Garante per la protezione dei dati personali: commento al Provvedimento n. 39 del 02-02-2023
Indice
1. I fatti
Il Garante per la protezione dei dati personali, da alcune recenti notizie di stampa, ha acquisito informazioni sulle modalità operative di una applicazione che potrebbe configurare gravi violazioni della normativa privacy e dei diritti e libertà degli interessati, soprattutto con riferimento ai minori di età ed ai soggetti emotivamente fragili.
In particolare, dalle suddette notizie di stampa, il Garante ha appreso i risultati di alcune prove effettuate sulla funzionalità della APP Replika, cioè una chatbot basata sull’intelligenza artificiale che genera un amico virtuale che l’utente può configurare come amico, come partner romantico o come mentore, da cui è emerso che le risposte fornite da detta chatbot potrebbero essere pericolose per gli utenti minori di età e quelli emotivamente fragili.
In ragione di ciò, il Garante ha avviato un’istruttoria nei confronti del titolare del trattamento, sviluppatore dell’app in questione.
2. Le valutazioni del Garante
Dall’istruttoria effettuata, il Garante ha potuto appurare che, nella privacy policy pubblicata sul sito web dello sviluppatore dell’APP, il titolare dichiara di non raccogliere dati personali di minori di 13 anni di età e che incoraggia i genitori e i tutori di tali minori a controllare l’uso di internet da parte di questi ultimi e che gli stessi non forniscano i propri dati senza l’autorizzazione dei suddetti genitori o tutori. Inoltre, nei termini di servizio dell’APP (sempre pubblicati all’interno del sito web dello sviluppatore), è previsto un divieto di utilizzo per i minori di 13 anni e l’esigenza che i minori di 18 anni siano preventivamente autorizzati da un genitore o da un tutore per poter utilizzare l’APP.
Nelle prove che sono state effettuate e riportate nelle notizie di stampa esaminate dal Garante, invece, è emerso che non sono previsti nella APP dei filtri per i minori di età e che i risultati dell’interazione con l’ “amico virtuale” creato dalla chatbot crea delle risposte, da parte di quest’ultimo, che sono assolutamente inidonee rispetto al grado di sviluppo e l’autoconsapevolezza dei minori.
Inoltre, lo stesso Garante ha verificato che, durante la fase di creazione dell’account utente, l’APP non prevede alcuna procedura di verifica e di controllo dell’età dell’utente stesso, ma viene richiesto soltanto il nome, il genere e l’email. Non solo, ma anche nel caso in cui l’utente dichiari in maniera esplicita di essere minore di età, non è previsto alcun sistema di interdizioni o di blocco e la chatbot propone comunque delle risposte palesemente in contrasto con le tutele che adrebbero assicurate ai minori e ai soggetti fragili.
Infine, il Garante ha verificato che in diverse recensioni pubblicate all’interno dei due principali “store” di app, gli utenti lamentano che le risposte fornite dalla chatbot hanno contenuti sessualmente inopportuni.
L’APP in questione è stata sviluppata per interfacciarsi con gli utenti e stimolarli dal punto di vista del loro umore e delle loro emozioni. Pertanto, secondo il Garante, le caratteristiche che sono emerse dalle indagini effettuate fino ad ora possono risultare idonee a aumentare i rischi anche per i soggetti emotivamente fragili.
In considerazione di tutto quanto sopra, il Garante ha ritenuto che la informativa privacy contenuta nel sito web dello sviluppatore non appare conforme ai principi e agli obblighi previsti dal Regolamento europeo per la protezione dei dati personali (GDPR) in tema di trasparenza del trattamento. Infatti, non è prevista alcuna informazione in ordine agli elementi essenziali del trattamento stesso con riferimento all’uso dei dati personali dei minori.
Tale mancanza di informazioni configura una possibile violazione dell’art. 13 del GDPR.
Inoltre, anche in considerazione dell’omessa informativa privacy (nei termini di cui sopra), non è possibile individuare la base giuridica che legittimerebbe il trattamento dei dati effettuato mediante l’APP. A tal proposito, il Garante ha precisato che, in ogni caso, trattandosi dei dati di minori di 18 anni, la base giuridica non può essere individuata nella disciplina del contratto tra utente e sviluppatore dell’APP. Ciò in quanto i minorenni non possono validamente concludere contratti per l’uso di servizi che comportano la messa a disposizione dei propri dati personali (come per l’app in questione).
