Skip to content Skip to sidebar Skip to footer
RPLT RP legalitax
RPLT RP legalitax
Close
Privacy & Data Protection TMT - Technology, Media & Telecommunications

Garante Privacy: sanzione di 15 milioni di euro per violazioni privacy da parte di ChatGPT

Il Garante per la protezione dei dati personali (di seguito, “Garante Privacy”) è stato una tra le prime Data Protection Authorities europee ad intervenire sui rischi privacy legati all’intelligenza artificiale generativa. Nel 2023, l’Autorità ha infatti disposto la limitazione temporanea del trattamento dei dati personali dei cittadini italiani da parte di OpenAI, la società sviluppatrice di ChatGPT, dopo aver riscontrato diverse violazioni della normativa sulla protezione dei dati personali.

La conclusione dell’istruttoria così avviata ha comportato l’irrogazione di una sanzione di 15 milioni di euro nonché l’imposizione a OpenAI di una campagna informativa della durata di sei mesi.

  1. Premessa

Lo scorso anno, il Garante Privacy ha avviato un’istruttoria d’ufficio nei confronti di OpenAI a seguito di varie notizie stampa avevano reso noto un data breach nel quale erano state diffuse alcune conversazioni degli utenti con la chatbot contenenti i loro dati personali (come nome e cognome, indirizzo e-mail, le ultime quattro cifre e la scadenza della carta di credito utilizzata per il pagamento del servizio plus).

Tale istruttoria ha rilevato diverse violazioni privacy, tra cui: (i) l’assenza di una base giuridica per la raccolta e l’archiviazione dei dati di addestramento del modello di intelligenza artificiale;  (ii) l’inadeguatezza dell’informativa privacy resa agli utenti del servizio e l’assenza di qualsivoglia informativa rivolta agli ulteriori interessati i cui dati sono raccolti al fine dell’addestramento; (iii) la mancanza di un meccanismo di verifica dell’età degli utenti, con il rischio di esposizione dei minori a risposte inidonee rispetto al loro grado di sviluppo e autoconsapevolezza e (iv) l’inesattezza degli output generati da ChatGPT.

A fronte di tali criticità, il Garante Privacy ha adottato un provvedimento d’urgenza di limitazione provvisoria del trattamento dei dati personali degli utenti italiani fino a che OpenAI non si fosse conformata al GDPR. In seguito ai vari dialoghi con l’Autorità, OpenAI ha implementato una serie di misure – ancorché non risolutive – volte a rispettare le direttive del Garante e a garantire la privacy degli utenti di ChatGPT, consentendo il ripristino del servizio in Italia.

Conseguentemente a tale vicenda, il Garante Privacy ha aperto un’ulteriore istruttoria volta ad accertare se OpenAI abbia violato, e in che termini, i diritti privacy degli italiani. Così origina il provvedimento sanzionatorio, emanato il 2 novembre e reso noto il 20 dicembre, di seguito illustrato.

  1. Il provvedimento sanzionatorio
    • Mancata notifica del data breach

In primo luogo, il Garante Privacy ha contestato ad OpenAI la mancata tempestiva notifica del data breach che ha interessato ChatGPT. L’incidente, che ha determinato una compressione della confidenzialità delle chat degli utenti, avrebbe dovuto essere comunicato alle autorità competenti entro il termine di 72 ore dall’evento, come stabilito dall’art. 33 del GDPR.

In particolare, OpenAI ha informato dell’accaduto la sola autorità privacy irlandese, senza notificare l’evento direttamente al Garante Privacy nonostante l’incidente avesse riguardato anche utenti italiani. La società ha giustificato tale condotta sostenendo che, all’epoca dei fatti, stava ancora costituendo il suo stabilimento in Irlanda e che avrebbe comunicato l’incidente alle altre autorità tramite il sistema di “sportello unico”. Il Garante Privacy ha tuttavia rigettato tale argomentazione, sottolineando che, al momento dell’incidente, la società non aveva ancora una sede nell’UE e avrebbe dovuto notificare direttamente l’evento a tutte le autorità coinvolte, inclusa quella italiana.

  • Avvio del trattamento in assenza di una base giuridica

In secondo luogo, il Garante Privacy ha rilevato che OpenAI aveva dato inizio al trattamento dei dati personali per la finalità di addestramento di ChatGPT senza preventivamente individuare un’idonea base giuridica, in contrasto con gli artt. 5 e 6 del GDPR.

A fronte di tale rilievo, OpenAI ha sostenuto che, al momento di avvio delle attività, non fosse soggetta agli obblighi derivanti dal GDPR, non essendo ancora ChatGPT disponibile sul territorio europeo. La società ha inoltre affermato che, successivamente alla messa a disposizione del servizio in Europa, ha individuato come base giuridica il legittimo interesse.

Il Garante Privacy ha tuttavia contestato questa posizione, evidenziando che il servizio offerto fosse già idoneo a generare un impatto significativo sui diritti e sulle libertà degli interessati, in ragione tanto dell’innovatività e della complessità della tecnologia utilizzata quanto del numero degli interessati potenzialmente coinvolti. In tal senso, il Garante ha sottolineato che OpenAI non sia stata in grado di dimostrare e comprovare, in ottica accountability, di aver chiaramente individuato una base giuridica prima dell’inizio delle attività di addestramento di ChatGPT.

Per quanto riguarda la legittimità del trattamento basato sul legittimo interesse, l’Autorità ha trasmesso il caso all’Autorità irlandese, competente per la gestione del caso in ragione della sede di OpenAI in Irlanda.

