L’accordo tra GEDI Gruppo Editoriale e OpenAI per l’uso di contenuti giornalistici da parte dell’AI, oggetto di scrutinio da parte del Garante per la protezione dei dati personali, si pone come caso di studio emblematico.
Solleva questioni di straordinaria rilevanza:
Queste domande non emergono nel vuoto, ma si inseriscono in una più ampia riflessione sul rapporto tra tecnologia e normatività.
L’accordo, annunciato nel settembre 2024, prevedeva la condivisione di contenuti editoriali del gruppo GEDI con OpenAI, finalizzata allo sviluppo e all’arricchimento delle capacità linguistiche dei modelli di intelligenza artificiale. Tale iniziativa ha rapidamente attirato l’attenzione del Garante per la protezione dei dati personali, che, nel novembre 2024, ha emesso un avvertimento formale a GEDI, segnalando potenziali violazioni delle normative europee sulla protezione dei dati.
L’accordo tra GEDI Gruppo Editoriale e OpenAI, annunciato nel settembre 2024, ha suscitato un significativo dibattito giuridico, principalmente in relazione alla conformità delle pratiche adottate rispetto al Regolamento Generale sulla Protezione dei Dati (GDPR).
Il trasferimento di contenuti editoriali, apparentemente neutri, a un sistema di intelligenza artificiale come quello sviluppato da OpenAI, solleva questioni cruciali legate alla natura dei dati coinvolti, alla legittimità del trattamento e alla tutela dei diritti degli interessati.
Il Garante per la protezione dei dati personali, intervenuto con un avvertimento formale nel novembre 2024, ha rilevato l’assenza di una base giuridica chiara per il trattamento dei dati potenzialmente personali contenuti negli archivi editoriali di GEDI. Il GDPR impone che qualsiasi trattamento di dati sia fondato su uno specifico presupposto normativo, come il consenso esplicito degli interessati o una necessità giuridicamente definita. Nel caso in esame, la documentazione disponibile non sembra dimostrare che siano state adottate misure preventive volte a garantire il rispetto di tali requisiti. Il rischio che i contenuti condivisi possano includere informazioni identificabili, o che possano generare dati derivati a carattere personale attraverso processi algoritmici, è stato ignorato o minimizzato.
In parallelo, il Garante ha posto l’attenzione sugli obblighi di trasparenza. La normativa europea richiede che ogni trattamento sia accompagnato da una comunicazione chiara, che permetta agli interessati di comprendere il destino dei propri dati e di esercitare diritti quali l’accesso, la rettifica e l’opposizione. Nel caso GEDI/OpenAI, tali garanzie risultano gravemente compromesse. L’assenza di una piena informativa e l’opacità del trattamento ostacolano l’esercizio di diritti fondamentali, ponendo gli interessati in una posizione di debolezza nei confronti di un sistema tecnologico complesso e scarsamente controllabile.
Un ulteriore nodo critico evidenziato dal Garante riguarda il rischio che la profilazione non sia trasparente: i large language models, in particolare, e i sistemi di IA, in generale, elaborano i dati ricevuti, ma soprattutto li riorganizzano, combinandoli e quindi generano nuove informazioni che possono sfuggire al controllo sia dei titolari sia degli stessi interessati. Questa capacità di astrazione algoritmica amplifica le criticità, poiché aumenta il potenziale di danno, rendendo particolarmente complesso garantire la conformità al GDPR.
GEDI, nella propria difesa, ha sostenuto che i contenuti trasferiti a OpenAI non rientrano nella definizione di dati personali, ma rappresentano materiale editoriale pubblico, destinato all’ottimizzazione delle capacità del modello IA.
Secondo il gruppo editoriale, i materiali trasmessi al colosso digitale non avrebbero natura identificativa, ma costituirebbero un patrimonio culturale utilizzato esclusivamente per affinare le capacità linguistiche del modello IA, senza finalità di trattamento diretto dei dati personali degli utenti.
A ben vedere i contenuti editoriali, pur potendo includere riferimenti a persone fisiche, non rientrano nella definizione giuridica di “dato personale” come prevista dal GDPR, in quanto la loro funzione primaria sarebbe quella di fornire contesto linguistico e non informazione identificabile, ma pare un argomento eccessivamente formalista, poco stabile dinanzi alle copiose pronunce giurisprudenziali in materia (es. Sentenza Decalogo) e a tematiche impattanti sui diritti fondamentai, prima tra le quali il “diritto all’obilo”.
Un altro punto sollevato da GEDI riguarda la natura innovativa dell’accordo, inteso come contributo allo sviluppo tecnologico, con ricadute positive per la società nel suo complesso.
