Świat biznesu technologicznego z zaskoczeniem obiegła wiadomość, że 31 marca 2023 roku włoski Urząd Ochrony Danych Osobowych (Garante per la Protezione dei Dati Personali), powołując się na toczące się postępowanie z zakresu naruszeń RODO, nakazał firmie OpenAI ze skutkiem natychmiastowym zaprzestanie przetwarzania danych obywateli włoskich. Tym samym użytkownicy z tego kraju zostali odcięci od dostępu do aplikacji ChatGPT. Sprawa ta pokazuje trudności w zakresie ochrony danych osobowych, z jakimi mierzą się firmy amerykańskie oferujące swoje produkty i usługi konsumentom europejskim. Ponadto wzbudziła w branży obawy co do tego, na ile porządek prawny Unii Europejskiej przyjazny jest rozwojowi nowych technologii.
Decyzja podjęta przez Garante została oparta na trzech zarzutach. Pierwszym z nich był wyciek z dnia 20 marca 2023 roku, w wyniku którego upublicznione zostały konwersacje użytkowników oraz dane płatnicze użytkowników aplikacji. Ponadto wątpliwości Urzędu wbudził także fakt, że mimo zawarcia w regulaminie ograniczenia wiekowego dla użytkowników od 13 lat wzwyż, aplikacja ChatGPT nie miała narzędzi weryfikowania tej informacji, pobierając tym samym dane od użytkowników, którzy w świetle prawa nie mają możliwości udzielenia zgody na ich udostępnianie. Ponadto bot miał możliwość kształtowania świadomości i poglądów korzystających z niego dzieci i młodzieży. Bezpośredni konkurent produktu firmy OpenAI, aplikacja Bard od Google, oferuje swoje usługi wyłącznie dla zweryfikowanych użytkowników w wieku ponad 18 lat. Wydaje się, że na najbardziej istotnym z punktu widzenia przyszłego rozwoju branży oskarżeniem jest brak podstawy prawnej do „masowego zbierania i przechowywania danych osobowych w celu trenowania algorytmów stojących za działaniem platformy”. Stwierdzenie bowiem w toku postępowania, że takie działanie jest wbrew przepisom RODO mogłoby oznaczać spore ograniczenie możliwości sztucznej inteligencji do pozyskiwania danych w celu rozwoju programu i uczenia się na podstawie konwersacji z użytkownikami. Zablokowanie dostępu do ChatGPT we Włoszech jest jednak środkiem tymczasowym. OpenAI ma 20 dni na ustosunkowanie się do zarzutów. W przeciwnym wypadku grozi mu kara w wysokości do 20.000.000€ lub 4% jej rocznych światowych przychodów, którakolwiek z tych wartości jest wyższa.
Decyzja Włoch była szeroko komentowana przez instytucje poszczególnych państw UE. Niemiecki Federalny Komisarz Ochrony Danych i Wolności Informacji, Ulrich Kelber, powiedział dziennikowi „Hanselblatt”, że rozważa możliwość zablokowania dostępu do ChatGPT także w Niemczech. Podobny komentarz został również wydany przez analogiczną instytucję w Irlandii. Czy zatem powinniśmy obawiać się powtórzenia tego kroku także w Polsce? Choć nie można wykluczyć takiej ewentualności, wydaje się ona mało prawdopodobna. Reakcje nawet w ramach Unii Europejskiej na decyzję Garante nie były jednoznacznie pozytywne. Szwedzki organ ochrony danych, IMY, poinformował, że nie pozostaje w kontakcie z włoskim urzędem, jak również nie ma planów blokowania dostępu do ChatGPT w najbliższym czasie. Także hiszpańskie AEPD, choć nie wykluczyło możliwości wszczęcia takiego śledztwa w przyszłości, podało, że aktualnie nie prowadzi postępowania przeciwko firmie OpenAI. Warto także nadmienić, że włoska decyzja została bardzo negatywnie skomentowana przez polskiego Ministra Cyfryzacji, Janusza Cieszyńskiego który na Twitterze napisał, że regulacja rozwoju przełomowych technologii na rympał to doskonały sposób na to, aby technologia rozwijała się wszędzie, tylko nie w Europie.
Tym niemniej, środowisko biznesowe niezwłocznie podjęło środki zapobiegawcze, aby uniknąć możliwości ograniczenia dostępu użytkownikom do ChatGPT i tym podobnym produktom przez organy Unii Europejskiej. Koalicja europejskich start-upów ONE23 wystosowała do szwedzkiej prezydencji w Radzie Unii Europejskiej apel o mniej restrykcyjne podejście do sztucznej inteligencji w zakresie ochrony danych, nawołując do tego, aby decydenci unijni myśleli „zachowaniu, a wręcz zwiększaniu innowacyjnych zdolności unijnych firm” przy tworzeniu prawa. Jest to szczególnie istotne w kontekście opracowywanego przez Brukselę od 2021 r. AI Act, który ma uregulować prawo unijne co do sztucznej inteligencji w sposób systemowy. Obawy o zaostrzenie już i tak bardzo restrykcyjnych przepisów proporcjonalnie przyczyniają się do spowolnienia innowacji – jak wskazują badania przeprowadzone przez ONE23, 16% firm technologicznych myśli o wstrzymaniu rozwoju projektów AI lub przeniesienia ich poza kontynent europejski.
Mając to na względzie, wzburzenie decyzją Włoch w branży nowych technologii z pewnością znajduje jakieś merytoryczne uzasadnienie. W szczególności sztuczna inteligencja potrzebuje jak najszerszego dostępu do danych, bo właśnie to pomaga jej „uczyć się” nowych informacji. Nadmierne ograniczenia w tym zakresie mogą znacznie to utrudnić. Tym niemniej, należy zwrócić uwagę, że trudności z przestrzeganiem RODO ze strony firm ze Stanów Zjednoczonych nie są zjawiskiem nowym ani tym bardziej ograniczonym do branży AI. W rezultacie wejścia w życie unijnych przepisów w zakresie ochrony danych osobowych europejscy użytkownicy zostali odcięci od możliwości dostępu do znacznej części amerykańskich stron internetowych, w tym większości prasy lokalnej. Ponadto za naruszenia prawa UE byli już karani nawet korporacyjni giganci, tacy jak WeWork czy McDonald’s. Stąd też powściągliwość nakazuje wstrzymanie się do zakończenia toczącego się we Włoszech postępowania z oceną słuszności tej decyzji co do jej przyczyn, jak również przyszłego wpływu na rozwój technologii sztucznej inteligencji w Unii Europejskiej.
Niniejszy alert ma charakter informacyjny i nie jest to porada prawna.
autor: