Con provvedimento n. 112 del 30 marzo 2023, il Garante per la protezione dei dati personali ha disposto l’immediata e provvisoria limitazione del trattamento di tutti i dati personali degli interessati stabiliti nel territorio italiano sulla piattaforma ChatGPT, il chatbot intelligente sviluppato e gestito dalla società statunitense OpenAI L.L.C..
Il caso si è aperto a seguito di un data breach, ossia un incidente di sicurezza, che OpenAI ha subito durante lo scorso mese di marzo, e che ha comportato la fuoriuscita dei dati personali e dei dati delle carte di credito di circa l’1% degli abbonati al servizio. Nonostante la società si fosse subito adoperata per far rientrare la problematica, l’evento è stato subito posto all’attenzione del Garante italiano.
Il Garante, quindi, preso atto dei numerosi interventi dei media relativamente al funzionamento del servizio di ChatGPT, ha disposto il blocco momentaneo del trattamento dei dati da parte di OpenAI, che ricordiamo essere una società statunitense che non ha una sede nell’Unione Europea, ma ha designato un rappresentante nello Spazio Economico Europeo. Difatti, l’applicazione del Regolamento (UE) 2016/679 (GDPR) si estende anche a soggetti che non sono stabiliti nell’Unione, laddove offrano beni o prestino servizi ad utenti che si trovino comunque nell’Unione (art. 3, par. 2, lett. a del GDPR). Ebbene, nel caso in commento, il Garante è intervenuto nei confronti di OpenAI in quanto, pur avendo sede il titolare del trattamento al di fuori dell’Unione Europea, i soggetti interessati, ovverosia gli utenti italiani, si trovano comunque nell’Unione.
In particolare, la ragione per cui l’Autorità italiana è intervenuta nei confronti di OpenAI, con un provvedimento d’urgenza ai sensi dell’art. 58, par. 2, lett. f), del GDPR, concerneva le modalità di raccolta dei dati ed il relativo trattamento.
Anzitutto, il Garante ha riscontrato che il trattamento dei dati personali degli utenti effettuato da OpenAI avveniva in assenza di un’informativa ai sensi dell’art. 13 del GDPR, ove si prevede che il titolare del trattamento debba fornire all’interessato una serie di informazioni al momento della raccolta dei dati. Inoltre, l’Autorità aveva rilevato che le informazioni fornite da ChatGPT non sempre corrispondevano al dato reale, determinando quindi un trattamento di dati personali inesatto.
Non solo. Il Garante ha, altresì, rilevato l’assenza di un’idonea base giuridica del trattamento e, pertanto, la violazione dell’art. 6 del GDPR, con conseguente illiceità del trattamento svolto. Altro elemento evidenziato dal Garante nel provvedimento in commento è la violazione dell’art. 8 del GDPR. L’Autorità, infatti, ha riscontrato l’assenza di qualsivoglia sistema di filtraggio e controllo per verificare l’età degli utenti del servizio di ChatGPT che, secondo i termini pubblicati da OpenAI, sarebbe riservato a soggetti che abbiano compiuto almeno 13 anni.
Pertanto, a seguito di un confronto con i rappresentanti della società statunitense, con successivo provvedimento n. 114 dell’11 aprile 2023, l’Autorità italiana ha ingiunto ad OpenAI, affinchè fosse sospeso il provvedimento di limitazione provvisoria del trattamento, di adottare, entro il 30 aprile 2023, tutta una serie di misure concrete a tutela dei diritti degli utenti che si collegano dall’Italia. Tra queste, la predisposizione e messa a disposizione degli utenti, sul proprio sito web, di un’informativa trasparente e facilmente accessibile; l’eliminazione, quanto alla base giuridica del trattamento, di ogni riferimento relativo all’esecuzione di un contratto e l’indicazione, invece, del consenso o del legittimo interesse quale presupposto per il trattamento dei dati; la messa a disposizione degli interessati di strumenti utili a consentire loro di chiedere la rettifica dei dati personali inesatti o la cancellazione degli stessi, nonché l’esercizio del diritto di opposizione al trattamento. Quanto, invece, alla verifica dell’età dei minori, l’Autorità ha ingiunto ad OpenAI di sottoporle, entro il 31 maggio 2023, un piano di azione che preveda l’implementazione di un sistema di age verification che escluda l’accesso al servizio degli utenti infratredicenni ed ai minorenni in assenza del consenso dei genitori.
OpenAI, in ottemperanza al recente provvedimento del Garante, ha riaperto la piattaforma in Italia e introdotto una serie di misure volte ad ottemperare alle richieste dell’Autorità e, in particolare: ha predisposto e pubblicato sul proprio sito un’accurata informativa rivolta ad utenti e non del servizio di chatbot, volta a fornire agli interessati una dettagliata descrizione dei dati trattati e delle modalità di trattamento degli stessi, nello specifico per l’addestramento dell’algoritmo: ricordiamo, infatti, che Chat GPT è un chatbot basato su un apprendimento automatico. OpenAI, inoltre, ha ampliato l’informativa privacy riservata agli utenti del servizio, prevedendo la possibilità per gli interessati di far cancellare le informazioni ritenute errate (vista l’impossibilità tecnica, allo stato, di correggere gli errori) ed ha implementato una procedura per l’esercizio del diritto di opposizione; ha, infine, previsto un blocco alla registrazione per gli utenti infratredicenni e, per gli ultratredicenni ma minorenni, la conferma circa il consenso dei genitori per l’utilizzo del servizio.
Tuttavia, il percorso di adeguamento di OpenAI alla normativa europea sulla privacy non si è ancora concluso, dovendo la società statunitense ottemperare anche alle ulteriori richieste previste nel provvedimento del Garante dell’11 aprile 2023, tra cui l’implementazione di un sistema di verifica dell’età. L’Autorità proseguirà, pertanto, nell’attività istruttoria e nel lavoro svolto nell’ambito della task force su ChatGPT appositamente costituita in seno al Comitato Europeo per la protezione dei dati (EDPB), nell’auspicio che il progresso tecnologico possa essere coniugato con il rispetto dei diritti degli utenti.