È nota l’istruttoria del Garante per la protezione dei dati personali nei confronti di OpenAI, società statunitense che gestisce la piattaforma c.d. ChatGPT. Cerchiamo di riassumente i principali passaggi della vicenda:
- con Provvedimento del 30 marzo 2023 (Registro dei provvedimenti n. 112 del 30 marzo 2023), il Garante per la protezione dei dati personali ha disposto, con effetto immediato, la limitazione provvisoria del trattamento dei dati degli utenti italiani nei confronti di OpenAI. L’Autorità ha contestualmente aperto un’istruttoria.
Il provvedimento provvisorio dell’Autorità nasce dalla circostanza che ChatGPT, il più noto tra i software di intelligenza artificiale relazionale in grado di simulare ed elaborare le conversazioni umane, lo scorso 20 marzo aveva subito una perdita di dati (data breach) riguardanti le conversazioni degli utenti e le informazioni relative al pagamento degli abbonati al servizio a pagamento.
- Tuttavia, dopo che il “disservizio” ha sollevato alcune polemiche, il Garante, con provvedimento dell’11 aprile 2023, ha ritenuto di intervenire nuovamente sulla vicenda, prevedendo la possibilità per la società OpenAI di adempiere ad alcune prescrizioni al fine di ottenere la sospensione del provvedimento di limitazione provvisoria del trattamento dei degli utenti italiani preso nei confronti della società statunitense. Così ChatGPT potrà tornare accessibile dall’Italia.
OpenAI avrà tempo fino al 30 aprile per adempiere alle prescrizioni imposte dal Garante per la protezione dei dati personali riguardo a informativa, diritti degli interessati, utenti e non utenti, base giuridica del trattamento dei dati personali per l’addestramento degli algoritmi con i dati degli utenti.
- In data 13 aprile 2023, il Garante comunica che, a seguito del provvedimento di limitazione provvisoria del trattamento, i Garanti della privacy europei, riuniti nel Comitato europeo per la protezione dei dati (EDPB), hanno deciso di lanciare una task force su ChatGPT.
L’obiettivo della task force è di promuovere la cooperazione e lo scambio di informazioni su eventuali iniziative per l’applicazione del Regolamento europeo condotte dalle Autorità di protezione dati.
- Infine, in data 28 aprile il OpenAI, ha fatto pervenire al Garante per la protezione dei dati personali una nota nella quale illustra le misure introdotte in ottemperanza alle richieste dell’Autorità contenute nel provvedimento dello scorso 11 aprile, spiegando di aver messo a disposizione degli utenti e non utenti europei e, in alcuni casi, anche extra-europei, una serie di informazioni aggiuntive, di aver modificato e chiarito alcuni punti e riconosciuto a utenti e non utenti soluzioni accessibili per l’esercizio dei loro diritti. Alla luce di questi miglioramenti OpenAI ha reso nuovamente accessibile ChatGPT agli utenti italiani.
1. Il provvedimento di limitazione provvisoria: le motivazioni.
Nel provvedimento, il Garante privacy ha rilevato come la società OpenAI
- avesse omesso di implementare l’informativa relativa al trattamento dei dati per gli utenti e a tutti gli interessati i cui dati vengono raccolti;
- non avesse alcuna base giuridica idonea a giustificare la raccolta e la conservazione massiccia di dati personali, allo scopo di “addestrare” gli algoritmi sottesi al funzionamento della piattaforma.
Il Garante prosegue che, attraverso verifiche effettuate, le informazioni fornite da ChatGPT non sempre erano corrispondenti al dato reale, determinando quindi un trattamento di dati personali inesatto.
Da ultimo, nonostante – secondo i termini pubblicati da OpenAI – il servizio sia rivolto ai maggiori di 13 anni, l’Autorità ha evidenziato l’assenza di qualsivoglia filtro per la verifica dell’età degli utenti, che espone i minori a risposte assolutamente inidonee rispetto al loro grado di sviluppo e autoconsapevolezza.
OpenAI, che non ha una sede nell’Unione ma ha designato un rappresentante nello Spazio economico europeo, deve comunicare entro 20 giorni le misure intraprese in attuazione di quanto richiesto dal Garante, pena una sanzione fino a 20 milioni di euro o fino al 4% del fatturato globale annuo.
