Stelt u zich eens voor dat u zich aanmeldt bij uw meest waardevolle zakelijke tool wanneer u op uw werk aankomt, om vervolgens te worden begroet met:
“ChatGPT uitgeschakeld voor gebruikers in Italië
Beste ChatGPT-klant,
Het spijt ons u te moeten mededelen dat we ChatGPT hebben uitgeschakeld voor gebruikers in Italië op verzoek van de Italiaanse Garant.”
Screenshot van OpenAI, april 2023
OpenAI gaf dit bericht aan Italiaanse gebruikers naar aanleiding van een onderzoek door de Garante per la protezione dei dati personali (Garant voor de Bescherming van Persoonsgegevens). De Garant noemt de volgende specifieke schendingen:
OpenAI informeerde gebruikers onvoldoende dat het persoonlijke gegevens verzamelde. OpenAI gaf geen juridische reden voor het verzamelen van persoonlijke informatie om zijn algoritme te trainen. ChatGPT verwerkt persoonlijke informatie onnauwkeurig zonder gebruik te maken van echte feiten. OpenAI vereist niet dat gebruikers hun leeftijd verifiëren, hoewel de inhoud die door ChatGPT wordt gegenereerd, bedoeld is voor gebruikers ouder dan 13 jaar en ouderlijke toestemming vereist voor gebruikers onder de 18 jaar.
In feite heeft een heel land de toegang tot een veelgebruikte technologie verloren omdat de regering bezorgd is dat persoonlijke gegevens door een ander land verkeerd worden behandeld en dat de technologie niet veilig is voor een jonger publiek.
Diletta De Cicco, Milaan-advocaat voor gegevensprivacy, cyberbeveiliging en digitale activa bij Squire Patton Boggs, merkte op:
“Het is niet verwonderlijk dat de beslissing van de Garant kwam net nadat een datalek gebruikersgesprekken en aan OpenAI verstrekte gegevens beïnvloedde.
Het komt ook op een moment dat generatieve AI in hoog tempo zijn weg vindt naar het grote publiek (en niet alleen wordt overgenomen door technisch onderlegde gebruikers).
Enigszins verrassender: hoewel het Italiaanse persbericht verwijst naar het recente inbreukincident, wordt er niet verwezen naar het Italiaanse besluit om het tijdelijke verbod te rechtvaardigen, dat gebaseerd is op: onnauwkeurigheid van gegevens, gebrek aan informatie aan gebruikers en mensen in het algemeen, gebrek aan verificatie van de leeftijd van kinderen en het ontbreken van een wettelijke basis voor trainingsgegevens”.
Hoewel OpenAI LLC actief is in de Verenigde Staten, moet het zich houden aan de Italiaanse code voor de bescherming van persoonsgegevens omdat het de persoonlijke informatie van gebruikers in Italië beheert en opslaat.
De Code voor de bescherming van persoonsgegevens was de belangrijkste Italiaanse wet inzake de bescherming van privégegevens totdat de Europese Unie in 2018 de Algemene Verordening Gegevensbescherming (AVG) uitvaardigde. De Italiaanse wet werd bijgewerkt om aan de AVG te voldoen.
Wat is de AVG?
De AVG is ingevoerd om de privacy van persoonlijke informatie in de EU te beschermen. Organisaties en bedrijven die actief zijn in de EU moeten voldoen aan de AVG-regelgeving met betrekking tot de verwerking, opslag en gebruik van persoonsgegevens.
Als een organisatie of bedrijf de persoonlijke informatie van een Italiaanse gebruiker moet beheren, moet het voldoen aan zowel de Italiaanse code voor de bescherming van persoonsgegevens als de AVG.
Hoe kan ChatGPT de GDPR-regels overtreden?
Als OpenAI zijn zaak tegen de Italiaanse Garant niet kan bewijzen, kan dit aanleiding geven tot verder onderzoek wegens het overtreden van de AVG-richtlijnen met betrekking tot het volgende:
ChatGPT slaat gebruikersinvoer op, die persoonlijke informatie van EU-gebruikers kan bevatten (als onderdeel van hun trainingsproces). Met OpenAI kunnen trainers ChatGPT-gesprekken bekijken. OpenAI stelt gebruikers in staat hun accounts te verwijderen, maar zegt dat ze geen specifieke verzoeken kunnen verwijderen. Houd er rekening mee dat gebruikers geen gevoelige persoonlijke informatie mogen delen in ChatGPT-gesprekken.
