Il Garante per la protezione dei dati personali ha imposto una multa di 15 milioni di euro a OpenAI, l’azienda creatrice di ChatGPT (da ieri disponibile anche su WhatsApp), per il trattamento improprio dei dati personali degli utenti. La decisione chiude un’indagine che si è sviluppata nel corso di più di un anno e mezzo e che aveva sollevato interrogativi sulla gestione dei dati nell’ambito dell’intelligenza artificiale e sul rispetto del Gdpr, la normativa europea che tutela la privacy. La sanzione, che ha tenuto conto della cooperazione della società, è accompagnata dall’ordine ad OpenAI di avviare una campagna di comunicazione istituzionale di sei mesi, utilizzando vari mezzi di comunicazione.
Le contestazioni del Garante a OpenAI
L’indagine, iniziata nel marzo 2023 a seguito di segnalazioni di violazioni della privacy, ha evidenziato due violazioni principali: la scarsa trasparenza nel trattamento dei dati e la mancanza di una base giuridica adeguata per il trattamento dei dati personali. In particolare, la società non ha fornito informazioni chiare su come i dati venissero utilizzati per addestrare il modello di intelligenza artificiale, creando confusione tra gli utenti e violando i principi di trasparenza richiesti dal Gdpr.
Inoltre, OpenAI ha impiegato la pratica del “web scraping”, ovvero il prelievo di dati pubblici dal web senza chiedere il consenso degli utenti. Questa pratica non è stata giustificata da una base giuridica adeguata, violando il principio che richiede una motivazione chiara e legittima per l’utilizzo dei dati personali.
Il Garante ha anche sottolineato che OpenAI non ha notificato la violazione dei dati subita nel marzo 2023 e ha trattato i dati senza una giustificazione legale. Contestata anche l’assenza di misure per verificare l’età degli utenti che esponeva i minori di 13 anni a risposte inappropriate per il loro sviluppo e autoconsapevolezza.
La collaborazione di OpenAI con le autorità
Nonostante le violazioni iniziali, OpenAI si è mostrata collaborativa, cercando di adeguarsi alle richieste del Garante e apportando modifiche al servizio, come l’introduzione di una versione “incognito” che consente agli utenti di disattivare la cronologia delle conversazioni e limitare l’utilizzo dei loro dati per addestrare il modello. Questi aggiustamenti hanno contribuito così a ridurre l’entità della multa.
Il Garante utilizza un nuovo strumento: campagna informativa obbligatoria per 6 mesi
Con questa istruttoria, il Garante ha introdotto una novità utilizzando uno strumento mai precedentemente impiegato. L’Autorità ha infatti applicato l’articolo 166 del Codice della Privacy, che consente di imporre campagne informative obbligatorie a chi viola le normative sulla protezione dei dati. In questo caso, è stata ordinata a OpenAI una campagna di sei mesi sui principali mezzi di comunicazione (radio, televisione, giornali e Internet) per garantire che gli utenti e i non-utenti di ChatGPT siano adeguatamente informati sui loro diritti, inclusa la possibilità di opporsi all’uso dei dati per l’addestramento dell’intelligenza artificiale, come previsto dal Gdpr.
Il principio del “One-Stop-Shop” e la responsabilità europea
Poiché OpenAI ha stabilito il proprio quartier generale europeo in Irlanda durante l’istruttoria, il Garante, in linea con il principio del “one stop shop” ha trasmesso il caso all’Autorità irlandese per la protezione dei dati (DPC). Questo principio permette alle aziende di risolvere le questioni relative alla privacy in un solo paese, dove è situata la loro sede principale, con la certezza che la soluzione sarà valida in tutta l’UE. L’Autorità irlandese, quindi come autorità di controllo principale ai sensi del Gdpr, proseguirà l’istruttoria per verificare eventuali violazioni continuative non risolte prima dell’apertura dello stabilimento europeo.
Il caso ChatGPT: un caso mondiale di privacy
Il conflitto tra il Garante italiano e OpenAI ha avuto inizio il 31 marzo 2023, quando l’Autorità italiana ha deciso di sospendere temporaneamente l’elaborazione dei dati degli utenti italiani di ChatGPT, a seguito di una fuga di dati. Questo intervento ha segnato l’inizio di una serie di misure adottate anche da altri paesi, tra cui Canada e Spagna, che hanno adottato provvedimenti simili. In risposta, OpenAI ha sospeso temporaneamente il servizio in Italia, per poi riattivarlo dopo aver introdotto modifiche, come la versione “incognito”.
Nel corso dell’anno, OpenAI ha continuato a collaborare con le autorità per risolvere le problematiche emerse, ma le violazioni iniziali non sono state completamente sanate, portando infine alla sanzione.
L’Ue e la sua battaglia per regolamentare l’IA
La sanzione a OpenAI arriva in un momento critico per l’intelligenza artificiale e la privacy, mentre le autorità europee cercano di definire un quadro normativo chiaro. Questo include l’approvazione dell’Ai Act, il primo regolamento dell’UE (approvato a marzo 2024) che regola in modo completo l’intelligenza artificiale. Composto da 85 articoli, l’Ai Act mira a garantire che l’IA rispetti i diritti e i valori europei, come sicurezza, privacy, trasparenza, non discriminazione e benessere sociale e ambientale.
In parallelo, il Comitato europeo per la protezione dei dati ha recentemente pubblicato un parere che analizza il rapporto tra privacy e AI sottolineando la necessità di garantire che i dati personali non vengano utilizzati in modo da identificare o tracciare le persone. In questo contesto, si pone l’accento sul fatto che i modelli di AI devono essere progettati per ridurre al minimo il rischio di identificazione degli utenti e sull’importanza di verificare la legittimità del trattamento dei dati.
