Garante privacy multa Openai per 15 milioni per il trattamento dati di Chatgpt
L’azienda dovrà anche realizzare una campagna informativa di sei mesi: utenti e non-utenti dovranno essere sensibilizzati su come opporsi all’addestramento dell’intelligenza artificiale generativa con i propri dati personali
Il Garante per la protezione dei dati personali ha sanzionato con 15 milioni di euro OpenAI in relazione alla gestione del servizio ChatGPT. La somma, spiega una nota, è stata calcolata “anche tenendo conto dell’atteggiamento collaborativo della società”. In particolare, l’azienda statunitense che ha creato e gestisce il chatbot di intelligenza artificiale generativa, oltre a non aver notificato all’Autorità la violazione dei dati subita nel marzo 2023, ha trattato i dati personali degli utenti per addestrare ChatGPT senza aver prima individuato un’adeguata base giuridica e ha violato il principio di trasparenza e i relativi obblighi informativi nei confronti degli utenti. Per di più, OpenAI non ha previsto meccanismi per la verifica dell’età, con il conseguente rischio di esporre i minori di 13 anni a risposte inidonee rispetto al loro grado di sviluppo e autoconsapevolezza.
Il provvedimento, che accerta le violazioni a suo tempo contestate alla società californiana, arriva all’esito di un’istruttoria avviata nel marzo del 2023 e dopo che l’EDPB (Comitato europeo per la protezione dei dati) ha pubblicato il parere con il quale identifica un approccio comune ad alcune delle più rilevanti questioni relative al trattamento dei dati personali nel contesto della progettazione, sviluppo e distribuzione di servizi basati sull’intelligenza artificiale.
L’Autorità, con l’obiettivo di garantire innanzitutto un’effettiva trasparenza del trattamento dei dati personali, ha ordinato a OpenAI - utilizzando per la prima volta i nuovi poteri previsti dall’articolo 166 comma 7 del Codice Privacy - di realizzare una campagna di comunicazione istituzionale di 6 mesi su radio, televisione, giornali e Internet.
I contenuti, da concordare con l’Autorità, dovranno promuovere la comprensione e la consapevolezza del pubblico sul funzionamento di ChatGPT, in particolare sulla raccolta dei dati di utenti e non-utenti per l’addestramento dell’intelligenza artificiale generativa e i diritti esercitabili dagli interessati, inclusi quelli di opposizione, rettifica e cancellazione. Gli utenti e i non-utenti di ChatGPT dovranno essere sensibilizzati su come opporsi all’addestramento dell’intelligenza artificiale generativa con i propri dati personali e, quindi, essere effettivamente posti nelle condizioni di esercitare i propri diritti ai sensi del GDPR.
Infine, tenuto conto che la società, nel corso dell’istruttoria, ha stabilito in Irlanda il proprio quartier generale europeo, il Garante - in ottemperanza alla regola del c.d. one stop shop - ha trasmesso gli atti del procedimento all’Autorità di protezione dati irlandese (DPC), divenuta autorità di controllo capofila ai sensi del GDPR, affinché prosegua l’istruttoria in relazione a eventuali violazioni di natura continuativa non esauritesi prima dell’apertura dello stabilimento europeo.