ChatGpt, le condizioni del Garante della Privacy

Chat Gpt, il Garante apre a OpenAI e detta 5 condizioni per essere GDPR compliant. Cosa succede ora

Foto di Donatella Maisto

Donatella Maisto

Esperta in digital trasformation e tecnologie emergenti

Dopo 20 anni nel legal e hr, si occupa di informazione, ricerca e sviluppo. Esperta in digital transformation, tecnologie emergenti e standard internazionali per la sostenibilità, segue l’Innovation Hub della Camera di Commercio italiana per la Svizzera. MIT Alumni.

Pubblicato: 13 Aprile 2023 09:38

Con il provvedimento dell’11 Aprile e la comunicazione del 12 Aprile il Garante per la privacy rivede la sua posizione in merito a ChatGpt, dettando delle condizioni riguardanti l’informativa, la base giuridica del trattamento dei dati personale, l’esercizio dei diritti, la tutela dei minori e la campagna di informazione. Ricostruiamo gli accadimenti recenti per capire cosa sta accadendo in queste ore e cosa potrebbe succedere nei prossimi giorni.

ChatGPT e Garante, cosa è successo

Il 30 marzo il Garante della Privacy con il provvedimento n. 12 sospende temporaneamente l’attività di ChatGPT.

Il 3 aprile 2023 OpenAI L.L.C., società statunitense che sviluppa e gestisce ChatGPT esprime la disponibilità a un incontro con il Garante, che apprezza la sollecitudine e la proattività della società statunitense e la sua apertura al dialogo.

Il 5 Aprile in videoconferenza si svolge la tanto attesa riunione tra il Collegio e i vertici di Open AI.

Il 6 e il 7 Aprile OpenAI invia due informative al nostro Garante, palesando la massima disponibilità a collaborare e chiedendo la revoca del provvedimento di limitazione provvisoria del trattamento.

Il Garante acquisisce le informazioni e la disponibilità di OpenAI a porre in essere una serie di misure concrete a tutela dei diritti e delle libertà degli interessati, i cui dati sono stati trattati per l’addestramento degli algoritmi strumentali all’erogazione del servizio ChatGPT, e degli utenti dello stesso servizio.

Sussistono, fermo restando il naturale proseguimento dell’attività istruttoria avviata, una serie di presupposti per poter procedere a rivalutare quanto indicato nel primo provvedimento, quello di limitazione provvisoria, a condizione che OpenAI provveda ad attuare concretamente una serie di misure e prescrizioni, che vengono ingiunte alla Società, ai sensi dell’art. 58, par. 2, lett. d), del Regolamento.

Le condizioni poste dal Garante della Privacy

In particolare, il Garante della Privacy richiede a OpenAI di:

