Tech
Pubblicato il

ChatGPT pronta a tornare, ecco le 9 prescrizioni del Garante da adempiere entro il 30 aprile

Garante Privacy, Provvedimento n.114 del 11/04/2023

Dopo il recente incontro fra OpenAi e Garante della privacy, ChatGPT potrebbe tornare presto in Italia.

Il Garante della privacy,  con provvedimento dell'11 aprile 2023, ha infatti concesso a OpenAI, la società statunitense responsabile di ChatGPT, tempo fino al 30 aprile per conformarsi alle prescrizioni riguardanti l'informativa, i diritti degli interessati (utenti e non utenti) e la base giuridica del trattamento dei dati personali per l'addestramento degli algoritmi con i dati degli utenti. Se tali requisiti verranno rispettati, l'Autorità sospenderà il provvedimento di limitazione provvisoria del trattamento dei dati degli utenti italiani, permettendo a ChatGPT di tornare accessibile dall'Italia.

Entro la fine di aprile, OpenAI dovrà adottare 9 misure concrete:

  1. Predisporre e rendere disponibile sul proprio sito un'informativa trasparente riguardante il funzionamento di ChatGPT e i diritti degli utenti e interessati non utenti, facilmente accessibile e collocata in una posizione che consenta la lettura prima di procedere alla registrazione al servizio.
  2. Mettere a disposizione, sul proprio sito, uno strumento per permettere agli interessati di esercitare il diritto di opposizione ai trattamenti effettuati per l'addestramento degli algoritmi e l'erogazione del servizio.
  3. Offrire uno strumento sul sito, almeno agli interessati, anche diversi dagli utenti del servizio, che si collegano dall’Italia, per chiedere la correzione o cancellazione dei dati personali trattati in maniera inesatta.
  4. Inserire un link all'informativa durante il processo di registrazione, garantendo che gli utenti italiani la leggano prima di completare la registrazione.
  5. Modificare la base giuridica del trattamento dei dati personali degli utenti per l'addestramento algoritmico, eliminando ogni riferimento all'esecuzione di un contratto e scegliendo il consenso o il legittimo interesse come presupposto per il trattamento dei dati.
  6. Rendere disponibile, sul proprio sito, uno strumento facilmente accessibile attraverso il quale gli utenti possano esercitare il diritto di opposizione al trattamento dei propri dati per l'addestramento degli algoritmi, qualora la base giuridica scelta sia il legittimo interesse.
  7. Richiedere a tutti gli utenti italiani, inclusi quelli già registrati, di superare un age gate al primo accesso successivo all'eventuale riattivazione del servizio, escludendo gli utenti minorenni sulla base dell'età dichiarata.
  8. Sottoporre al Garante, entro il 31 maggio 2023, un piano di azione per l'adozione di strumenti di age verification, idonei a escludere l'accesso al servizio agli utenti infratredicenni e a quelli minorenni in assenza di un'espressa manifestazione di volontà da parte dei genitori. L'implementazione di tale piano dovrà avvenire, al più tardi, entro il 30 settembre 2023.
  9. Promuovere, entro il 15 maggio 2023, una campagna informativa non promozionale sui principali mezzi di comunicazione di massa italiani (radio, televisione, giornali e Internet), concordando i contenuti con il Garante, allo scopo di informare le persone sull'utilizzo dei loro dati personali e sulla disponibilità di strumenti per richiedere la cancellazione dei propri dati.

L'Autorità continuerà a verificare eventuali violazioni della normativa vigente da parte di OpenAI e si riserva di adottare ulteriori o diverse misure, se necessarie, a conclusione dell'istruttoria formale attualmente in corso.

