Con il provvedimento n. 112 del 30 marzo l’Autorità garante ha disposto, con effetto immediato, la limitazione provvisoria del trattamento dei dati degli utenti italiani nei confronti di OpenAI, la società statunitense che ha sviluppato e gestisce ChatGPT. L’Autorità ha contestualmente aperto un’istruttoria.
1. Contenuto del provvedimento
ChatGPT, il più noto tra i software di intelligenza artificiale relazionale in grado di simulare ed elaborare le conversazioni umane, le cui gesta hanno guadagnato le prime pagine dei giornali, avendo dimostrato di poter superare a pieni voti esami per il conseguimento del titolo di avvocato negli stati uniti e per entrare nelle più diverse facoltà del mondo, è stato oggi bloccato dal Garante privacy.
Da una verifica effettuata sul funzionamento della piattaforma, l’Autorità garante ha potuto constatare che non viene fornita alcuna informativa agli utenti, né agli interessati i cui dati sono stati raccolti da OpenAI, L.L.C. e trattati tramite il servizio di ChatGPT evidenziando anche l’assenza di idonea base giuridica in relazione alla raccolta dei dati personali e al loro trattamento per scopo di addestramento degli algoritmi sottesi al funzionamento di ChatGPT.
Oltre a ciò, ha potuto verificare che il trattamento di dati personali degli interessati risulta inesatto in quanto le informazioni fornite da ChatGPT non sempre corrispondono al dato reale e che è assente qualsivoglia verifica dell’età degli utenti in relazione al servizio ChatGPT che, secondo i termini pubblicati da OpenAI L.L.C., è riservato a soggetti che abbiano compiuto almeno 13 anni.
L’assenza di filtri per i minori di età di 13 anni espone gli stessi a risposte assolutamente inidonee rispetto al grado di sviluppo e autoconsapevolezza degli stessi, ragion per cui ha disposto ai sensi dell’art. 58, par. 2, lett. f), del Regolamento – in via d’urgenza e nelle more del completamento della necessaria istruttoria rispetto a quanto sin qui emerso nei confronti di OpenAI L.L.C., società statunitense sviluppatrice e gestrice di ChatGPT, la misura della limitazione provvisoria del trattamento, ritenendo sussistente violazione degli artt. 5, 6, 8, 13 e 25 del Regolamento con riferimento al trattamento dei dati personali degli utenti, compresi i minori, e degli interessati i cui dati sono utilizzati dal servizio.
In assenza di qualsivoglia meccanismo di verifica dell’età degli utenti, nonché, comunque, del complesso delle violazioni rilevate, detta limitazione provvisoria dovrà estendersi a tutti i dati personali degli interessati stabiliti nel territorio italiano.
L’effetto è l’immediata sospensione del servizio, fatta salva la possibilità per il Titolare di adire l’autorità giudiziaria.
Non è chiaro, tuttavia, se la limitazione del trattamento si estenderà a quei sistemi come il motore di ricerca bing della Microsoft che già incorpora il nuovo modello di intelligenza artificiale.
Potrebbero interessarti anche:
2. Conclusioni
Il provvedimento in commento è interessante sotto diversi profili. In primo luogo va sottolineato come il Garante privacy abbia deciso di ricorrere ad un provvedimento “di urgenza” come quello della limitazione al trattamento, previsto dall’art. 58, par. 2, lett. f), del Regolamento, sebbene ChatGPT sia attivo dal novembre 2022. Le doglianze dell’Autorità garante sono relative ai trattamenti che la piattaforma effettua quantomeno in Italia da quella data e sono relative, venendo al merito delle osservazioni mosse a Open AI, all’assenza di un sistema di age verification e all’assenza di una informativa.
Ebbene, almeno su questo secondo punto sarà interessante capire come mai l’informativa presente su OpenAI (https://openai.com/policies/privacy-policy ) che dedica apposita sezione per gli utenti europei, designando altresì il rappresentante UE sia stata considerata non già inadeguata, bensì inesistente.
Da ultimo non si può non notare l’assenza di un richiamo al trattamento dei dati transfrontalieri, visto che è la stessa informativa che rende noto quanto segue: “By using our Service, you understand and acknowledge that your Personal Information will be transferred from your location to our facilities and servers in the United States” (…) Data Transfers. Where required, we will use appropriate safeguards for transferring Personal Information outside of the EEA, Switzerland, and the UK. We will only transfer Personal Information pursuant to a legally valid transfer mechanism”.
Nonostante quindi il Titolare espressamente dichiari il trattamento transfrontaliero dei dati e la menzione di validi meccanismi di trasferimento che non dovrebbero essere tali se previsti nei confronti degli Stati Uniti, sul punto non vi sono state contestazioni da parte del Garante privacy.
Volume consigliato per l’approfondimento
GDPR: ISPEZIONI E SANZIONI DEL GARANTE
L’ebook analizza quelli che sono i compiti e i poteri dell’Autorità di controllo e del Garante italiano per la protezione dei dati personali, trattando dei mezzi di tutela dei diritti dell’interessato, nonché della procedura istruttoria e delle conseguenze delle violazioni accertate, in termini di risarcimento.Particolare attenzione viene data ai poteri ispettivi e di controllo, nonché ai profili sanzionatori.Completa il testo, l’analisi dei Regolamenti 2019 del Garante.
Stefano Comellini | Maggioli Editore 2020
Scrivi un commento
Accedi per poter inserire un commento