Il Garante Privacy ha adottato un provvedimento correttivo e sanzionatorio nei confronti di OpenAI in relazione alla gestione del servizio ChatGPT. Oltre a non aver notificato all’Autorità italiana la violazione dei dati subita nel marzo 2023, ha trattato i dati personali degli utenti per addestrare l’AI, senza aver prima individuato un’adeguata base giuridica.

Le violazioni contestate a OpenAI e le sanzioni del Garante Privacy

Il Garante per la protezione dei dati personali ha inflitto una sanzione di 15 milioni di euro a OpenAI, la società che gestisce il chatbot di intelligenza artificiale generativa ChatGPT. La decisione arriva al termine di un’istruttoria avviata nel marzo 2023 e in seguito al parere dell’EDPB (Comitato europeo per la protezione dei dati) che ha delineato un approccio comune alle questioni relative al trattamento dei dati personali nell’ambito dell’IA.

Il Garante ha accertato diverse violazioni da parte di OpenAI:

mancata notifica di data breach , cioè la società non ha notificato all’Autorità la violazione dei dati subita nel marzo 2023;

, cioè la società non ha notificato all’Autorità la violazione dei dati subita nel marzo 2023; trattamento illecito dei dati per l’addestramento dell’IA , perchè OpenAI ha utilizzato i dati personali degli utenti per addestrare ChatGPT senza una base giuridica adeguata, violando il principio di trasparenza e gli obblighi informativi verso gli utenti;

, perchè OpenAI ha utilizzato i dati personali degli utenti per addestrare ChatGPT senza una base giuridica adeguata, violando il principio di trasparenza e gli obblighi informativi verso gli utenti; assenza di meccanismi di verifica dell’età, cioèassenza di controlli sull’età espone i minori di 13 anni a contenuti potenzialmente inappropriati.

Come ha ricordato il presidente dell’EDPB Talus: “Le tecnologie di IA possono offrire molte opportunità e vantaggi a diversi settori e ambiti della vita. Dobbiamo garantire che queste innovazioni siano fatte in modo etico, sicuro e in un modo che vada a beneficio di tutti. L’EDPB intende sostenere l’innovazione responsabile in materia di IA garantendo la protezione dei dati personali e nel pieno rispetto del regolamento generale sulla protezione dei dati (RGPD)“.

Le misure impartite

Per garantire la trasparenza nel trattamento dei dati personali, il Garante ha imposto a OpenAI, avvalendosi per la prima volta dei nuovi poteri previsti dall’articolo 166 comma 7 del Codice Privacy, di realizzare una campagna di comunicazione istituzionale di sei mesi su radio, televisione, giornali e internet.

La campagna, i cui contenuti dovranno essere concordati con l’Autorità, avrà l’obiettivo di:

informare il pubblico sul funzionamento di ChatGPT, con particolare attenzione alla raccolta dei dati di utenti e non utenti per l’addestramento dell’IA generativa;

spiegare i diritti degli interessati, tra cui opposizione, rettifica e cancellazione dei dati;

sensibilizzare gli utenti e non utenti di ChatGPT su come opporsi all’utilizzo dei propri dati personali per l’addestramento dell’IA, mettendoli nelle condizioni di esercitare i propri diritti ai sensi del GDPR.

La sanzione e il ruolo dell’Autorità irlandese

Oltre alla campagna informativa, il Garante ha comminato a OpenAI una sanzione di 15 milioni di euro, tenendo conto dell’atteggiamento collaborativo della società durante l’istruttoria.

Poiché OpenAI ha stabilito in Irlanda il suo quartier generale europeo, il Garante, in conformità con il principio del “one-stop-shop” previsto dal GDPR, ha trasmesso gli atti del procedimento all’Autorità di protezione dati irlandese (DPC), che diventa l’autorità di controllo capofila. La DPC proseguirà l’istruttoria per eventuali violazioni continuative non esauritesi prima dell’apertura della sede europea.

Non solo ChatGPT, ma un precedente importante in generale per l’AI generativa

Il provvedimento del Garante Privacy rappresenta un importante precedente in materia di protezione dei dati personali nell’ambito dell’intelligenza artificiale generativa.

L’attenzione si concentra sulla trasparenza, sul consenso informato e sulla tutela dei minori, con l’obiettivo di garantire un utilizzo responsabile e consapevole di queste nuove tecnologie. La collaborazione tra le autorità europee, in particolare tra il Garante italiano e la DPC irlandese, sottolinea l’importanza di un approccio coordinato a livello europeo per la gestione delle sfide poste dall’IA.

La posizione di OpenAI

La risposta di OpenAI non si è fatta attendere, si legge in una nota ufficiale che “la decisione del Garante non è proporzionata e presenteremo ricorso. Quando il Garante ci ha ordinato di sospendere ChatGPT in Italia nel 2023, abbiamo collaborato con l’Autorità per renderlo nuovamente disponibile un mese dopo“.

“Già allora il Garante aveva riconosciuto il nostro ruolo da capofila per quanto riguarda la protezione dei dati nell’ambito dell’IA – continua il documento – e questa sanzione rappresenta circa venti volte il fatturato da noi generato in Italia nello stesso periodo. Riteniamo che l’approccio del Garante comprometta le ambizioni dell’Italia in materia di IA, ma rimaniamo impegnati a collaborare con le autorità preposte alla tutela della privacy in tutto il mondo per offrire un’IA capace di portare benefici alla società nel rispetto dei diritti della privacy”.

Questa indagine si concentra sul periodo novembre 2022 – marzo 2023, è specificato nella nota. Dal rilascio di ChatGPT nel novembre 2022, OpenAI ha reso ancora più facile per gli utenti l’accesso ai nostri strumenti per i dati, inserendoli nelle impostazioni di ChatGPT.

La società americana fa sapere che è stato lanciato anche un Privacy Center, all’indirizzo privacy.openai.com, dove gli utenti possono esercitare le loro preferenze sulla privacy e scegliere di non utilizzare i loro dati per l’addestramento dell’IA.

