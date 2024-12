Il 20 dicembre 2024, il Garante per la protezione dei dati personali italiano ha concluso l’istruttoria nei confronti di OpenAI, la società statunitense che gestisce ChatGPT, imponendo una sanzione di 15 milioni di euro. Questa decisione rappresenta un caso rilevante nella regolamentazione delle tecnologie di intelligenza artificiale (IA), con implicazioni significative sia per le aziende tecnologiche che per i professionisti del diritto. Analizziamo nel dettaglio le motivazioni, le conseguenze e le possibili evoluzioni. Il volume “Il Regolamento Europeo sull’intelligenza artificiale” curato da Giuseppe Cassano ed Enzo Maria Tripodi si propone di rispondere proprio a queste sfide, offrendo ai professionisti del diritto un quadro completo e aggiornato delle nuove responsabilità giuridiche legate all’uso dell’Intelligenza Artificiale.

1. Le violazioni contestate a ChatGPT

L’istruttoria del Garante ha individuato tre principali violazioni della normativa sulla protezione dei dati personali, in particolare del Regolamento UE 2016/679 (GDPR):



a) Mancanza di una base giuridica per il trattamento dei dati personali

OpenAI ha utilizzato i dati personali degli utenti, inclusi quelli contenuti nelle conversazioni con ChatGPT, per addestrare e migliorare il modello senza una base giuridica adeguata. La raccolta e il trattamento di tali dati sono stati ritenuti non conformi all’art. 6 del GDPR, che richiede una base legittima (consenso, obbligo legale, necessità contrattuale, interesse legittimo, ecc.). Inoltre, è stata rilevata una violazione del principio di trasparenza previsto dagli artt. 5 e 13 GDPR, a causa dell’inadeguata informativa fornita agli utenti.



b) Assenza di meccanismi per la verifica dell’età

ChatGPT è stato accessibile senza restrizioni, anche a utenti di età inferiore ai 13 anni. Secondo il GDPR (art. 8), il trattamento dei dati personali di minori è soggetto a specifiche condizioni, tra cui il consenso esplicito dei genitori per utenti al di sotto di una determinata età. L’assenza di un sistema efficace di verifica ha esposto i minori a potenziali rischi.



c) Obblighi di trasparenza disattesi

Gli utenti non sono stati sufficientemente informati sui dettagli del trattamento dei dati personali, incluse le finalità e i diritti esercitabili, come il diritto di rettifica, cancellazione e opposizione, in violazione degli artt. 13-14 GDPR.



2. La sanzione e gli altri provvedimenti imposti

La sanzione di 15 milioni di euro rappresenta un’ammenda significativa, che tiene conto non solo della gravità delle violazioni, ma anche del fatturato limitato di OpenAI in Italia. Oltre alla sanzione pecuniaria, il Garante ha ordinato: Realizzazione di una campagna di comunicazione istituzionale : OpenAI dovrà sensibilizzare il pubblico sulle modalità di trattamento dei dati da parte di ChatGPT, utilizzando radio, televisione, giornali e Internet per un periodo di sei mesi. Questa misura mira a informare gli utenti sui loro diritti ai sensi del GDPR.

: OpenAI dovrà sensibilizzare il pubblico sulle modalità di trattamento dei dati da parte di ChatGPT, utilizzando radio, televisione, giornali e Internet per un periodo di sei mesi. Questa misura mira a informare gli utenti sui loro diritti ai sensi del GDPR. Adozione di sistemi di verifica dell’età: OpenAI dovrà implementare strumenti per garantire che i minori di 13 anni non possano accedere al servizio senza il consenso dei genitori.

OpenAI dovrà implementare strumenti per garantire che i minori di 13 anni non possano accedere al servizio senza il consenso dei genitori. Revisione dell’informativa sulla privacy: il Garante ha richiesto una maggiore trasparenza, conformemente agli artt. 12 e 13 GDPR, e l’adeguamento delle procedure per consentire agli utenti di esercitare i propri diritti.

3. OpenAI e il ricorso contro la decisione

OpenAI ha contestato la sanzione, definendola sproporzionata. La società ha sottolineato che la multa è venti volte superiore al fatturato generato in Italia nel periodo di riferimento e ha espresso preoccupazione per l’impatto della decisione sulle ambizioni italiane nell’IA. Tuttavia, OpenAI ha ribadito la propria volontà di collaborare con le autorità per migliorare la conformità alle normative.

4. Analisi giuridica: i precedenti e le implicazioni

La decisione del Garante si colloca in un contesto di crescente attenzione normativa nei confronti delle tecnologie di IA. Questo caso si aggiunge a precedenti interventi di autorità garanti europee, come: Il provvedimento della CNIL (Francia) contro Google Analytics, che ha stabilito l’incompatibilità del trasferimento dati verso gli Stati Uniti con il GDPR;

Le sanzioni dell’ICO (Regno Unito) a piattaforme social per violazioni dei diritti dei minori. Il caso OpenAI evidenzia alcune criticità tipiche dell’IA generativa, tra cui: Difficoltà di applicazione del principio di minimizzazione dei dati (art. 5 GDPR) : Modelli come ChatGPT richiedono grandi quantità di dati per il training, spesso difficili da anonimizzare o ridurre.

5. Implicazioni per aziende e professionisti del settore

Questa decisione offre spunti di riflessione per le aziende e i professionisti legali: Conformità preventiva : Le imprese che sviluppano IA devono integrare valutazioni d’impatto sulla protezione dei dati (DPIA) nelle prime fasi del progetto, come richiesto dall’art. 35 GDPR.

: Le imprese che sviluppano IA devono integrare valutazioni d’impatto sulla protezione dei dati (DPIA) nelle prime fasi del progetto, come richiesto dall’art. 35 GDPR. Trasparenza come strategia : Fornire informative chiare e accessibili è non solo un obbligo legale, ma anche un fattore di fiducia per gli utenti.

: Fornire informative chiare e accessibili è non solo un obbligo legale, ma anche un fattore di fiducia per gli utenti. Protezione dei minori: I sistemi di verifica dell’età e i meccanismi di parental control devono essere implementati per evitare future sanzioni.

6. Il ruolo del Digital Services Act (DSA)

Dal 17 febbraio 2024, il Digital Services Act (DSA) si applica integralmente nell’UE. Pur non sovrapponendosi al GDPR, il DSA introduce obblighi specifici per le piattaforme digitali, come la valutazione e mitigazione dei rischi sistemici, che potrebbero incidere sull’operato di OpenAI in Europa.