Tale impossibilità di individuare la base giuridica, comporta anch’ essa una ulteriore possibile violazione della normativa in materia di protezione dei dati personali.
Potrebbero interessarti anche
3. La decisione del Garante
Il Garante per la protezione dei dati personali ha quindi ritenuto che le possibili violazioni della normativa in materia di privacy, imponga l’ adozione in via d’ urgenza della misura della limitazione provvisoria del trattamento dei dati personali, nei confronti della società che ha sviluppato l’APP (quale titolare del trattamento stesso).
Ciò detto, in considerazione del fatto che manca nell’ APP qualsiasi meccanismo volto a verificare l’età degli utenti registrati o che si registrano, il Garante ha ritenuto di estendere la limitazione provvisoria del trattamento dati a tutti i dati personali degli utenti che sono stabiliti nel territorio italiano e che tale limitazione abbia effetto immediato, fin dalla notifica del provvedimento stesso del Garante.
Tale provvedimento è stato adottato in via d’urgenza dal Garante e pertanto ha carattere cautelare, nell’attesa che si concluda il procedimento avviato nei confronti del titolare del trattamento, all’esito del quale (e quindi dopo aver completato in maniera definitiva l’istruttoria) il Garante potrà prendere ogni altra decisione ritenuta opportuna.
Infine, il Garante ha invitato il titolare del trattamento a comunicare, entro 20 giorni, le iniziative che lo stesso ha adottato per dare attuazione al provvedimento di limitazione del trattamento emanato dal Garante nonché a fornire ogni elemento utile a giustificare le violazioni riscontrate dal Garante.
5. Volume consigliato per approfondire
Sul GDPR e il funzionamento del Garante per la privacy consigliamo questo volume.
L’obiettivo di questo breve manuale è quello di analizzare la nuova legislazione, indicando, anche attraverso esempi pratici e schede di sintesi, i profili di maggior rilievo che professionisti e imprese devono considerare per adeguarsi alla normativa ed evitare di incorrere in gravose sanzioni.
Come applicare il GDPR e il codice privacy
Grazie al D.Lgs. n. 101/2018 è avvenuto l’adeguamento del nostro Codice privacy (D.Lgs. n. 196/2003) alle numerose modifiche introdotte dal Regolamento europeo 2016/679, noto anche come GDPR – General Data Protection Regulation. Con il decreto di adeguamento – entrato in vigore dal 19 settembre 2018 – il quadro può pertanto ritenersi completo e tutti gli enti, i professionisti e le società dovranno operare nel rispetto del GDPR e della disciplina contenuta nel Codice privacy, così come appena modificato. Ma quali incombenze e adempimenti ne deriveranno, in concreto? L’obiettivo di questo breve manuale è appunto quello di analizzare la nuova legislazione, indicando, anche attraverso esempi pratici e schede di sintesi, i profili di maggior rilievo che professionisti e imprese devono considerare per adeguarsi alla normativa ed evitare di incorrere in gravose sanzioni.Roberta Rapicavoli Avvocato, Master di primo livello in “Diritto delle tecnologie informatiche” organizzato dall’Osservatorio CSIG di Messina, esercita l’attività professionale nel settore della privacy, del diritto informatico e del diritto applicato a internet e alle nuove tecnologie. In tali settori del diritto presta assistenza e consulenza a imprese e professionisti. Si dedica ad attività divulgativa e formativa, pubblicando articoli e approfondimenti in materia di privacy e di diritto informatico su riviste di settore e siti web e partecipando, quale relatrice e docente, a eventi e corsi, organizzati in tutto il territorio nazionale, su tematiche attinenti alla protezione dei dati personali e sulle questioni di maggior interesse riguardanti il rapporto tra diritto e mondo del web e delle nuove tecnologie.
Roberta Rapicavoli | Maggioli Editore 2018
Scrivi un commento
Accedi per poter inserire un commento