPO e il rapporto con l’AI Act
Panucci ha spiegato la figura del DPO (Data Protection Officer), una figura obbligatoria in molte aziende e organizzazioni. Il suo compito è aiutare l’organizzazione a rispettare le normative sulla privacy e sui dati, come il GDPR e, più recentemente, l’AI Act. Nel contesto aziendale, il DPO partecipa a discussioni tecniche che spaziano dall’uso di strumenti di intelligenza artificiale, come ChatGPT, alla valutazione del rischio legata a processi più complessi, come la videosorveglianza o il trattamento dei dati sanitari. Questo sottolinea come l’uso di ChatGPT, pur non direttamente connesso a dati sensibili, richieda una valutazione approfondita dei rischi legati al suo utilizzo.
L’impatto del regolamento AI Act sull’utilizzo di ChatGPT
Il cuore della discussione è stato il nuovo regolamento AI Act, considerato un cambiamento epocale. Secondo Panucci, l’AI Act impone alle aziende di gestire l’utilizzo di strumenti di intelligenza artificiale come ChatGPT in conformità con regole severe, simili a quelle del GDPR. Questo regolamento europeo stabilisce standard rigidi per l’uso dei dati e la gestione degli algoritmi, creando una forte interazione tra il GDPR (che regola i dati personali) e l’AI Act (che regola l’intelligenza artificiale). Le aziende dovranno quindi confrontarsi con entrambe le normative e adattare i propri processi interni, aumentando la complessità e le responsabilità a livello di compliance.
Classificazione dei sistemi di intelligenza artificiale e ChatGPT
Panucci ha approfondito il sistema di classificazione dell’AI Act, che suddivide i sistemi di intelligenza artificiale in quattro categorie di rischio: sistemi vietati, sistemi ad alto rischio, rischio medio-alto e rischio tollerabile. ChatGPT, a seconda dell’uso che ne viene fatto, può rientrare tra i sistemi a rischio tollerabile. Tuttavia, Panucci ha sottolineato che tutto dipende dall’implementazione e dall’utilizzo specifico. Le aziende devono effettuare valutazioni del rischio dettagliate e adottare misure di minimizzazione per evitare che il sistema venga classificato come ad alto rischio. Questo richiede un approccio prudente e una stretta collaborazione tra l’ufficio tecnico e quello legale.
Requisiti legali e raccomandazioni per le aziende
Per garantire la conformità di ChatGPT all’AI Act, le aziende devono implementare una serie di misure legali, che includono la formazione del personale, la creazione di informative trasparenti, l’implementazione di sistemi di cybersecurity e la nomina di responsabili per il trattamento dei dati. Panucci ha suggerito che le aziende dovrebbero adottare un approccio cautelativo, coinvolgendo il reparto tecnico e l’ufficio privacy per valutare attentamente l’uso di ChatGPT. È fondamentale definire chiaramente gli scopi per cui lo strumento viene utilizzato, assicurandosi che sia integrato nei processi aziendali attraverso un processo di checklist conforme alle normative.
Applicazione uniforme del regolamento e aggiornamenti costanti
Il regolamento AI Act sarà applicato uniformemente in tutti gli Stati membri dell’Unione Europea, senza particolari differenze tra i vari Paesi. Questo significa che le aziende europee dovranno adeguarsi in modo omogeneo. Tuttavia, Panucci ha evidenziato che il regolamento sarà costantemente aggiornato per adattarsi all’evoluzione rapida delle tecnologie, soprattutto in settori ad alto rischio come sanità e istruzione. Ha citato, ad esempio, l’aggiornamento di OpenAI con l’introduzione della modalità vocale per gli utenti a pagamento, dimostrando come i cambiamenti tecnologici richiedano un monitoraggio continuo da parte delle aziende.
La questione del trattamento dei dati e la risposta di OpenAI
l’Avvocato Panucci ha raccontato come il Garante italiano per la protezione dei dati sia stato il primo a sollevare la questione del trattamento dei dati da parte di OpenAI, obbligando l’azienda a fornire chiarimenti su come raccoglie e gestisce i dati per addestrare i suoi sistemi. Questo ha portato OpenAI a implementare diverse misure, come la doppia autenticazione per gli utenti e l’introduzione di una documentazione più trasparente nella privacy policy. Tuttavia, molte zone d’ombra restano ancora da chiarire, specialmente sul tema del web scraping e sulla natura dei dati utilizzati per addestrare i modelli di intelligenza artificiale.
