Intelligenza artificiale e Internet of Things - Il Garante privacy interviene bloccando l'App americana
La società destinataria del provvedimento è sviluppatrice di una c.d. chatbot, cioè di un software che simula ed elabora le conversazioni umane, consentendo agli utenti di interagire con interfaccia scritta e vocale, basata sull'intelligenza artificiale
Con provvedimento del 2 febbraio 2023, il Garante per la protezione dei dati personali ha disposto in via d'urgenza la limitazione provvisoria del trattamento dei dati personali degli utenti utilizzatori del prodotto di intelligenza artificiale commercializzato da una società statunitense.
In particolare, la società destinataria del provvedimento è sviluppatrice di una c.d. chatbot, cioè di un software che simula ed elabora le conversazioni umane, consentendo agli utenti di interagire con interfaccia scritta e vocale, basata sull'intelligenza artificiale.
La società sviluppatrice è quindi titolare del trattamento dei dati personali ai sensi del Regolamento UE 679/2016 (c.d. GDPR), tenuto conto che gli utilizzatori si trovano in territorio europeo e che l'ambito applicativo del GDPR si estende oltre ai confini europei, se il titolare del trattamento offre servizi all'interno dell'Unione o monitoria comportamenti dei soggetti che vi si trovano.Nel caso di specie, la chatbot genera un "amico virtuale" che l'utente può decidere di configurare come amico, partner romantico o mentore, implicando in tal modo un trattamento dei dati personali dell'utilizzatore.
L'"amico virtuale", presentato come in grado di migliorare il benessere emotivo dell'utente, aiuterebbe l'utente a comprendere i propri pensieri e calmare l'ansia, attraverso la gestione dello stress, la socializzazione e la ricerca dell'amore.
Nel provvedimento citato l'Autorità Garante ha ravvisato concreti rischi per i minori d'età e, più in generale, per le persone in stato di fragilità emotiva.
Secondo il Garante, infatti, intervenendo sull'umore della persona, il software presenta rischi significativi per i soggetti ancora in una fase di sviluppo o in stato di fragilità emotiva.
Il provvedimento in esame offre utili spunti per comprendere i limiti del trattamento di dati personali e gli accorgimenti che il titolare del trattamento stesso deve adottare quando, in ragione dei trattamenti effettuati, si imbatta in utenti minori di età o con fragilità emotive. In particolare, tenuto conto della tipologia di dati personali trattati e delle implicazioni, anche emotive, sottese, ad avviso del Garante il software in esame non è indicato per i minori di età.
Lo sviluppatore dovrà quindi prevedere un meccanismo di verifica dell'età, anche mediante filtri per i minori o blocchi dell'App di fronte a dichiarazioni in cui l'utente espliciti la propria minore età, oppure altre idonee misure.
Non è allora sufficiente che, durante la fase di creazione dell'account, la piattaforma si limiti a richiedere solo nome, e-mail e genere.
Si tratta di indicazioni utili e valevoli in tutti i casi di prodotti e servizi nell'ambito dell'intelligenza artificiale e del c.d. Internet of Things (IoT).
Nel caso esaminato dall'Autorità Garante, si è dunque ritenuto che il citato software contrasti con il Regolamento UE 679/2016, effettuando un trattamento di dati personali illecito in violazione del principio di trasparenza.
Alle considerazioni che precedono, l'Autorità Garante ha inoltre ritenuto che il minore fosse incapace di concludere un valido contratto con il fornitore del servizio.
Per i motivi sopra esposti l'Autorità Garante ha disposto con effetto immediato la limitazione provvisoria del trattamento dei dati, nei confronti della società statunitense che sviluppa e gestisce l'applicazione.
Nello stesso provvedimento il Garante chiede alla società statunitense di dare contezza delle azioni intraprese al fine di dare attuazione a quanto prescritto e di fornire ogni elemento ritenuto utile a giustificare le violazioni sopra evidenziate.
Se confermate, le contestazioni di cui sopra potrebbero indurre l'Autorità Garante a comminare sanzioni amministrative fino a 20 milioni di euro o, se superiore, di importo pari al 4% del fatturato mondiale totale annuo dell'esercizio precedente della società.
*a cura di Alessandro Candini, DigitalMediaLaws