Documenti correlati:

Condividi su FacebookCondividi su LinkedinCondividi su Twitter

[doc. web n. 9874702]

Gatante per la protezione dei dati personale, Provvedimento dell'11 aprile 2023

Registro dei provvedimenti
n. 114 dell'11 aprile 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il provvedimento n. 112 del 30 marzo 2023 di limitazione provvisoria di cui all’art. 58, par. 2, lett. f), del Regolamento, adottato nei confronti OpenAI L.L.C. (di seguito anche “Società”) dal Presidente in via d’urgenza, ai sensi dell’art. 5, comma 8, del Regolamento n. 1/2000 sull’organizzazione e il funzionamento dell’Ufficio del Garante, che è stato ratificato nella adunanza dell’8 aprile 2023;

VISTA l’e-mail del 3 aprile 2023 con la quale la Società ha espresso la disponibilità a un incontro con il Garante;

PRESO ATTO degli esiti della riunione svoltasi in teleconferenza tra il Collegio e i vertici della Società il giorno 5 aprile 2023;

VISTE le informazioni acquisite da OpenAI che, con le note del 6 e 7 aprile 2023, ha manifestato, tra l’altro, la disponibilità a collaborare con il Garante, chiedendo, altresì, la revoca del provvedimento di limitazione provvisoria del trattamento;

RITENUTO, a fronte delle informazioni acquisite e della disponibilità manifestata dalla Società a porre in essere una serie di misure concrete a tutela dei diritti e delle libertà degli interessati, i cui dati sono stati trattati per l’addestramento degli algoritmi strumentali all’erogazione del servizio ChatGPT, e degli utenti del servizio medesimo, fermo restando il naturale proseguimento dell’attività istruttoria avviata, di poter procedere a rivalutare la sussistenza dei presupposti del provvedimento di limitazione provvisoria, adottando le conseguenti determinazioni,  a condizione che OpenAI provveda ad attuare concretamente una serie di misure e prescrizioni di seguito specificamente individuate, che vengono ingiunte alla Società ai sensi dell’art. 58, par. 2, lett. d), del Regolamento:

1. predisporre e pubblicare sul proprio sito internet un’informativa che, nei termini e con le modalità di cui all’art. 12 del Regolamento, spieghi agli interessati anche diversi dagli utenti del servizio ChatGPT, i cui dati sono stati raccolti e trattati ai fini dell’addestramento degli algoritmi, le modalità del trattamento, la logica alla base del trattamento necessario al funzionamento del servizio, i diritti loro spettanti in qualità di interessati e ogni altra informazione prevista dal Regolamento;

2. mettere a disposizione, sul proprio sito Internet, almeno agli interessati, anche diversi dagli utenti del servizio, che si collegano dall’Italia, uno strumento attraverso il quale possano esercitare il diritto di opposizione rispetto ai trattamenti dei propri dati personali, ottenuti da terzi, svolti dalla società ai fini dell’addestramento degli algoritmi e dell’erogazione del servizio;

3. mettere a disposizione, sul proprio sito Internet, almeno agli interessati, anche diversi dagli utenti del servizio, che si collegano dall’Italia, uno strumento attraverso il quale chiedere e ottenere la correzione di eventuali dati personali che li riguardano trattati in maniera inesatta nella generazione dei contenuti o, qualora ciò risulti impossibile allo stato della tecnica, la cancellazione dei propri dati personali;

4. inserire un link all’informativa rivolta agli utenti dei propri servizi nel flusso di registrazione in una posizione che ne consenta la lettura prima di procedere alla registrazione, attraverso modalità tali da consentire a tutti gli utenti che si collegano dall’Italia, ivi inclusi quelli già registrati, al primo accesso successivo all’eventuale riattivazione del servizio, di prendere visione di tale informativa;

5. modificare la base giuridica del trattamento dei dati personali degli utenti ai fini dell’addestramento degli algoritmi, eliminando ogni riferimento al contratto e assumendo come base giuridica del trattamento il consenso o il legittimo interesse in relazione alle valutazioni di competenza della società in una logica di accountability;