Nella seconda parte dell’intervista, si affrontano più dettagliatamente le implicazioni dell’AI Act riguardo all’uso di strumenti di intelligenza artificiale come ChatGPT all’interno delle aziende e la gestione dei dati personali.
Accountability e tracciabilità delle decisioni
Il discorso si apre con un riferimento alla accountability, ovvero la rendicontazione delle scelte aziendali in materia di trattamento dei dati. Si sottolinea l’importanza di documentare in modo accurato tutte le decisioni prese, così da poter giustificare ogni azione e ridurre il rischio di sanzioni. In pratica, più documenti a supporto delle scelte ci sono, più è evidente che l’azienda ha seguito un percorso di valutazione ponderata.
Applicabilità dell’AI Act
Viene chiesto se l’AI Act si applica sia all’uso di ChatGPT da parte dei dipendenti sia a implementazioni aziendali di intelligenza artificiale. La risposta afferma che entrambe le situazioni rientrano nella normativa, poiché il rischio è legato all’intelligenza artificiale in sé, indipendentemente dall’utilizzo specifico (supporto amministrativo o integrazione in un sito di e-commerce). La regolamentazione, quindi, considera l’AI come un potenziale rischio intrinseco per la protezione dei dati.
Compliance e roadmap per l’adeguamento
Si evidenzia che, nonostante il regolamento sia stato pubblicato ad agosto, la sua piena applicazione sarà graduale. Le prime norme entreranno in vigore a gennaio dell’anno successivo, mentre altre saranno introdotte progressivamente fino al completo adeguamento, previsto in un arco di due anni. Questo periodo di transizione offre tempo alle aziende per prepararsi e adattarsi alle nuove norme.
Tre casistiche di utilizzo di ChatGPT
L’intervistato illustra tre diversi scenari di utilizzo dell’intelligenza artificiale all’interno delle aziende:
- Utilizzo di base (superficiale): un piccolo ufficio o un’impresa utilizza ChatGPT per velocizzare attività amministrative senza trattare dati personali. In questo caso, è sufficiente un po’ di formazione per garantire che il chatbot venga usato correttamente, evitando il caricamento di informazioni personali. Non essendoci dati sensibili, le preoccupazioni legate al GDPR e all’AI Act sono minime.
- Utilizzo più strutturato: in questo caso, si consiglia di attivare un account aziendale per garantire una protezione dei dati più solida, inclusa la nomina di un responsabile esterno del trattamento, come previsto dal GDPR. Anche in questo scenario è necessaria una valutazione d’impatto (DPIA) per identificare i rischi connessi all’uso dell’intelligenza artificiale, implementando misure adeguate per mitigare tali rischi.
- Sviluppo di un’intelligenza artificiale proprietaria: il terzo scenario prevede che un’azienda sviluppi la propria IA personalizzata. Qui entra in gioco un percorso completo di “privacy by design”, che parte dalla progettazione del sistema e include tutte le necessarie policy e procedure per garantire la conformità normativa.
Rischi legati ai dati sensibili
Un tema importante trattato è quello del caricamento di dati sensibili all’interno di strumenti di intelligenza artificiale come ChatGPT. Viene chiarito che, se i dati sono già disponibili online, la responsabilità non ricade sull’azienda che utilizza l’intelligenza artificiale, ma su chi ha reso pubblici tali dati. Tuttavia, se un’azienda carica dati sensibili provenienti dal proprio sistema (es. iscritti a una newsletter), la responsabilità è completamente a carico del titolare del trattamento.
L’intervista prosegue con una discussione dettagliata sull’importanza della gestione corretta dei dati sensibili, con particolare attenzione all’utilizzo dei chatbot e delle IA generative nelle aziende. L’intervistata sottolinea che i dati particolarmente delicati, come quelli sanitari o relativi a opinioni politiche e orientamenti personali, non dovrebbero mai essere inseriti in un sistema di intelligenza artificiale, salvo specifici casi, come nel settore sanitario. Esprime chiaramente che, per le aziende classiche, l’inserimento di buste paga o dati simili in questi sistemi non è ammesso.
In questo contesto, l’uso di dashboard con impostazioni che evitano il training sui dati aziendali è un punto chiave di sicurezza. Tuttavia, la semplice attivazione di tali impostazioni non è sufficiente senza un solido percorso di adeguamento al GDPR, formazione del personale e netiquette aziendale.
