Privacy, Protezione dei Dati e Grandi Modelli Linguistici: Una Nota Esplorativa

• Autori: Shivangi Malhotra, Devanshi Singh
• Titolo Originale: Exploratory Note on Privacy, Data Protection, and Large Language Models

L’avvento dei Grandi Modelli Linguistici (Large Language Models, LLM), come quelli alla base di molti servizi di intelligenza artificiale generativa oggi popolari, sta rivoluzionando il modo in cui interagiamo con la tecnologia. Questi modelli sono alimentati da quantità immense di dati, spesso raccolti da fonti disponibili pubblicamente su internet. Questa pratica, tuttavia, solleva significative e complesse questioni relative alla privacy e alla protezione dei dati personali. Questa nota esplorativa si propone di analizzare il funzionamento degli LLM alla luce dei principi fondamentali delle normative sulla protezione dei dati a livello globale, offrendo una prospettiva sui rischi attuali e futuri in un settore in rapida evoluzione.

1. Il Serio Enigma dei Dati di Addestramento

Il cuore pulsante degli LLM sono i loro vastissimi set di dati di addestramento. Gli sviluppatori affermano che questi modelli si basano su dati “disponibili pubblicamente”. Ma cosa significa esattamente? Non si tratta solo di informazioni che le persone hanno scelto attivamente di rendere pubbliche. I set di dati possono includere anche dati personali finiti online a causa di violazioni della sicurezza o raccolti tramite scraping da forum, social media (come Reddit, Facebook, Quora) e persino database privati accessibili.

Considerate GPT-3, addestrato su 570GB di dati raschiati da 60 milioni di domini web. GPT-4 ammette la possibilità di includere informazioni personali e, se combinato con dati esterni, potrebbe potenzialmente essere utilizzato per identificare individui. Questo solleva la questione cruciale: in che misura le normative sulla protezione dei dati si applicano a questi dati “pubblicamente disponibili”, soprattutto quando includono informazioni sensibili come opinioni politiche o credenze religiose?

Le leggi variano:

• Il GDPR europeo richiede la notifica ai soggetti interessati quando i loro dati non sono ottenuti direttamente da loro (ad esempio, tramite scraping), a meno che non siano stati manifestamente resi pubblici dal soggetto stesso (con restrizioni per le categorie speciali di dati).
• Il progetto di legge indiano DPDPB consente il trattamento di dati pubblici per “interesse pubblico” anche senza consenso esplicito, ma la regola generale richiederebbe il consenso.
• La legge canadese PIPEDA permette la raccolta senza consenso solo per determinate categorie di dati pubblici (elenchi telefonici, professionali, atti giudiziari) e solo se l’uso è direttamente correlato allo scopo per cui sono apparsi pubblicamente.

Insomma, il quadro normativo è frammentato e spesso inadeguato a questa nuova realtà.

2. Dati dagli Utenti Finali: Un’Altra Fonte di Preoccupazione

Oltre ai dati di addestramento iniziali, gli LLM raccolgono dati anche dalle interazioni dirette degli utenti finali, spesso tramite le loro prompt e input. Questi dati vengono utilizzati per affinare e migliorare i modelli. Le politiche sulla privacy (come quella di OpenAI) indicano che le informazioni personali inserite dagli utenti possono essere utilizzate per sviluppare nuovi servizi e addestrare i modelli. Sebbene alcune piattaforme offrano ora la possibilità di disattivare l’utilizzo delle conversazioni per l’addestramento, questa è spesso un’opzione di opt-out, non la impostazione predefinita.

Sono emersi persino strumenti come ‘ProfileGPT’, che affermano di poter analizzare le interazioni di un utente con un LLM per estrarre un riepilogo della sua vita, interessi, opinioni politiche e persino informazioni sulla salute mentale. In poche parole, i dati che alimentano questi modelli non sono solo quelli esplicitamente forniti, ma anche quelli osservati, derivati e inferiti. C’è anche il rischio di “avvelenamento” dei dati di addestramento da parte di hacker, creando vulnerabilità per l’estrazione di dati sensibili.

3. I Tentativi dei Sviluppatori per Proteggere la Privacy

I creatori di LLM stanno adottando alcune misure, anche se con limiti:

• Alcune piattaforme (Facebook, LinkedIn, Twitter) vietano lo scraping massivo nei loro termini di servizio.
• Si discute se i modelli dovrebbero essere addestrati solo su dati esplicitamente destinati all’uso pubblico.
• Vengono utilizzati filtri per rimuovere PII (Informazioni di Identificazione Personale) e l’apprendimento per rinforzo da feedback umano (RLHF) per ridurre contenuti indesiderati.
• Tecniche come la mascheratura o l’anonimizzazione manuale vengono suggerite, ma non risolvono i problemi di raccolta e limitazione dello scopo.
• La redazione automatica di dati non strutturati è difficile su larga scala, mentre quella manuale è lenta e costosa. L’uso di dati sintetici contestualmente accurati è un’altra possibilità, ma complessa da implementare efficacemente.
• OpenAI afferma di “ottimizzare” i modelli per rifiutare certe richieste, rimuovere PII “dove fattibile”, monitorare i tentativi degli utenti di generare informazioni personali e usare revisori umani per identificare PII insicure.
• Sul fronte della sicurezza dei minori, l’autorità italiana Garante ha temporaneamente bloccato ChatGPT anche per la mancanza di verifica dell’età, spingendo OpenAI a introdurre meccanismi di autodichiarazione dell’età e consenso parentale per gli utenti più giovani in Italia.

4. I Principi di Protezione dei Dati Messa alla Prova

L’applicazione dei principi classici della protezione dei dati agli LLM si scontra con la loro natura fondamentale.