6. mettere a disposizione, sul proprio sito Internet, almeno agli utenti del servizio, che si collegano dall’Italia, uno strumento facilmente accessibile attraverso il quale esercitare il diritto di opposizione al trattamento dei propri dati acquisiti in sede di utilizzo del servizio per l’addestramento degli algoritmi qualora la base giuridica prescelta ai sensi del punto 5 che precede sia il legittimo interesse;

7. in sede di eventuale riattivazione del servizio dall’Italia, inserire la richiesta, a tutti gli utenti che si collegano dall’Italia, ivi inclusi quelli già registrati, di superare, in sede di primo accesso, un age gate che escluda, sulla base dell’età dichiarata, gli utenti minorenni;

8. sottoporre al Garante, entro il 31 maggio 2023, un piano per l’adozione di strumenti di age verification idoneo a escludere l’accesso al servizio agli utenti infratredicenni e a quelli minorenni in assenza di un’espressa manifestazione di volontà da parte di chi esercita sugli stessi la responsabilità genitoriale. L’implementazione di tale piano dovrà decorrere, al più tardi, dal 30 settembre 2023;

9. promuovere, entro il 15 maggio 2023, una campagna di informazione, di natura non promozionale, su tutti i principali mezzi di comunicazione di massa italiani (radio, televisione, giornali e Internet) i cui contenuti andranno concordati con il Garante, allo scopo di informare le persone dell’avvenuta probabile raccolta dei loro dati personali ai fini dell’addestramento degli algoritmi, dell’avvenuta pubblicazione sul sito internet della Società di un’apposita informativa di dettaglio e della messa a disposizione, sempre sul sito internet della Società, di uno strumento attraverso il quale tutti gli interessati possono chiedere e ottenere la cancellazione dei propri dati personali;

RITENUTO che le prescrizioni di cui ai punti da 1 a 7 debbano essere integralmente adempiute non oltre il 30 aprile 2023;

RITENUTO, alle predette condizioni, di poter sospendere l’efficacia del proprio provvedimento di limitazione provvisoria a far data dall’adempimento delle prescrizioni da 1 a 7, con salvezza di ogni ulteriore intervento, anche di carattere urgente e temporaneo, nel caso di inidonea o insufficiente attuazione delle prescrizioni sopra indicate;

PRECISATO che le odierne decisioni vengono comunque assunte con salvezza di ogni ulteriore misura che si rendesse necessaria a conclusione della formale istruttoria in corso;

VISTA la documentazione in atti;

RELATORE il prof. Pasquale Stanzione;

TUTTO CIÒ PREMESSO IL GARANTE

a) ai sensi dell’art. 58, par. 2, lett. d), del Regolamento ingiunge ad OpenAI L.L.C., società statunitense sviluppatrice e gestrice di ChatGPT, in qualità di titolare del trattamento dei dati personali effettuato attraverso tale applicazione, entro i termini di cui alle premesse:

1. la predisposizione e pubblicazione sul proprio sito internet di un’informativa che, nei termini e con le modalità di cui all’art. 12 del Regolamento, spieghi agli interessati anche diversi dagli utenti del servizio ChatGPT, i cui dati sono stati raccolti e trattati ai fini dell’addestramento degli algoritmi, le modalità del trattamento, la logica alla base del trattamento necessario al funzionamento del servizio in tutte le diverse declinazioni (ChatGPT, API ecc.), i diritti loro spettanti in qualità di interessati e ogni altra informazione prevista dal Regolamento;

2. la messa a disposizione, sul proprio sito Internet, almeno agli interessati, anche diversi dagli utenti del servizio, che si collegano dall’Italia, di uno strumento attraverso il quale possano esercitare il diritto di opposizione rispetto ai trattamenti svolti dalla società ai fini dell’addestramento degli algoritmi e dell’erogazione del servizio;

3. la messa a disposizione, sul proprio sito Internet, almeno agli interessati, anche diversi dagli utenti del servizio, che si collegano dall’Italia, di uno strumento attraverso il quale chiedere e ottenere la correzione di eventuali dati personali che li riguardano trattati in maniera inesatta nella generazione dei contenuti o, qualora ciò risulti impossibile allo stato della tecnica, la cancellazione dei propri dati personali;