L’intervistata evidenzia il rischio concreto di sanzioni in caso di non conformità, anche in presenza di un uso apparentemente innocuo dell’intelligenza artificiale. Aggiunge che la trasparenza verso il cliente e l’utente finale è fondamentale. Spesso si possono verificare infrazioni involontarie, come il semplice copia-incolla di una mail aziendale all’interno di un chatbot, rischiando di inserire inconsapevolmente dati sensibili.
Ruoli emergenti e necessità di nuove figure professionali
Nel corso dell’intervista emerge l’importanza di ruoli specifici per la gestione della conformità. Accanto al già noto DPO (Data Protection Officer), responsabile per il GDPR, si sta sviluppando la figura del Chief AI Officer, un ruolo ancora poco diffuso in Italia ma già presente in altre parti del mondo. Questi due profili dovranno collaborare strettamente per garantire la corretta gestione della privacy e dell’uso delle IA all’interno delle aziende.
L’intervistato esprime un certo scetticismo sulla possibilità che una sola persona possa occuparsi in maniera competente di entrambe le normative. Considerata la complessità delle leggi europee e delle normative interne, ritiene che la collaborazione tra esperti sia l’approccio più realistico.
Sanzioni e controlli
Uno dei temi più rilevanti riguarda le potenziali sanzioni per la gestione impropria dei dati sensibili. L’AI Act prevede sanzioni che possono raggiungere il 6% del fatturato globale, superando persino quelle previste dal GDPR (4%). La gravità delle infrazioni determinerà l’ammontare delle sanzioni, e il controllo sarà affidato a una specifica autorità di vigilanza, ancora da designare in Italia.
Durante un’ispezione, il processo di verifica è descritto come semplice ma rigoroso: un ispettore potrebbe iniziare con domande dirette sull’uso dei chatbot, per poi indagare su dettagli quali la formazione ricevuta dai dipendenti, la presenza di informative adeguate e la corretta applicazione delle procedure aziendali. In caso di non conformità, il rischio di sanzioni è alto.
Procedure pratiche per le aziende
L’intervistato consiglia alle aziende di partire da una solida base di conformità al GDPR prima di implementare sistemi di intelligenza artificiale. È fondamentale scegliere uno strumento specifico e non disperdere gli sforzi su più piattaforme, per garantire un uso controllato e sicuro. La formazione dei dipendenti è un pilastro imprescindibile, con un focus particolare sull’uso corretto degli strumenti di IA e sulla protezione dei dati sensibili.
Viene anche suggerita l’adozione di una netiquette aziendale e di una policy dedicata, per chiarire ai dipendenti le linee guida sull’uso di strumenti come ChatGPT. Questa policy dovrebbe includere istruzioni pratiche come la cancellazione delle chat, l’uso di account specifici e la disabilitazione del training sui dati, oltre a prevedere una formazione approfondita su come utilizzare correttamente la dashboard e le impostazioni di privacy.
Considerazioni sulla sicurezza dei dati
Infine, l’intervistata ribadisce l’importanza di garantire la sicurezza dei dati attraverso procedure di anonimizzazione e altre misure di cyber security. A lungo termine, sottolinea che l’obiettivo non è solo quello di evitare la violazione della privacy individuale, ma di proteggere l’azienda stessa da ispezioni e potenziali sanzioni. L’avvocato evidenzia come le normative sulla privacy, spesso considerate un ostacolo, siano in realtà un meccanismo di tutela per le aziende.
La sessione si chiude con una riflessione sull’importanza di rendere l’intelligenza artificiale spiegabile e comprensibile agli utenti, e con l’auspicio che le autorità competenti forniscano linee guida e modelli chiari per facilitare l’adozione delle normative da parte delle aziende.
Utilizzare ChatGPT in azienda – In conclusione
L’intervistato conclude con una raccomandazione di prudenza nell’utilizzo di dati sensibili all’interno di ChatGPT e di altri strumenti di IA, suggerendo un approccio di cautela. Consiglia di non caricare dati personali nei documenti o nei prompt finché il quadro normativo non sarà più stabile e chiaro, e di seguire processi ben definiti per minimizzare i rischi.
In sintesi, l’uso di ChatGPT in azienda richiede un’attenta valutazione legale e tecnica, alla luce dell’AI Act e delle normative europee sulla protezione dei dati. L’avvocato Panucci ha concluso consigliando cautela e un approccio proattivo per assicurare la conformità normativa e minimizzare i rischi.