• Limitazione dello Scopo: I dati dovrebbero essere raccolti solo per scopi specifici e dichiarati. Ma gli LLM sono modelli “fondazionali”, adattabili a innumerevoli usi futuri non prevedibili al momento della raccolta. Definire tutti i possibili scopi in anticipo è quasi impossibile, rendendo difficile aderire a questo principio. Anche l’utilizzo dei prompt degli utenti per migliorare il servizio potrebbe violare la limitazione dello scopo in certi contesti normativi (come per il GDPR).
• Limitazione della Conservazione: I dati personali dovrebbero essere conservati solo per il tempo necessario a soddisfare lo scopo. Se gli scopi degli LLM sono perennemente in evoluzione o non definiti, non c’è un limite temporale chiaro. I dati nei set di addestramento potrebbero potenzialmente essere conservati indefinitamente, a meno che il soggetto eserciti il diritto alla cancellazione.
• Trasparenza ed Equità: C’è una generale mancanza di trasparenza sugli algoritmi “scatola nera” degli LLM e sulle fonti esatte dei dati di addestramento. Per migliorare l’equità e la trasparenza, si raccomanda la documentazione delle fonti dati e la giustificazione delle caratteristiche dei dati utilizzati per l’addestramento.
• Minimizzazione dei Dati: Si dovrebbe raccogliere solo il minimo indispensabile. Ma gli LLM si basano su set di dati enormi. Sebbene alcune tecniche pre-addestramento possano aiutare a identificare e mascherare PII, l’adesione piena a questo principio rimane ardua.

5. Chi è il Responsabile? Le Complesse Relazioni nell’Ecosistema LLM

Determinare i ruoli di “titolare del trattamento” (chi decide scopi e mezzi) e “responsabile del trattamento” (chi processa i dati per conto del titolare) è particolarmente complicato nel contesto degli LLM.

• Dati di Addestramento: Gli sviluppatori di LLM potrebbero sostenere di non essere titolari perché non hanno determinato l’origine, la raccolta o lo scopo iniziale di tutti i dati nel set di addestramento. Tuttavia, non rientrano nemmeno nella definizione classica di responsabile (che agisce per conto di un titolare con un contratto).
• Dati degli Utenti Finali: Per i dati raccolti direttamente dagli utenti (info account, contenuti), gli sviluppatori potrebbero qualificarsi come titolari, poiché determinano scopi e mezzi del trattamento di quei dati specifici.
• Uso Enterprise tramite API: Quando un’azienda integra un LLM (tramite API, come quelle di ChatGPT) nei propri servizi, l’azienda è generalmente il titolare del trattamento (decide perché usa i dati tramite l’LLM), e lo sviluppatore dell’LLM agisce come responsabile (processa i dati per conto dell’azienda). OpenAI, ad esempio, fornisce un Data Processing Agreement per questo scenario. Tuttavia, in alcuni casi, sviluppatore e azienda potrebbero anche essere considerati contitolari del trattamento, sebbene manchino ancora modelli contrattuali standard (come richiesto dall’Art. 26 del GDPR) per formalizzare questa relazione.

Affibbiare responsabilità lungo l’intera catena del valore dell’AI diventa difficile, specialmente quando le aziende modificano i modelli LLM per uso interno, rendendo poco chiaro se un problema di performance o di privacy sia da attribuire al creatore del modello o a chi lo ha adattato.

6. Rischi Specifici per le Aziende e l’Uso Interno

L’uso di LLM su larga scala nelle aziende non solo eredita i problemi di privacy dei modelli pubblici, ma ne aggiunge di nuovi:

• Gestione del Rischio: Aumentano i rischi di fughe di informazioni proprietarie, re-identificazione involontaria di dati anonimi, violazione di PII, avvelenamento dei dati di addestramento interni, accesso non autorizzato ai dati aziendali, bias nei risultati e attacchi per estrarre dati sensibili dall’addestramento.
• Uso Improprio da Parte dei Dipendenti: Un rischio significativo è che i dipendenti inseriscano informazioni personali o riservate dell’azienda nelle prompt degli LLM pubblici. Anche se il modello potrebbe non memorizzare direttamente queste informazioni, ne “impara”. I tradizionali strumenti di sicurezza, progettati per monitorare i file, faticano a intercettare dati copiati in una finestra del browser per essere inseriti in una chat AI. Aziende come Morgan Stanley stanno affrontando questo problema implementando la fine-tuning degli LLM su dati curati internamente, limitando i tipi e il numero di prompt inseribili e conducendo audit settimanali.

Conclusione: Ripensare la Protezione dei Dati nell’Era dell’AI Generativa

Questa nota esplorativa mette in luce come l’AI generativa e i Large Language Models stiano sfidando i fondamenti della protezione dei dati. Molti principi e concetti consolidati richiedono un riesame approfondito. Le sfide non riguardano solo la base di dati di addestramento iniziale, ma anche l’uso degli LLM da parte degli utenti e l’integrazione nelle operazioni aziendali.

La complessità nella determinazione dei ruoli e delle responsabilità lungo la “catena del valore” dell’AI, la variazione del rischio in base al caso d’uso specifico e l’inadeguatezza tecnica dei framework tradizionali basati su avviso e consenso per l’enorme scala dei dati coinvolti, rendono necessario un nuovo approccio.

Mentre nazioni come l’India riflettono sulla regolamentazione dello spazio digitale, sarà fondamentale considerare queste specificità degli LLM. Non possiamo semplicemente applicare vecchie regole a una tecnologia radicalmente nuova. Dobbiamo esplorare meccanismi alternativi che garantiscano maggiore trasparenza, accountability e rispetto dei diritti degli individui in questo paesaggio digitale in rapido cambiamento.