4. l’inserimento di un link all’informativa rivolta agli utenti dei propri servizi nel flusso di registrazione in una posizione che ne consenta la lettura prima di procedere alla registrazione facendo in modo che tutti gli utenti che si collegano dall’Italia, ivi inclusi quelli già registrati, al primo accesso successivo all’eventuale riattivazione del servizio, debbano prendere visione di tale informativa;

5. la modifica della base giuridica del trattamento dei dati personali degli utenti ai fini dell’addestramento algoritmico, eliminando ogni riferimento al contratto e assumendo come base giuridica del trattamento il consenso o il legittimo interesse in relazione alle valutazioni di competenza della società in una logica di accountability;

6. la messa a disposizione, sul proprio sito Internet, almeno agli utenti del servizio, che si collegano dall’Italia, di uno strumento facilmente accessibile attraverso il quale esercitare il diritto di opposizione al trattamento dei propri dati per l’addestramento degli algoritmi qualora la base giuridica prescelta ai sensi del punto 5 che precede sia il legittimo interesse;

7. in sede di eventuale riattivazione del servizio dall’Italia, la richiesta, a tutti gli utenti che si collegano dall’Italia, ivi inclusi quelli già registrati, di superare, in sede di primo accesso, un age gate che escluda, sulla base dell’età dichiarata, gli utenti minorenni;

8. la sottoposizione al Garante, entro il 31 maggio 2023, di un piano per l’adozione di strumenti di age verification idoneo a escludere l’accesso al servizio agli utenti infratredicenni e a quelli minorenni in assenza di un’espressa manifestazione di volontà da parte di chi esercita sugli stessi la responsabilità genitoriale. L’implementazione di tale piano dovrà decorrere, al più tardi, dal 30 settembre 2023;

9. la promozione, entro il 15 maggio 2023 di una campagna di informazione, di natura non promozionale, su tutti i principali mezzi di comunicazione di massa italiani (radio, televisione, giornali e Internet) i cui contenuti andranno concordati con il Garante allo scopo di informare le persone dell’avvenuta probabile raccolta dei loro dati personali ai fini dell’addestramento degli algoritmi, dell’avvenuta pubblicazione sul sito internet della società di un’apposita informativa di dettaglio e della messa a disposizione, sempre sul sito internet della società, di uno strumento attraverso il quale tutti gli interessati potranno chiedere e ottenere la cancellazione dei propri dati personali.

b) sospende il provvedimento di limitazione provvisoria adottato con deliberazione d’urgenza del Presidente n. 112 del 30 marzo 2023 e ratificato dal Collegio nell’adunanza dell’8 aprile 2023 a far data dall’adempimento delle prescrizioni di cui ai punti da 1 a 7 che precedono.

Le decisioni di cui ai punti precedenti sono assunte con piena salvezza di ogni attività di accertamento delle eventuali violazioni della disciplina vigente eventualmente poste in essere dal titolare del trattamento e di ogni ulteriore o diversa misura che si rendesse necessaria a conclusione della formale istruttoria in corso.

Il Garante, ai sensi dell’art. 58, par. 1, del Regolamento e dell’art. 157 del Codice invita il titolare del trattamento destinatario del provvedimento, altresì, a comunicare:

- entro il 30 aprile 2023, quali iniziative siano state intraprese al fine di dare attuazione a quanto prescritto ai punti da 1 a 7;

- entro le date previste per il loro adempimento quali iniziative siano state intraprese al fine di dare attuazione a quanto prescritto ai punti da 8 a 9.

- Si ricorda che il mancato riscontro alle richieste ai sensi dell’art. 58 del Regolamento è punito con la sanzione amministrativa di cui all'art. 83, par. 5, lett. e), del Regolamento medesimo.

Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del d. lg. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 11 aprile 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei

©2022 misterlex.it - [email protected] - Privacy - P.I. 02029690472