Nel famoso provvedimento di “blocco”, di marzo 2023, per chatGPT del Garante Privacy, esistono altre violazioni della normativa sui dati che OpenAI non ha ancora risolto. Per questo motivo, oggi l’Autorità ha notificato alla società, che gestisce la piattaforma di intelligenza artificiale ChatGPT, l’atto di contestazione “per aver violato la normativa in materia di protezione dei dati personali”.
Violazione del GDPR, OpenAI ha 30 giorni di tempo per comunicare le memorie difensive
Quindi, dalla stessa indagine aperta a marzo scorso, l’Autorità ha ritenuto “che gli elementi acquisiti possano configurare uno o più illeciti rispetto a quanto stabilito dal Regolamento UE”. Ossia dal GDPR, che prevede, in caso di violazione, una sanzione fino a 20 milioni di euro o fino al 4% del fatturato globale annuo.
OpenAI, avrà 30 giorni per comunicare le proprie memorie difensive in merito alle presunte violazioni contestate. Il procedimento è molto complesso e nella sua definizione, il Garante terrà conto dei lavori in corso nell’ambito della speciale task force, istituita dal Board che riunisce le Autorità di protezione dati dell’Ue (Edpb).
Cosa contesta il Garante a OpenAI
Tra le violazioni contestate dal Garante a OpenAI per l’uso di chatGPT ci sono:
- la base legale. Manca ancora un’idonea base giuridica in relazione alla raccolta dei dati personali e al loro trattamento per scopo di addestramento degli algoritmi sottesi al funzionamento di ChatGPT.
- l’informativa. Prima dell’intervento del Garante italiano, non veniva fornita alcuna informativa agli utenti. Quella attuale non risulta quindi, conforme al GDPR.
- l’assenza di qualsivoglia verifica dell’età degli utenti in relazione al servizio ChatGPT che, secondo i termini pubblicati da OpenAI, è riservato a soggetti che abbiano compiuto almeno 13 anni. Ad oggi è sufficiente autocertificare la maggiore età con un semplice click. Ma OpenAI avrebbe dovuto implementare un sistema di age verification entro il 30 settembre 2023.
Allora perché poi chatGPT ha ottenuto il via libera dal Garante Privacy?
La domanda è pertinente. Se OpenAI continua a violare la normativa privacy, perché il Garante ha consentito il riutilizzo della piattaforma di intelligenza artificiale generativa in Italia?
OpenAI, in particolare, ha:
• predisposto e pubblicato sul proprio sito un’informativa rivolta a tutti gli utenti e non utenti, in Europa e nel resto del mondo, per illustrare quali dati personali e con quali modalità sono trattati per l’addestramento degli algoritmi e per ricordare che chiunque ha diritto di opporsi a tale trattamento;
• ampliato l’informativa sul trattamento dei dati riservata agli utenti del servizio rendendola ora accessibile anche nella maschera di registrazione prima che un utente si registri al servizio;
• riconosciuto a tutte le persone che vivono in Europa, anche non utenti, il diritto di opporsi a che i loro dati personali siano trattati per l’addestramento degli algoritmi anche attraverso un apposito modulo compilabile online e facilmente accessibile;
• ha introdotto una schermata di benvenuto alla riattivazione di ChatGPT in Italia, con i rimandi alla nuova informativa sulla privacy e alle modalità di trattamento dei dati personali per il training degli algoritmi;
• ha previsto per gli interessati la possibilità di far cancellare le informazioni ritenute errate dichiarandosi, allo stato, tecnicamente impossibilitata a correggere gli errori;
• ha chiarito, nell’informativa riservata agli utenti, che mentre continuerà a trattare taluni dati personali per garantire il corretto funzionamento del servizio sulla base del contratto, tratterà i loro dati personali ai fini dell’addestramento degli algoritmi, salvo che esercitino il diritto di opposizione, sulla base del legittimo interesse;
• ha implementato per gli utenti già nei giorni scorsi un modulo che consente a tutti gli utenti europei di esercitare il diritto di opposizione al trattamento dei propri dati personali e poter così escludere le conversazioni e la relativa cronologia dal training dei propri algoritmi;
• ha inserito nella schermata di benvenuto riservata agli utenti italiani già registrati al servizio un pulsante attraverso il quale, per riaccedere al servizio, dovranno dichiarare di essere maggiorenni o ultratredicenni e, in questo caso, di avere il consenso dei genitori;
• ha inserito nella maschera di registrazione al servizio la richiesta della data di nascita prevedendo un blocco alla registrazione per gli utenti infratredicenni e prevedendo, nell’ipotesi di utenti ultratredicenni ma minorenni che debbano confermare di avere il consenso dei genitori all’uso del servizio.
In conclusione, manca ancora l’implementazione di un sistema di verifica dell’età e la pianificazione e realizzazione di una campagna di comunicazione finalizzata a informare tutti gli italiani di quanto accaduto e della possibilità di opporsi all’utilizzo dei propri dati personali ai fini dell’addestramento degli algoritmi.