Copilot la IA targata Microsoft non ha fatto a tempo a essere presentata sugli store più importanti (leggasi Apple e Google), che tutti in preda a delirio fantascientifico hanno iniziato a parlare di IA, e non dei tutti qualsiasi… tutti tipo il Papa e il Presidente della Repubblica italiana. Il primo in vari interventi ha centrato (ottimamente consigliato devo ammetterlo) una serie di punti veramente importanti e critici riguardanti l’Intelligenza Artificiale. Vi suggerisco la lettura di questo interessante articolo su VaticanNews. Il secondo durante il discorso di fine anno ha invece a un livello molto meno tecnico affermato che
La tecnologia ha sempre cambiato gli assetti economici e sociali.
Adesso, con l’intelligenza artificiale che si autoalimenta, sta generando un progresso inarrestabile. Destinato a modificare profondamente le nostre abitudini professionali, sociali, relazionali.
Ci troviamo nel mezzo di quello che verrà ricordato come il grande balzo storico dell’inizio del terzo millennio. Dobbiamo fare in modo che la rivoluzione che stiamo vivendo resti umana.
Non entriamo nel merito dell’affermazione, non è lo scopo di questo articolo. Mi accontenterei (per adesso si intende) di molto meno.
In che senso?
beh, partiamo dall’abc, come suole dirsi. Apro Apple AppStore, dopo aver letto la notizia del rilascio di Copilot, e decido che (prima di fare qualsiasi cosa con l’applicazione) voglio documentarmi. Ormai lo faccio sempre, a tal punto che, da DPO di me stesso, mi sono pure vietato l’uso di una serie di app di messaggistica non GDPR compliant. Ma qui ero proprio curioso di vedere come un’azienda da sempre pro GDPR avrebbe affrontato il tema protezione delle persone fisiche con riguardo ai loro dati personali. Ho pensato “vah, che danno una lezione di stile a OpenAI“.
Boccaccia mia dovevi star chiusa!
Su Apple Store i produttori di software devono dichiarare che tipo di dati vengono trattati. Come si può evincere dall’immagine qui a lato, l’elenco dei dati trattati dall’applicazione non è indifferente. Andiamo dai dati relativi all’ID usato per la connessione sul prodotto, alle analitiche, alla cronologia, la posizione geografica (con tanto di specifica posizione precisa), foto, video e audio, insomma pinzellacchere, come avrebbe detto il principe De Curtis.
Mi sarei atteso un’informativa di quelle da urlo, da fare impallidire ChatGPT. Invece, se cliccate sull’informativa finite esattamente qui.
… e ora che siamo qui?
Beh, la prima cosa che ho fatto è stato digitare Command+F (cerca) e scrivere “copilot” (ingenuamente ho pensato “vado secco al punto e non sto a leggere tutta l’informativa“) ed ecco la sorpresa. Nell’informativa relativa al servizio di IA Copilot che Microsoft mette a disposizione sullo store non si parla di… Copilot. Giusto per essere precisi mi ha colto un dubbio: vuoi vedere che il poveraccio che ha dovuto mettere su tutto, in fretta e furia nella foga, ha messo un link sbagliato? Quindi assieme all’avvocato Michele Monti siamo andati a controllare sul suo Android e… oplà stesso link.
Al mio paese questa si chiama informativa inidonea, non mi spiega alcunché circa il trattamento dei dati che sto ponendo in essere e, permettetemi di aggiungere, è lunga complessa e poco comprensibile da chi come me fa privacy tutto il giorno, figuriamoci dall’utente medio. Potreste rispondere che non è il caso di imputarsi anche sul legalese! No, non va bene, perché il GDPR (norma cui Microsoft si sente tanto legata) afferma chiaramente alcune cosette di non secondaria importanza:
Il titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14 e le comunicazioni di cui agli articoli da 15 a 22 e all’articolo 34 relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori (GDPR, Art. 13, par. 1)
Per onestà intellettuale…
Va detto che in questa informativa (il termine è eccessivo me ne rendo conto) di Microsoft un richiamo all’intelligenza artificiale esiste eccome.
Quindi, potreste accusarmi di “aver montato su un cinematografo” (tipica espressione torinese stante per “aver sollevato un polverone per niente“). Ma detto richiamo è appunto generico, non parla specificamente di Copilot e soprattutto non presenta le caratteristiche richieste dal GDPR all’articolo 13 e 14.
Non ci viene detto nello specifico trattamento quali dati sono trattati, non viene specificato il come, il da chi, il dove, il chi siamo, il per quanto in modo specifico per Copilot (viene detto che dopo sei mesi se vengono usati servizi di intelligenza artificiale vengono cancellati gli IP); non viene specificato in modo chiaro se viene eseguito un trasferimento estero dei dati raccolti e verso quale paese e con quali garanzie; non viene specificata la finalità della raccolta; non viene indicato il DPO o il Rappresentante di Microsoft. Vengono dette alcune cose vaghe. Ma il GDPR esige precisione e non vaghezza. Io devo sapere che dati prendi, per quale scopo, quanto li tieni dove li metti, a chi li passi, chi se ne occupa in azienda e a chi rivolgermi se ci sono problemi.
Nota bene
Non ho minimamente provato a usare l’applicazione, non mi interessa nemmeno in questa fase, ce ne occuperemo in un apposito articolo in cui magari faremo un raffronto con le prestazioni che già abbiamo analizzato di ChatGPT.
Nota bene 2
Tutte le informazioni che vedete qui riportate nello screen tratto dall’Apple AppStore relativamente a quali tipi di dati l’app tratti sono assenti in Play Store di Google in cui si comunica che l’app non tratta dati personali (sic!) fatto che ci ha lasciati… va beh immaginatevelo.
Diamoci un taglio finale
Copilot la IA targata Microsoft parte con un handicap non indifferente. Qui il consulente e il DPO pignoli potrebbero eccepire. Chiedere che il Garante Italiano imponga a Microsoft le stesse pastoie che hanno vincolato ChatGPT. I problemi (già solo a livello di informativa), sono molto simili. Il passaggio seguente (per il quale difficilmente abbiamo la possibilità di eseguire una verifica) è come viene addestrata la IA? Quali dati le vengono dati in pasto? Quali dati personali? Con quale consenso? Giusto un anticipo, io risulto esserci in qualità di CEO di Jaera e scrittore di fantascienza (cosa vera), ma i miei dipendenti fanno di cognome Verdi, Rossi e (indovinate un po?) Bianchi. Ma su questo aspetto torneremo in seguito.