  1. predisporre e pubblicare sul proprio sito internet un’informativa che, nei termini e con le modalità di cui all’art. 12 del Regolamento, spieghi agli interessati anche diversi dagli utenti del servizio ChatGPT, i cui dati sono stati raccolti e trattati ai fini dell’addestramento degli algoritmi, le modalità del trattamento, la logica alla base del trattamento necessario al funzionamento del servizio, i diritti loro spettanti in qualità di interessati e ogni altra informazione prevista dal Regolamento;
  2. mettere a disposizione, sul proprio sito Internet, almeno agli interessati, anche diversi dagli utenti del servizio, che si collegano dall’Italia, uno strumento attraverso il quale possano esercitare il diritto di opposizione rispetto ai trattamenti dei propri dati personali, ottenuti da terzi, svolti dalla società ai fini dell’addestramento degli algoritmi e dell’erogazione del servizio;
  3. mettere a disposizione, sul proprio sito Internet, almeno agli interessati, anche diversi dagli utenti del servizio, che si collegano dall’Italia, uno strumento attraverso il quale chiedere e ottenere la correzione di eventuali dati personali che li riguardano trattati in maniera inesatta nella generazione dei contenuti o, qualora ciò risulti impossibile allo stato della tecnica, la cancellazione dei propri dati personali;
  4. inserire un link all’informativa rivolta agli utenti dei propri servizi nel flusso di registrazione in una posizione che ne consenta la lettura prima di procedere alla registrazione, attraverso modalità tali da consentire a tutti gli utenti che si collegano dall’Italia, ivi inclusi quelli già registrati, al primo accesso successivo all’eventuale riattivazione del servizio, di prendere visione di tale informativa;
  5. modificare la base giuridica del trattamento dei dati personali degli utenti ai fini dell’addestramento degli algoritmi, eliminando ogni riferimento al contratto e assumendo come base giuridica del trattamento il consenso o il legittimo interesse in relazione alle valutazioni di competenza della società in una logica di accountability;
  6. mettere a disposizione, sul proprio sito Internet, almeno agli utenti del servizio, che si collegano dall’Italia, uno strumento facilmente accessibile attraverso il quale esercitare il diritto di opposizione al trattamento dei propri dati acquisiti in sede di utilizzo del servizio per l’addestramento degli algoritmi qualora la base giuridica prescelta sia il legittimo interesse;
  7. in sede di eventuale riattivazione del servizio dall’Italia, inserire la richiesta, a tutti gli utenti che si collegano dall’Italia, ivi inclusi quelli già registrati, di superare, in sede di primo accesso, un age gate che escluda, sulla base dell’età dichiarata, gli utenti minorenni;
  8. sottoporre al Garante, entro il 31 maggio 2023, un piano per l’adozione di strumenti di age verification idoneo a escludere l’accesso al servizio agli utenti infratredicenni e a quelli minorenni in assenza di un’espressa manifestazione di volontà da parte di chi esercita sugli stessi la responsabilità genitoriale.
  9. promuovere, entro il 15 maggio 2023, una campagna di informazione, di natura non promozionale, su tutti i principali mezzi di comunicazione di massa italiani (radio, televisione, giornali e Internet) i cui contenuti andranno concordati con il Garante, allo scopo di informare le persone dell’avvenuta probabile raccolta dei loro dati personali ai fini dell’addestramento degli algoritmi, dell’avvenuta pubblicazione sul sito internet della Società di un’apposita informativa di dettaglio e della messa a disposizione, sempre sul sito internet della Società, di uno strumento attraverso il quale tutti gli interessati possono chiedere e ottenere la cancellazione dei propri dati personali;

L’implementazione di tale piano, evidenzia il Garante, dovrà decorrere, al più tardi, dal 30 settembre 2023.

Cosa succede ora

Considerate queste premesse, oggetto del Provvedimento dell’11 aprile 2023 (Registro dei provvedimenti n. 114 dell’11 aprile 2023), il Garante per la Protezione dei Dati Personali sospende il provvedimento di limitazione provvisoria adottato con deliberazione d’urgenza del Presidente n. 112 del 30 marzo 2023 e ratificato dal Collegio nell’adunanza dell’8 aprile 2023 a far data dall’adempimento delle prescrizioni che precedono.

Il Garante, ai sensi dell’art. 58, par. 1, del Regolamento e dell’art. 157 del Codice invita il titolare del trattamento destinatario del provvedimento, altresì, a comunicare:

  • entro il 30 aprile 2023, quali iniziative siano state intraprese al fine di dare attuazione a quanto prescritto ai punti da 1 a 7;
  • entro le date previste per il loro adempimento quali iniziative siano state intraprese al fine di dare attuazione a quanto prescritto ai punti da 8 a 9.

Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del d. lg. 1° settembre 2011, n. 150, anche nei confronti di questo provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

OpenAI avrà, quindi, tempo fino al 30 aprile per adempiere alle prescrizioni imposte dal Garante per la protezione dei dati personali riguardo a informativa, diritti degli interessati, utenti e non utenti, base giuridica del trattamento dei dati personali per l’addestramento degli algoritmi con i dati degli utenti.

Solo allora, venendo meno le ragioni di urgenza, l’Autorità sospenderà il provvedimento di limitazione provvisoria del trattamento dei dati degli utenti italiani preso nei confronti della società statunitense e ChatGPT potrà tornare accessibile dall’Italia.