Il Garante blocca ChatGPT. Raccolta illecita di dati personali e assenza di sistemi per la verifica dell’età dei minori spingono il Garante per la protezione dei dati personali ad emettere il provvedimento n. 112 del 30 marzo 2023.
Nel provvedimento, il Garante privacy rileva la mancanza di una informativa agli utenti e a tutti gli interessati i cui dati vengono raccolti da OpenAI, ma soprattutto l’assenza di una base giuridica che giustifichi la raccolta e la conservazione massiccia di dati personali, allo scopo di “addestrare” gli algoritmi sottesi al funzionamento della piattaforma.
Vediamo nel dettaglio i dati del provvedimento.
I motivi che hanno spinto il Garante allo stop
ChatGPT, il più noto tra i software di intelligenza artificiale relazionale in grado di simulare ed elaborare le conversazioni umane, il 20 marzo ha subito una perdita di dati (data breach) riguardanti le conversazioni degli utenti e le informazioni relative al pagamento degli abbonati al servizio a pagamento.
Da una verifica effettuata sul funzionamento del servizio di ChatGPT è emerso che non viene fornita alcuna informativa agli utenti, né agli interessati i cui dati vengono raccolti da OpenAI e trattati dal servizio ChatGPT, così come è assente una idonea base giuridica in relazione alla raccolta dei dati personali e al loro trattamento finalizzato all’addestramento degli algoritmi sottesi al funzionamento di ChatGPT.
Grande attenzione ai minori
OpenAI ha registrato più di un milione di interazioni sui social nel mese di Gennaio 2023, raddoppiando i numeri generati nell’intero quarto trimestre del 2022. Per ChatGPT, i numeri sono ancora più alti, con 9,2 milioni di action nel gennaio 2023 e un aumento del 330% rispetto al Q4 2022.
Il grande hype generato da ChatGPT ha spinto OpenAI.com tra i primi 150 siti e app più visitati in Italia, in particolare grazie agli uomini di età compresa tra 15 e 24 anni. Tuttavia, in termini di engagement, questo target ha speso in media solo 13,1 minuti al mese sul sito, significativamente meno delle 23 ore al mese trascorse su Tiktok o delle 11 ore al mese trascorse sul sito di YouTube. (Dati: Comscore)
Secondo l’istruttoria aperta dal Garante, il trattamento di dati personali degli interessati risulta inesatto in quanto le informazioni fornite da ChatGPT non sempre corrispondono al dato reale e viene evidenziata l’assenza di qualsiasi tipo di verifica dell’età degli utenti in relazione al servizio ChatGPT che, secondo i termini pubblicati da OpenAI L.L.C., è riservato a soggetti che abbiano compiuto almeno 13 anni.
Inoltre, l’assenza di filtri per i minori di 13 anni espone gli stessi a risposte assolutamente inidonee rispetto al grado di sviluppo e autoconsapevolezza degli stessi.
I termini giuridici della violazione
Si violano così gli artt. 5, 6, 8, 13 e 25 del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 e per il Garante si rende necessario disporre, ai sensi dell’art. 58, par. 2, lett. f), del Regolamento, in via d’urgenza, con effetto immediato, e nelle more del completamento della necessaria istruttoria rispetto a quanto sin qui emerso nei confronti di OpenAI L.L.C., la misura della limitazione provvisoria del trattamento, che si estende a tutti i dati personali degli interessati stabiliti nel territorio italiano.
E’ rilevante evidenziare che, in questo caso, ricorrono i presupposti per l’applicazione dell’art. 5, comma 8, del Regolamento n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante, ovvero che “Nei casi di particolare urgenza e di indifferibilità che non permettono la convocazione in tempo utile del Garante, il presidente può adottare i provvedimenti di competenza dell’organo, i quali cessano di avere efficacia sin dal momento della loro adozione se non sono ratificati dal Garante nella prima riunione utile, da convocarsi non oltre il trentesimo giorno” e che , in caso di inosservanza della misura disposta dal Garante, trova applicazione la sanzione penale di cui all’art. 170 del Codice e le sanzioni amministrative previste dall’art. 83, par. 5, lett. e), del Regolamento.
Il Garante ha invitato OpenAI L.L.C., società statunitense sviluppatrice e gestrice di ChatGPT, in qualità di titolare del trattamento destinatario del provvedimento, entro 20 giorni, a comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto prescritto e di fornire ogni elemento ritenuto utile a giustificare le violazioni evidenziate.
Si rimane in attesa di comprendere se, ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196) e 10 del d. lg. 1° settembre 2011, n. 150, avverso il provvedimento, OpenAI proporrà opposizione all’autorità giudiziaria ordinaria.
La sanzione
OpenAI, che non ha una sede nell’Unione europea, ha designato un rappresentante che dovrà comunicare entro 20 giorni le misure intraprese in attuazione di quanto richiesto dal Garante, pena una sanzione fino a 20 milioni di euro o fino al 4% del fatturato globale annuo.
