Il Garante per la protezione dei dati personali italiano ha disposto, con effetto immediato, la limitazione provvisoria del trattamento dei dati degli utenti italiani nei confronti di OpenAI, la società statunitense che ha sviluppato e gestisce la piattaforma ChatGPT (vedi il comunicatro del Garante).
La decisione è stata presa a seguito di una serie di violazioni delle normative sulla privacy e dell'assenza di sistemi per la verifica dell'età dei minori.
ChatGPT è un software di intelligenza artificiale relazionale, noto per la sua capacità di simulare ed elaborare le conversazioni umane. Tuttavia, il 20 marzo scorso, la piattaforma aveva subito una perdita di dati (data breach) riguardanti le conversazioni degli utenti e le informazioni relative ai pagamenti degli abbonati al servizio a pagamento.
Il provvedimento del Garante privacy evidenzia la mancanza di una corretta informativa agli utenti riguardo alla raccolta e all'utilizzo dei loro dati personali da parte di OpenAI, oltre all'assenza di una base giuridica che giustifichi la raccolta e la conservazione massiccia di tali dati, utilizzati per "addestrare" gli algoritmi sottesi al funzionamento della piattaforma.
Inoltre, le informazioni fornite da ChatGPT non sempre corrispondono ai dati reali, determinando così un trattamento inesatto dei dati personali degli utenti.
Un altro punto critico riguarda l'assenza di un filtro per la verifica dell'età degli utenti, nonostante il servizio sia rivolto, secondo i termini pubblicati da OpenAI, ai maggiori di 13 anni. Tale mancanza espone i minori a risposte inidonee rispetto al loro grado di sviluppo e autoconsapevolezza.
OpenAI, che non ha una sede nell'Unione europea ma ha designato un rappresentante nello Spazio economico europeo, è tenuta a comunicare entro 20 giorni le misure intraprese in attuazione delle richieste del Garante. In caso di mancato rispetto delle disposizioni, la società rischia una sanzione fino a 20 milioni di euro o fino al 4% del fatturato globale annuo.
[doc. web n. 9870832]
Garante Privacy, Provvedimento del 30 marzo 2023
Registro dei provvedimenti
n. 112 del 30 marzo 2023
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito, “Regolamento”);
VISTO altresì il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196);
PRESO ATTO dei numerosi interventi dei media relativamente al funzionamento del servizio di ChatGPT;
RILEVATO, da una verifica effettuata in merito, che non viene fornita alcuna informativa agli utenti, né agli interessati i cui dati sono stati raccolti da OpenAI, L.L.C. e trattati tramite il servizio di ChatGPT;
RILEVATA l’assenza di idonea base giuridica in relazione alla raccolta dei dati personali e al loro trattamento per scopo di addestramento degli algoritmi sottesi al funzionamento di ChatGPT;
RILEVATO che il trattamento di dati personali degli interessati risulta inesatto in quanto le informazioni fornite da ChatGPT non sempre corrispondono al dato reale;
RILEVATO, inoltre, l’assenza di qualsivoglia verifica dell’età degli utenti in relazione al servizio ChatGPT che, secondo i termini pubblicati da OpenAI L.L.C., è riservato a soggetti che abbiano compiuto almeno 13 anni;
CONSIDERATO che l’assenza di filtri per i minori di età di 13 anni espone gli stessi a risposte assolutamente inidonee rispetto al grado di sviluppo e autoconsapevolezza degli stessi;
RITENUTO pertanto che nella situazione sopra delineata, il trattamento dei dati personali degli utenti, compresi i minori, e degli interessati i cui dati sono utilizzati dal servizio si ponga in violazione degli artt. 5, 6, 8, 13 e 25 del Regolamento;
RAVVISATA, pertanto, la necessità di disporre, ai sensi dell’art. 58, par. 2, lett. f), del Regolamento - in via d’urgenza e nelle more del completamento della necessaria istruttoria rispetto a quanto sin qui emerso nei confronti di OpenAI L.L.C., società statunitense sviluppatrice e gestrice di ChatGPT, la misura della limitazione provvisoria del trattamento;
RITENUTO che, in assenza di qualsivoglia meccanismo di verifica dell’età degli utenti, nonché, comunque, del complesso delle violazioni rilevate, detta limitazione provvisoria debba estendersi a tutti i dati personali degli interessati stabiliti nel territorio italiano;
RITENUTO necessario disporre la predetta limitazione con effetto immediato a decorrere dalla data di ricezione del presente provvedimento, riservandosi ogni altra determinazione all’esito della definizione dell’istruttoria avviata sul caso;
RICORDATO che, in caso di inosservanza della misura disposta dal Garante, trova applicazione la sanzione penale di cui all’art. 170 del Codice e le sanzioni amministrative previste dall’art. 83, par. 5, lett. e), del Regolamento;
RITENUTO, in base a quanto sopra descritto, che ricorrano i presupposti per l’applicazione dell’art. 5, comma 8, del Regolamento n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante, il quale prevede che «Nei casi di particolare urgenza e di indifferibilità che non permettono la convocazione in tempo utile del Garante, il presidente può adottare i provvedimenti di competenza dell'organo, i quali cessano di avere efficacia sin dal momento della loro adozione se non sono ratificati dal Garante nella prima riunione utile, da convocarsi non oltre il trentesimo giorno»;
VISTA la documentazione in atti;
TUTTO CIÒ PREMESSO IL GARANTE:
a) ai sensi dell’art. 58, par. 2, lett. f), del Regolamento dispone, in via d’urgenza, nei confronti di OpenAI L.L.C., società statunitense sviluppatrice e gestrice di ChatGPT, in qualità di titolare del trattamento dei dati personali effettuato attraverso tale applicazione, la misura della limitazione provvisoria, del trattamento dei dati personali degli interessati stabiliti nel territorio italiano;
b) la predetta limitazione ha effetto immediato a decorrere dalla data di ricezione del presente provvedimento, con riserva di ogni altra determinazione all’esito della definizione dell’istruttoria avviata sul caso.
Il Garante, ai sensi dell’art. 58, par. 1, del Regolamento (UE) 2016/679, invita il titolare del trattamento destinatario del provvedimento, altresì, entro 20 giorni dalla data di ricezione dello stesso, a comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto prescritto e di fornire ogni elemento ritenuto utile a giustificare le violazioni sopra evidenziate. Si ricorda che il mancato riscontro alla richiesta ai sensi dell’art. 58 è punito con la sanzione amministrativa di cui all'art. 83, par. 5, lett. e), del Regolamento (UE) 2016/679.
Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del d. lg. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.
In Roma, 30 marzo 2023
IL PRESIDENTE
Stanzione