2. La limitazione provvisoria del trattamento dei dati ad opera del recente provvedimento dell’11 aprile 2023.
2.1. Informativa per il trattamento dei dati.
Il Garante ha chiesto alla società OpenAI di:
- predisporre e rendere disponibile sul proprio sito un’informativa trasparente, nei termini e con le modalità di cui all’art. 12 del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, (di seguito, “Regolamento” );, in cui siano illustrate modalità e logica alla base del trattamento dei dati necessari al funzionamento di ChatGPT nonché i diritti attribuiti agli utenti e agli interessati non utenti. L’informativa dovrà essere facilmente accessibile e collocata in una posizione che ne consenta la lettura prima di procedere all’eventuale registrazione al servizio.
- mettere a disposizione, sul proprio sito Internet, almeno agli interessati, anche diversi dagli utenti del servizio, che si collegano dall’Italia, uno strumento attraverso il quale possano esercitare il diritto di opposizione rispetto ai trattamenti dei propri dati personali, ottenuti da terzi, svolti dalla società ai fini dell’addestramento degli algoritmi e dell’erogazione del servizio;
- Presentare l’informativa, per gli utenti già registrati, l momento del primo accesso successivo alla riattivazione del servizio e, nella stessa occasione, superamento di un “age gate” che escluda, sulla base dell’età dichiarata, gli utenti minorenni.
2.2. Base giuridica
Quanto alla base giuridica del trattamento dei dati personali degli utenti per l’addestramento degli algoritmi, il Garante privacy ha ordinato a OpenAI di modificare la base giuridica del trattamento dei dati personali degli utenti ai fini dell’addestramento degli algoritmi, eliminando ogni riferimento al contratto e assumendo come base giuridica del trattamento il consenso o il legittimo interesse in relazione alle valutazioni di competenza della società in una logica di accountability.
2.3. Esercizio dei diritti
Ulteriori prescrizioni riguardano la messa a disposizione di strumenti utili per permettere agli interessati, anche non utenti, di chiedere la rettifica dei dati personali che li riguardano generati in modo inesatto dal servizio o la cancellazione degli stessi, nel caso la rettifica non fosse tecnicamente possibile.
OpenAI, inoltre, dovrà mettere a disposizione, sul proprio sito Internet, almeno agli utenti del servizio, che si collegano dall’Italia, uno strumento facilmente accessibile attraverso il quale esercitare il diritto di opposizione al trattamento dei propri dati acquisiti in sede di utilizzo del servizio per l’addestramento degli algoritmi qualora la base giuridica prescelta.
2.4. Tutela dei minori
Per quanto riguarda la verifica dell’età dei minori, oltre all’immediata implementazione di un sistema di richiesta dell’età ai fini della registrazione al l’Autorità ha ordinato di sottoporre al Garante, entro il 31 maggio 2023, un piano per l’adozione di strumenti di age verification idoneo a escludere l’accesso al servizio agli utenti infratredicenni e a quelli minorenni in assenza di un’espressa manifestazione di volontà da parte di chi esercita sugli stessi la responsabilità genitoriale.
L’implementazione di tale piano dovrà decorrere, al più tardi, dal 30 settembre 2023;
2.5. Campagna di informazione
Di concerto col Garante, entro il 15 maggio, OpenAI dovrà infine promuovere una campagna di informazione su radio, televisione, giornali e web per informare le persone sull’uso dei loro dati personali ai fini dell’addestramento degli algoritmi.
L’Autorità proseguirà nell’accertamento delle violazioni della disciplina vigente eventualmente poste in essere dalla società e si riserva l’adozione di ogni ulteriore o diversa misura che si rendesse necessaria a conclusione della formale istruttoria tuttora in corso.
3. La nuova task force da parte del Comitato europeo per la protezione dei dati personali.
Il più recente sviluppo di questa “saga”, come anche comunicato dall’Autorità italiana in data 13 aprile, è stata la costituzione di una “task force”, da parte del Comitato europeo per la protezione dei dati personali (EDPB), organo costituito dai Garanti della privacy europei e dal Garante europeo per la protezione dei dati.
