Il Garante privacy blocca Chat GPT per violazione della normativa in materia di protezione dei dati personali.
1. l’app Chat GPT
Come ormai noto, la società statunitense sviluppatrice del software (che non ha sede nell’Unione Europea, ma ha designato un rappresentante nello Spazio Economico Europeo), ha introdotto anche nel mercato italiano l’APP chiamata ChatGPT. Si tratta di un software che si basa sull’intelligenza artificiale ed è in grado di simulare ed elaborare delle conversazioni umane: l’uso di tale software è quindi quello di creare artificialmente delle relazioni tra l’utente umano e l’intelligenza artificiale.
Al di là della grande fama avuta negli scorsi mesi dovuta al lancio nel mercato italiano, il software è recentemente venuto ancora di più alla ribalta a causa di una perdita di dati relativi alle conversazioni effettuate dagli utenti del servizio nonché di informazioni relative ai pagamenti effettuati dagli utenti abbonati al servizio a pagamento.
Il Garante per la protezione dei dati personali ha appreso del data breach e in generale delle modalità di funzionamento della APP Chat GPT dai numerosi e costanti servizi dei media ed ha quindi deciso di effettuare d’ufficio una verifica in ordine a dette modalità di funzionamento e delle modalità di trattamento dei dati raccolti dal software.
Potrebbero interessarti anche:
2. Le valutazioni del Garante
Dalla verifica effettuata, il Garante ha quindi accertato una serie di situazioni che appaiono in violazione della normativa in materia di protezione dei dati personali.
In particolare, il Garante ha verificato che:
– gli utenti del servizio di ChatGPT, così come gli interessati, non ricevono alcuna informativa in ordine al trattamento dei propri dati che vengono raccolti dalla società sviluppatrice del software e che vengono trattati dalla APP;
– non risulta una idonea base giuridica che legittimi la raccolta dei dati personali degli utenti e degli interessati;
– analogamente è assente una idonea base giuridica che legittimi il trattamento di detti dati, che viene effettuato al fine di addestrare gli algoritmi di intelligenza artificiale su cui si fonda il servizio di ChatGPT;
– i dati degli utenti e degli interessati che sono raccolti dalla APP, spesso risultano inesatti, poiché le informazioni che vengono fornite da ChatGPT non sempre corrispondono al dato reale;
– posto che il servizio di ChatGPT (secondo quanto indicato dagli stessi termini di servizio pubblicati sul sito della società sviluppatrice) è riservato esclusivamente alle persone che abbiano compiuto almeno 13 anni, manca qualunque sistema che permetta al titolare del trattamento di verificare l’effettiva età degli utenti;
– l’assenza di tali strumenti di verifica dell’età effettiva degli utenti, espone i soggetti minori di anni 13 al rischio di ricevere risposte dall’intelligenza artificiale dell’APP che siano del tutto inidonee rispetto al grado di sviluppo e alla autoconsapevolezza di detti soggetti.
In considerazione di tutti gli elementi sopra accertati, il Garante ha ritenuto che il trattamento dei dati personali degli utenti e degli interessati, che vengono utilizzati dal servizio di ChatGPT, si pone in contrasto con i principi del Regolamento europeo per la protezione dei dati personali (GDPR).
3. La decisione del Garante
In considerazione della necessità di intervenire in maniera tempestiva nell’eliminazione dei gravi rischi per i diritti e le libertà degli interessati, che sono connessi alle violazioni del GPR perpetrati dai trattamenti di dati personali effettuati dal ChatGPT, il Garante ha ritenuto di dover disporre in via d’urgenza una misura cautelare volta alla limitazione provvisoria dei trattamenti dati compiuti dalla società sviluppatrice della APP. Ciò nell’attesa che il Garante completi l’ istruttoria necessaria per accertare in maniera certa le violazioni di cui sopra e decidere i provvedimenti necessari per l’eliminazione delle stesse.
Per quanto riguarda l’ampiezza della limitazione dei trattamenti effettuati da ChatGPT, il Garante ha ritenuto di estenderla a tutti i dati personali di tutti gli utenti ed interessati che sono stabiliti nel territorio italiano. Ciò in considerazione del fatto che la mancanza di un meccanismo di verifica dell’età degli utenti e in generale la tipologia di violazioni riscontrate, renderebbero altrimenti poco efficace la misura cautelare limitativa.
Per quanto concerne, invece, l’efficacia temporale della suddetta misura cautelare, il Garante ha previsto che la stessa abbia effetto immediato dal momento in cui il provvedimento cautelare è stato comunicato alla società sviluppatrice del software (quindi dalla fine di marzo) e che la limitazione avrà durata temporanea, fino a che – al termine dell’istruttoria in corso di svolgimento da parte del Garante – l’Autorità non prenderà delle determinazioni definitive.