OpenAI biedt wettelijke gronden voor het verwerken van persoonlijke informatie van gebruikers in de Europese Economische Ruimte (inclusief EU-landen), het VK en Zwitserland in sectie negen van het privacybeleid.
De pagina Gebruiksvoorwaarden definieert inhoud als invoer (uw verzoek) en uitvoer (de generatieve reactie van de AI). Elke ChatGPT-gebruiker heeft het recht om persoonlijk en commercieel gebruik te maken van inhoud die is gegenereerd met behulp van OpenAI-tools.
OpenAI informeert OpenAI API-gebruikers dat services die persoonlijke gegevens van EU-inwoners gebruiken, moeten voldoen aan de AVG, CCPA en lokale privacywetten die van toepassing zijn op hun gebruikers.
Naarmate elke AI evolueert, kan de generatieve AI-inhoud gebruikersinvoer bevatten als onderdeel van de trainingsgegevens, waaronder mogelijk gevoelige persoonlijke informatie van gebruikers over de hele wereld.
Rafi Azim-Khan, global head of data privacy and marketing law bij Pillsbury Winthrop Shaw Pittman LLP, merkte op:
“Recente wetten die in Europa worden voorgesteld (AI-wet) hebben de aandacht getrokken, maar het kan vaak een vergissing zijn om andere wetten over het hoofd te zien die al van kracht kunnen zijn, zoals de AVG.
De handhavingsactie van de Italiaanse toezichthouder tegen OpenAI en ChatGPT deze week herinnerde iedereen eraan dat wetten zoals de AVG invloed hebben op het gebruik van AI.”
Azim-Khan wees ook op mogelijke problemen met de informatiebronnen en gegevens die worden gebruikt om ChatGPT-antwoorden te genereren.
“Sommige AI-resultaten laten fouten zien, dus er zijn zorgen over de kwaliteit van gegevens die van internet worden gehaald en/of worden gebruikt om de technologie te trainen”, merkte hij op. “GDPR geeft individuen het recht om fouten te corrigeren (zoals CCPA/CPRA in Californië).”
Hoe zit het eigenlijk met de CCPA?
OpenAI gaat in op de privacykwesties van Californische gebruikers in sectie vijf van haar privacybeleid.
Het onthult informatie die is gedeeld met derden, waaronder gelieerde ondernemingen, verkopers, dienstverleners, wetshandhavers en partijen die betrokken zijn bij transacties met OpenAI-producten.
Deze informatie omvat gebruikerscontact- en inloggegevens, netwerkactiviteit, inhoud en geolocatiegegevens.
Welke invloed kan dit hebben op het gebruik van Microsoft in Italië en de EU?
Om problemen met gegevensprivacy en AVG aan te pakken, heeft Microsoft het Vertrouwenscentrum gemaakt.
Microsoft-gebruikers kunnen meer te weten komen over hoe hun gegevens worden gebruikt in Microsoft-services, waaronder Bing en Microsoft Copilot, die worden aangedreven door OpenAI-technologie.
Moeten generatieve AI-gebruikers zich zorgen maken?
“De bottom line is dit [the Italian Garante case] het zou het topje van de ijsberg kunnen zijn als andere agenten AI-modellen nader bekijken”, zegt Azim-Khan.
“Het wordt interessant om te zien wat de andere Europese gegevensbeschermingsautoriteiten gaan doen”, vult De Cicco aan. “Ik had een gemeenschappelijk EU-antwoord verwacht op zo’n sociaal gevoelige kwestie.”
Als de Italiaanse Garante zijn zaak wint, kunnen andere regeringen beginnen met het onderzoeken van meer technologieën, waaronder ChatGPT’s collega’s en concurrenten, zoals Google Bard, om te zien of ze soortgelijke richtlijnen voor de beveiliging van persoonlijke gegevens en een jonger publiek schenden.
“Er zouden meer verboden in Italiaanse stijl kunnen volgen”, zegt Azim-Khan. “We kunnen op zijn minst zien dat AI-ontwikkelaars grote datasets moeten verwerken en hun bots moeten trainen.”
Uitgelichte afbeelding: pcruciatti/Shutterstock
Hey, ik ben Brent, en ik speel al een lange tijd mee in de SEO scene. Ik ben vooral heel actief in de Amerikaanse markt, en hou dan ook wel van een uitdaging. Ik ben sinds kort aan het uitbreiden binnenin de Benelux, en besluit hier dan ook te oversharen!
Wil je meer leren, klik dan op lees meer!
