ChatGPT, il Garante privacy notifica a OpenAI un atto di contestazione

Il Garante per la protezione dei dati personali ha notificato a OpenAI l’atto di contestazione per aver violato la normativa in materia di protezione dei dati personali.

29 Gennaio 2024 17:57
Foto di Donatella Maisto

Donatella Maisto

Esperta in digital trasformation e tecnologie emergenti

Dopo 20 anni nel legal e hr, si occupa di informazione, ricerca e sviluppo. Esperta in digital transformation, tecnologie emergenti e standard internazionali per la sostenibilità, segue l’Innovation Hub della Camera di Commercio italiana per la Svizzera. MIT Alumni.

ChatGPT, il Garante privacy notifica a OpenAI un atto di contestazione
Fonte: Ansa

Mentre l’UE è impegnata con l’AI Act imponendo un perimetro sempre più definito per le AI di uso generale con impatto sulla popolazione interviene, nuovamente, il nostro garante per la Privacy sulla questione ChatGPT.

Il nuovo intervento dell’Authority è arrivato a seguito del provvedimento di limitazione provvisoria del trattamento, adottato dal Garante nei confronti della Società lo scorso 30 marzo, e all’esito dell’istruttoria svolta. L’Autorità ha ritenuto che gli elementi acquisiti possano configurare uno o più illeciti rispetto a quanto stabilito dal Regolamento UE, come comunicato in una nota appena rilasciata dall’Ufficio Stampa del Garante.

Ripercorriamo, però, gli accadimenti per comprendere cosa potrebbe accadere se OpenAI non comunicasse opportunamente le proprie memorie difensive in merito alle presunte violazioni contestate.

Stop a ChatGPT in Italia nel 2023

Il 31 Marzo 2023 il Garante per la protezione dei dati personali aveva disposto, con effetto immediato, la limitazione provvisoria del trattamento dei dati degli utenti italiani nei confronti di OpenAI, aprendo contestualmente un’istruttoria.
Nel provvedimento, il Garante privacy rilevava la mancanza di una informativa agli utenti e a tutti gli interessati i cui dati venivano raccolti da OpenAI, ma soprattutto l’assenza di una base giuridica che giustificasse la raccolta e la conservazione massiccia di dati personali, allo scopo di “addestrare” gli algoritmi sottesi al funzionamento della piattaforma.
Inoltre, nonostante secondo i termini pubblicati da OpenAI, il servizio fosse rivolto ai maggiori di 13 anni, l’Autorità evidenziava come l’assenza di qualsivoglia filtro per la verifica dell’età degli utenti esponesse i minori a risposte assolutamente inidonee rispetto al loro grado di sviluppo e autoconsapevolezza.

Il provvedimento dell’11 Aprile 2023

Dopo la riunione svoltasi in teleconferenza tra il Collegio dell’Authority e i vertici di OpenAI, il 5 aprile 2023, e le informazioni acquisite da OpenAI che, con le note del 6 e 7 aprile 2023, aveva manifestato la disponibilità a collaborare con il Garante chiedendo, altresì, la revoca del provvedimento di limitazione provvisoria del trattamento, il Garante aveva predisposto un provvedimento a fronte delle informazioni acquisite e della disponibilità manifestata da OpenAI a porre in essere una serie di misure concrete a tutela dei diritti e delle libertà degli interessati, i cui dati sono stati trattati per l’addestramento degli algoritmi strumentali all’erogazione del servizio ChatGPT e degli utenti del servizio medesimo, fermo restando il naturale proseguimento dell’attività istruttoria avviata.

Il Garante si poneva nelle condizioni di rivalutare la sussistenza dei presupposti del provvedimento di limitazione provvisoria, a condizione che OpenAI provvedesse ad attuare concretamente una serie di misure e prescrizioni, tra le quali:

  1. predisporre e pubblicare sul proprio sito Internet un’informativa che, nei termini e con le modalità di cui all’art. 12 del Regolamento, spieghi agli interessati anche diversi dagli utenti del servizio ChatGPT, i cui dati sono stati raccolti e trattati ai fini dell’addestramento degli algoritmi, le modalità del trattamento, la logica alla base del trattamento necessario al funzionamento del servizio, i diritti loro spettanti in qualità di interessati e ogni altra informazione prevista dal Regolamento;
  2. mettere a disposizione, sul proprio sito Internet, almeno agli interessati, anche diversi dagli utenti del servizio, che si collegano dall’Italia, uno strumento attraverso il quale possano esercitare il diritto di opposizione rispetto ai trattamenti dei propri dati personali, ottenuti da terzi, svolti dalla società ai fini dell’addestramento degli algoritmi e dell’erogazione del servizio;
  3. mettere a disposizione, sul proprio sito Internet, almeno agli interessati, anche diversi dagli utenti del servizio, che si collegano dall’Italia, uno strumento attraverso il quale chiedere e ottenere la correzione di eventuali dati personali che li riguardano trattati in maniera inesatta nella generazione dei contenuti o, qualora ciò risulti impossibile allo stato della tecnica, la cancellazione dei propri dati personali;
  4. inserire un link all’informativa rivolta agli utenti dei propri servizi nel flusso di registrazione in una posizione che ne consenta la lettura prima di procedere alla registrazione, attraverso modalità tali da consentire a tutti gli utenti che si collegano dall’Italia, ivi inclusi quelli già registrati, al primo accesso successivo all’eventuale riattivazione del servizio, di prendere visione di tale informativa;
  5. modificare la base giuridica del trattamento dei dati personali degli utenti ai fini dell’addestramento degli algoritmi, eliminando ogni riferimento al contratto e assumendo come base giuridica del trattamento il consenso o il legittimo interesse in relazione alle valutazioni di competenza della società in una logica di accountability;
  6. mettere a disposizione, sul proprio sito Internet, almeno agli utenti del servizio, che si collegano dall’Italia, uno strumento facilmente accessibile attraverso il quale esercitare il diritto di opposizione al trattamento dei propri dati acquisiti in sede di utilizzo del servizio per l’addestramento degli algoritmi qualora la base giuridica prescelta ai sensi del punto 5 che precede sia il legittimo interesse;
  7. in sede di eventuale riattivazione del servizio dall’Italia, inserire la richiesta, a tutti gli utenti che si collegano dall’Italia, ivi inclusi quelli già registrati, di superare, in sede di primo accesso, un age gate che escluda, sulla base dell’età dichiarata, gli utenti minorenni;
  8. sottoporre al Garante, entro il 31 maggio 2023, un piano per l’adozione di strumenti di age verification idoneo a escludere l’accesso al servizio agli utenti infratredicenni e a quelli minorenni in assenza di un’espressa manifestazione di volontà da parte di chi esercita sugli stessi la responsabilità genitoriale. L’implementazione di tale piano dovrà decorrere, al più tardi, dal 30 settembre 2023;
  9. promuovere, entro il 15 maggio 2023, una campagna di informazione, di natura non promozionale, su tutti i principali mezzi di comunicazione di massa italiani (radio, televisione, giornali e Internet) i cui contenuti andranno concordati con il Garante, allo scopo di informare le persone dell’avvenuta probabile raccolta dei loro dati personali ai fini dell’addestramento degli algoritmi, dell’avvenuta pubblicazione sul sito internet della Società di un’apposita informativa di dettaglio e della messa a disposizione, sempre sul sito internet della Società, di uno strumento attraverso il quale tutti gli interessati possono chiedere e ottenere la cancellazione dei propri dati personali.

La Task Force su ChatGPT

A seguito del provvedimento di limitazione provvisoria del trattamento, adottato dal Garante per la protezione dei dati personali nei confronti di ChatGPT, i Garanti della privacy europei, riuniti nel Comitato europeo per la protezione dei dati (EDPB), hanno deciso di lanciare una task force su ChatGPT.

L’EDPB, ad Aprile 2023, infatti, ha adottato sia una decisione di risoluzione delle controversie sulla base dell’art. 65 GDPR relativo a un progetto di decisione del DPA IE sulla legalità dei trasferimenti di dati verso gli Stati Uniti da parte di Meta Platforms Ireland Limited (Meta IE) per il suo servizio Facebook e ha discusso l’azione esecutiva intrapresa dall’autorità italiana per la protezione dei dati contro l’Open AI sul servizio Chat GPT.

L’EDPB ha, quindi, successivamente deciso di avviare una task force dedicata con l’obiettivo di promuovere la cooperazione e lo scambio di informazioni su eventuali iniziative per l’applicazione del Regolamento europeo condotte dalle Autorità di protezione dati.

Cosa succede ora

OpenAI avrà 30 giorni per comunicare le proprie memorie difensive in merito alle presunte violazioni contestate.Nella definizione del procedimento il Garante terrà conto dei lavori in corso nell’ambito della speciale task force, istituita dal Board che riunisce le Autorità di protezione dati dell’Ue (EDPD), anche per agire in maniera coordinata e uniforme.
I membri del Collegio del Garante italiano, nella primavera del 2023, avevano precisato che in caso di conferma di uno o più illeciti da parte di OpenAI, il Garante avrebbe potuto adottare un provvedimento correttivo e OpenAi avrebbe potuto essere obbligata a cancellare i dati accumulati sugli utenti italiani, o non raccoglierne più in futuro.
Un’alternativa potrebbe anche essere una sanzione di natura economica, fino al 2 o al 4 percento del fatturato, a seconda della gravità dell’illecito.
Gli illeciti sono stati confermati da parte del Garante. Non resterà che attendere la fine del mese di Febbraio per comprendere le contromosse di OpenAI e comprendere cosa deciderà, di conseguenza, il Garante.