Infine, il Garante, da un lato, ha ricordato al titolare del trattamento che nel caso in cui quest’ultimo violi la prescrizione comminatagli dal Garante con il suddetto provvedimento cautelare, oltre alla sanzione amministrativa prevista dal GPDP (quantificabile in un importo che può arrivare anche fino a 20 milioni di euro o al 4% del fatturato mondiale annuo del titolare), è possibile applicare anche la sanzione penale prevista dall’art. 170 del codice privacy. Dall’altro lato, il Garante ha invitato il titolare del trattamento a comunicare, entro 20 giorni dalla ricezione del provvedimento, quali iniziative abbia intrapreso per dare attuazione alle prescrizioni stabilite dal Garante nel provvedimento di cui sopra nonché a fornire gli elementi ritenuti dal medesimo titolare del trattamento utili a giustificare le violazioni della normativa in materia di trattamento dei dati personali che sono state riscontrate dal Garante.
All’esito della notifica del suddetto provvedimento del Garante, la società sviluppatrice del software ha subito comunicato la sospensione del servizio ChatGPT nel mercato italiano e, lo scorso 5 aprile, vi è stata una riunione tra i componenti del Garante e i vertici della suddetta società, in cui quest’ultima si è impegnata a rafforzare la trasparenza nell’uso dei dati personali degli interessati, i meccanismi esistenti per l’esercizio dei diritti e le garanzie per i minori e ad inviare al Garante un documento che indichi le misure che rispondano alle richieste dell’Autorità. Mentre quest’ultima – che pure ha confermato che non c’è alcuna intenzione di porre un freno allo sviluppo dell’intelligenza artificiale e dell’innovazione tecnologica, ma solo di garantire il rispetto delle norme poste a tutela dei dai personali dei cittadini italiani ed europei – si è riservata di valutare le misure proposte dalla società, anche riguardo al provvedimento già adottato nei suoi confronti.
>>>Per approfondire<<<
Aggiornata alle recenti determinazioni del Garante, l’opera tratta gli aspetti sostanziali e le questioni procedurali legati al trattamento dei dati personali e a tutte le attività connesse.
La normativa di riferimento viene commentata e analizzata, con un taglio che rende il volume un valido strumento pratico per il Professionista che si occupa di privacy.
Formulario commentato della privacy
Aggiornata alle recenti determinazioni del Garante, l’opera tratta gli aspetti sostanziali e le questioni procedurali legati al trattamento dei dati personali e a tutte le attività connesse. La normativa di riferimento viene commentata e analizzata, con un taglio che rende il volume un valido strumento pratico per il Professionista che si occupa di privacy. L’analisi delle ricadute operative della normativa è integrata dalle specifiche formule correlate; questa combinazione costituisce il valore aggiunto dell’opera che ben può aspirare a diventare un riferimento per gli operatori del settore. Giuseppe Cassano Direttore del Dipartimento di Scienze Giuridiche della European School of Economics della sede di Roma e Milano, ha insegnato Istituzioni di Diritto Privato nell’Università Luiss di Roma. Avvocato cassazionista. Studioso dei diritti della persona, del diritto di famiglia, della responsabilità civile e del diritto di Internet, ha pubblicato oltre trecento contributi in tema, fra volumi, trattati, voci enciclopediche, note e saggi. Enzo Maria Tripodi attualmente all’Ufficio legale e al Servizio DPO di Unioncamere, è un giurista specializzato nella disciplina della distribuzione commerciale, nella contrattualistica d’impresa, nel diritto delle nuove tecnologie e della privacy, nonché nelle tematiche attinenti la tutela dei consumatori. È stato docente della LUISS Business School e Professore a contratto di Diritto Privato presso la facoltà di Economia della Luiss-Guido Carli. Ha insegnato in numerosi Master post laurea ed è autore di oltre quaranta monografie con le più importanti case editrici. Cristian Ercolano Partner presso Theorema Srl – Consulenti di direzione, con sede a Roma; giurista con circa 20 anni di esperienza nell’applicazione della normativa in materia di protezione dei dati personali e più in generale sui temi della compliance e sostenibilità. Ricopre incarichi di Responsabile della Protezione dei Dati, Organismo di Vigilanza e Organismo Indipendente di Valutazione della performance presso realtà private e pubbliche. Autore di numerosi contributi per trattati, opere collettanee e riviste specialistiche sia tradizionali che digitali, svolge continuativamente attività didattica, di divulgazione ed orientamento nelle materie di competenza.
A cura di Giuseppe Cassano, Enzo Maria Tripodi, Cristian Ercolano | Maggioli Editore 2022
Scrivi un commento
Accedi per poter inserire un commento