I membri dell’EDPB hanno discusso la recente azione di enforcement intrapresa dall’autorità italiana per la protezione dei dati nei confronti di Open AI in merito al servizio Chat GPT.
L’EDPB ha deciso di lanciare una task force dedicata per promuovere la cooperazione e lo scambio di informazioni su eventuali azioni di enforcement condotte dalle autorità di protezione dei dati.
4. La risposta del Garante: fine della “saga”?
Come anticipato, OpenAI ha fatto pervenire al Garante per la protezione dei dati personali una nota nella quale illustra le misure introdotte in ottemperanza alle richieste dell’Autorità contenute nel provvedimento dello scorso 11 aprile, spiegando di aver messo a disposizione degli utenti e non utenti europei e, in alcuni casi, anche extra-europei, una serie di informazioni aggiuntive, di aver modificato e chiarito alcuni punti e riconosciuto a utenti e non utenti soluzioni accessibili per l’esercizio dei loro diritti.
OpenAI, in particolare, ha:
- predisposto e pubblicato sul proprio sito un’informativa rivolta a tutti gli utenti e non utenti, in Europa e nel resto del mondo, per illustrare quali dati personali e con quali modalità sono trattati per l’addestramento degli algoritmi e per ricordare che chiunque ha diritto di opporsi a tale trattamento;
- ampliato l’informativa sul trattamento dei dati riservata agli utenti del servizio rendendola ora accessibile anche nella maschera di registrazione prima che un utente si registri al servizio;
- riconosciuto a tutte le persone che vivono in Europa, anche non utenti, il diritto di opporsi a che i loro dati personali siano trattati per l’addestramento degli algoritmi anche attraverso un apposito modulo compilabile online e facilmente accessibile;
- ha introdotto una schermata di benvenuto alla riattivazione di ChatGPT in Italia, con i rimandi alla nuova informativa sulla privacy e alle modalità di trattamento dei dati personali per il training degli algoritmi;
- ha previsto per gli interessati la possibilità di far cancellare le informazioni ritenute errate dichiarandosi, allo stato, tecnicamente impossibilitata a correggere gli errori;
- ha chiarito, nell’informativa riservata agli utenti, che mentre continuerà a trattare taluni dati personali per garantire il corretto funzionamento del servizio sulla base del contratto, tratterà i loro dati personali ai fini dell’addestramento degli algoritmi, salvo che esercitino il diritto di opposizione, sulla base del legittimo interesse;
- ha implementato per gli utenti già nei giorni scorsi un modulo che consente a tutti gli utenti europei di esercitare il diritto di opposizione al trattamento dei propri dati personali e poter così escludere le conversazioni e la relativa cronologia dal training dei propri algoritmi;
- ha inserito nella schermata di benvenuto riservata agli utenti italiani già registrati al servizio un pulsante attraverso il quale, per riaccedere al servizio, dovranno dichiarare di essere maggiorenni o ultratredicenni e, in questo caso, di avere il consenso dei genitori;
- ha inserito nella maschera di registrazione al servizio la richiesta della data di nascita prevedendo un blocco alla registrazione per gli utenti infratredicenni e prevedendo, nell’ipotesi di utenti ultratredicenni ma minorenni che debbano confermare di avere il consenso dei genitori all’uso del servizio.
L’Autorità, con comunicato del 28 aprile 2023, ha espresso soddisfazione per le misure intraprese e ha auspicato che OpenAI, nelle prossime settimane, ottemperi alle ulteriori richieste impartitele con lo stesso provvedimento dell’11 aprile con particolare riferimento all’implementazione di un sistema di verifica dell’età e alla pianificazione e realizzazione di una campagna di comunicazione finalizzata a informare tutti gli italiani di quanto accaduto e della possibilità di opporsi all’utilizzo dei propri dati personali ai fini dell’addestramento degli algoritmi.
Infine, l’Autorità conclude affermando come proseguirà nell’attività istruttoria avviata nei confronti di OpenAI e nel lavoro che porterà avanti la apposita task force costituita in seno al Comitato che riunisce le Autorità per la privacy dell’Unione europea.
Avv. Adamo Brunetti
Per scaricare i documenti oggetto di commento, clicca qui: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9870847
ChatGPT: Garante privacy, limitazione provvisoria sospesa se OpenAI… – Garante Privacy