Vi siete mai chiesti cosa succede ai dati che vengono immessi nei prompt che diamo in pasto a chatGPT? La risposta è semplice: se state utilizzando la versione pubblica del servizio di OpenAI, tutto il testo che inviate al chatbot viene memorizzato e, in molti casi, utilizzato per migliorare il servizio e allenare ulteriormente GPT, il modello di linguaggio di grandi dimensioni (LLM) su cui chatGPT è basato.
Non è nulla di sorprendente: OpenAI dichiara nel dettaglio questo caso d’uso nella propria informativa sulla privacy, ulteriormente aggiornata e resa ancora più granulare e precisa dopo il caso del blocco temporaneo del servizio da parte del Garante della Privacy in Italia.
Ciò che sorprende è quanti utenti, soprattutto in ambito professionale, continuino ad utilizzare però la versione pubblica (compresa quella a pagamento) di chatGPT senza in alcun modo considerare le implicazioni che derivano da questo tipo di trattamento dei dati.
In ambito lavorativo, soprattutto in Europa, l’uso di chatGPT rappresenta un rischio che viene sistematicamente sottovalutato. L’aspetto più controverso non è tanto l’eventuale “rigurgito” di dati privati nelle chat di altri utenti (che pure può accadere ed è già accaduto) quanto la palese violazione delle leggi sulla privacy, in particolare della GDPR.
Prendiamo ad esempio il caso di un avvocato che, per velocizzare la scrittura di una lettera a un cliente, la faccia generare a chatGPT. Nel prompt di richiesta al chatbot, l’avvocato sbadato inserisce dati privati del cliente e del caso che sta seguendo. Poiché chatGPT salverà quella conversazione sui propri server (per giunta al di fuori dell’Unione Europea), già l’atto di trasferire questi dati sul servizio è di per sé una violazione palese della GDPR. L’avvocato ha infatti trasferito i dati privati di un cliente, per i quali è direttamente responsabile, a un servizio terzo basato all’estero.
Quello che si è potuto osservare nel corso degli ultimi mesi, complice anche la fascinazione per lo straordinario strumento di OpenAI, è che fior di aziende, agenzie, e più in generale professionisti altrimenti attentissimi alle questioni della privacy hanno commesso proprio questo tipo di errore. OpenAI, sempre nella sua privacy policy, specifica inoltre che i dati immessi dai clienti possono essere condivisi con ulteriori partner esterni a vari scopi: immettere dati sensibili su chatGPT, in altre parole, equivale a disseminarli presso soggetti che non sono in alcun modo autorizzati a processarli, a meno che i proprietari dei dati non abbiano fornito il proprio consenso preventivo.
Non è un caso che grandi aziende come Apple, Amazon, Northrop Grumman, JP Morgan e molte altre multinazionali abbiano bloccato completamente l’accesso a chatGPT sulle proprie reti e ne abbiano categoricamente vietato l’uso ai dipendenti, anche su dispositivi privati. Il rischio di “leak” è troppo alto. Lo dimostra il caso dei tre dipendenti Samsung che nei primi mesi del 2023 avrebbero utilizzato chatGPT immettendo nel servizio porzioni di codice coperte da segreto industriale. A seguito degli incidenti di sicurezza anche Samsung ha deciso di mettere del tutto al bando l’uso del servizio, in attesa di sviluppare soluzioni analoghe all’LLM di OpenAI, ma private e sicure.
Per gli utenti comuni il consiglio è dunque quello di pensarci sempre due volte prima di dare in pasto a chatGPT qualsiasi informazione. Non è difficile: basta ricordarsi sempre che immettere dati nella chat di OpenAI equivale a fornire all’azienda un accesso indiscriminato a quelle stesse informazioni.