Tale prospettiva mira a presentare l’accordo non come un rischio per la privacy, ma come un passo verso una più ampia accessibilità dell’informazione e un miglioramento delle capacità cognitive dei sistemi IA. Tuttavia, questa linea di difesa non affronta le preoccupazioni specifiche relative ai processi di profilazione impliciti nell’elaborazione algoritmica, né chiarisce quali meccanismi siano stati predisposti per garantire la piena conformità alle normative sulla protezione dei dati personali.
Il caso GEDI/OpenAI si inserisce in un panorama giurisprudenziale che riflette l’evoluzione delle sfide poste dall’intelligenza artificiale, in particolare nel rapporto tra innovazione tecnologica e protezione dei dati personali.
Nel marzo 2023, il Garante per la protezione dei dati personali italiano ha adottato un provvedimento che ha segnato un punto di svolta nella regolamentazione dell’IA. La limitazione provvisoria del trattamento dei dati da parte di OpenAI è stata motivata dalla mancanza di trasparenza e dalla difficoltà di verificare l’età degli utenti, inclusi i minori. Questo intervento ha dimostrato la volontà delle autorità di non limitarsi a un ruolo passivo, ma di agire in maniera proattiva per garantire l’applicazione rigorosa del Regolamento Generale sulla Protezione dei Dati (GDPR) in contesti emergenti e tecnologicamente complessi.
La vicenda di OpenAI è solo uno dei numerosi casi in cui il Garante ha affrontato problematiche legate all’uso dell’intelligenza artificiale.
Ulteriori interventi hanno riguardato il riconoscimento facciale, la profilazione algoritmica e l’uso dei dati biometrici, settori in cui la capacità tecnologica spesso eccede i confini definiti dal diritto.
Questi episodi hanno dimostrato, già prima della promulgazione dell’AI Act, come l’IA possa amplificare le potenzialità del trattamento dei dati personali, ma al tempo stesso accentuare i rischi di abuso e di discriminazione, ponendo interrogativi senza precedenti alla regolamentazione tradizionale.
Anche la giurisprudenza della Corte di Giustizia dell’Unione Europea ha giocato un ruolo cruciale nell’interpretazione del GDPR, fornendo principi guida che trascendono i singoli casi. La sentenza Schrems II ha invalidato il Privacy Shield, sottolineando l’incompatibilità di alcuni meccanismi di trasferimento dei dati con gli standard europei di tutela dei diritti fondamentali. Allo stesso modo, il caso Meta vs Irlanda ha confermato l’importanza di assicurare che i trattamenti algoritmici rispettino il principio di proporzionalità e di minimizzazione dei dati, anche nel contesto delle piattaforme globali. Queste pronunce dimostrano come l’approccio europeo alla protezione dei dati sia orientato a salvaguardare la centralità dell’individuo, anche a costo di imporre limiti alle imprese tecnologiche.
Sul piano globale, le differenze normative sono evidenti e riflettono visioni divergenti del rapporto tra tecnologia e diritto.
Negli Stati Uniti, la frammentazione legislativa e l’assenza di un quadro federale organico favoriscono l’innovazione industriale, ma lasciano ampi margini di incertezza per la tutela dei diritti individuali.
La Cina, al contrario, adotta un approccio centralizzato e dirigista, in cui il controllo statale dei dati rappresenta una priorità strategica, spesso a discapito della privacy individuale.
Nei Paesi ex-sovietici e in altre economie emergenti, la regolamentazione è spesso inadeguata o lacunosa, con ampie zone grigie che consentono l’uso poco trasparente delle tecnologie IA.
Il rapporto tra intelligenza artificiale ed editoria tradisce la necessità di una profonda riconsiderazione dei paradigmi giuridici e tecnologici. La distinzione tra dati personali e contenuti editoriali, centrale nella disciplina normativa, si rivela inadeguata dinanzi a sistemi IA in grado di trasformare ogni frammento informativo in dati utilizzabili, anche per finalità non previste inizialmente. Questo fenomeno sfida le tradizionali categorie giuridiche e richiede l’elaborazione di soluzioni normative che tengano conto della natura dinamica dell’elaborazione algoritmica.
La crescente capacità dell’IA di generare contenuti derivati solleva domande ancora irrisolte sul diritto d’autore, specie in relazione alla titolarità dei diritti sui prodotti di sistemi addestrati su contenuti protetti. Inoltre, la dimensione globale delle tecnologie IA pone i regolatori di fronte a sfide transnazionali che rendono necessario un coordinamento internazionale, oltre a un adattamento dei quadri normativi nazionali. L’opacità degli algoritmi e la difficoltà di monitoraggio impongono l’adozione di sistemi di auditing trasparenti e standardizzati, capaci di coniugare innovazione e responsabilità.
Dal punto di vista dei diritti fondamentali, l’IA fa emergere con maggiore vigore storico la tensione strutturale tra le potenzialità di amplificazione della libertà di stampa e i rischi per la privacy individuale e collettiva. La domanda è: come affrontarla? Con approcci tradizionali o con categorie nuove?