  • Inadeguatezza dell’informativa

Il Garante Privacy ha inoltre contestato a OpenAI varie omissioni e carenze nell’informativa privacy vigente al 30 marzo 2023. Tra i principali rilievi, l’Autorità ha evidenziato che l’informativa era disponibile solo in inglese, difficilmente reperibile sul sito web e inadeguata. Infatti, le informazioni fornite da OpenAI riguardavano esclusivamente i dati personali necessari per l’utilizzo di ChatGPT, mentre non veniva offerta alcuna informazione, né agli utenti né agli ulteriori interessati, sul trattamento dei dati personali per l’addestramento dei modelli di intelligenza artificiale. A parere del Garante Privacy, inoltre, il linguaggio utilizzato era troppo generico e non spiegava chiaramente le finalità del trattamento e le modalità di funzionamento del servizio.

A fronte di ciò, OpenAI ha dichiarato di aver garantito la trasparenza nei rapporti con gli interessati con pop-up informativi e documenti tecnici come articoli e post online. Il Garante Privacy ha comunque rilevato che tali strumenti non soddisfino gli obblighi di trasparenza previsti dal GDPR, poiché non era ragionevole attendersi che gli interessati – soprattutto i non utenti – accedessero spontaneamente a questi documenti per informarsi sul trattamento dei loro dati personali. La mancata trasparenza ha dunque impedito agli interessati di comprendere e aspettarsi l’uso dei loro dati per l’addestramento di ChatGPT.

  • Assenza di un meccanismo di verifica dell’età degli utenti

Inoltre, l’istruttoria ha rilevato che, all’epoca delle contestazioni, ChatGPT non fosse dotata di alcun meccanismo di verifica dell’età degli utenti al momento della registrazione al servizio, nonostante i T&C prevedessero il consenso dei genitori o degli esercenti la responsabilità genitoriale per l’iscrizione degli utenti dai 13 ai 18 anni.

In tal modo, tutti gli utenti, compresi i minori d’età, potevano iscriversi al servizio ed utilizzarlo liberamente e OpenAI non era in grado di poter effettivamente verificare e di dimostrare la capacità negoziale degli stessi ai fini della validità del contratto.

Dopo le interlocuzioni avviate con il Garante Privacy nel 2023, OpenAI ha dapprima introdotto un sistema di age gate, consistente in un campo obbligatorio per l’inserimento della data di nascita nella pagina di registrazione del servizio e conseguente blocco della registrazione per gli utenti di età inferiore ai 13 anni e, successivamente, ha affidato l’attività di age verification a un fornitore terzo. Sarà tuttavia il Garante irlandese a valutare l’adeguatezza delle misure così implementate.

  • Inesattezza delle informazioni

Da ultimo, il Garante Privacy ha contestato a OpenAI come ChatGPT spesso produca output contenenti informazioni inesatte o non veritiere, in contrasto con il principio di esattezza dei dati.

A tal proposito, l’Autorità ha evidenziato come la complessità giuridica e tecnica legata all’accuratezza dei sistemi di intelligenza artificiale generativi sia al centro del dibattito accademico e istituzionale. Infatti, la questione è stata affrontata anche dall’European Data Protection Board, che ha sostenuto che l’obiettivo primario del trattamento dei dati effettuato da OpenAI sia quello di addestrare il modello di intelligenza artificiale che alimenta ChatGPT, piuttosto che fornire risposte effettivamente accurate. A causa della natura probabilistica di tali sistemi, gli output generati possono risultare distorti o influenzati da pregiudizi. Ciò nonostante, molti utenti finali tendono a percepire i risultati forniti da ChatGPT come attendibili. In tale contesto, è dunque fondamentale che OpenAI offra una chiara comunicazione sul funzionamento probabilistico del modello e sulla limitata affidabilità delle risposte generate, pur non sollevandosi così dall’obbligo di garantire l’accuratezza dei dati.

***

Alla luce delle violazioni riscontrate, il Garante Privacy ha irrogato a OpenAI una sanzione di 15 milioni di euro, anche tenuto conto dell’atteggiamento collaborativo della società, e ha imposto alla stessa di realizzare una campagna di comunicazione istituzionale di sei mesi, finalizzata a promuovere la comprensione e la consapevolezza dei cittadini in merito al funzionamento di ChatGPT e alle implicazioni connesse alla tutela dei dati personali.

Come anticipato, le valutazioni del Garante Privacy si limitano alle violazioni riscontrate nel corso dell’intervento del 2023, mentre sarà la Data Protection Authority irlandese, in qualità di autorità capofila, a pronunciarsi sull’adeguatezza delle misure privacy implementate da OpenAI allo stato attuale.

Tags:
Hide comments

Leave a comment

You May Also Like

TMT - Technology, Media & Telecommunications
Proprietà e paternità delle foto del profilo Facebook secondo il tribunale di Roma
TMT - Technology, Media & Telecommunications
Formazione | Ritorna il Corso “Coding for Lawyers & Legal Tech” dell’Università degli Studi di Milano
Privacy & Data Protection
Il Tribunale di Milano sconfessa il Garante sul diritto all’oblio e ordina la rimozione di un articolo non pertinente

La “Certificazione B Corporation” è un marchio che viene concesso in licenza da B Lab, ente privato no profit, alle aziende che, come la nostra, hanno superato con successo il B Impact Assessment (“BIA”) e soddisfano quindi i requisiti richiesti da B Lab in termini di performance sociale e ambientale, responsabilità e trasparenza.

Si specifica che B Lab non è un organismo di valutazione della conformità ai sensi del Regolamento (UE) n. 765/2008 o un organismo di normazione nazionale, europeo o internazionale ai sensi del Regolamento (UE) n. 1025/2012.

I criteri del BIA sono distinti e autonomi rispetto agli standard armonizzati risultanti dalle norme ISO o di altri organismi di normazione e non sono ratificati da parte di istituzioni pubbliche nazionali o europee.