27 Gen Trattamento di dati personali e IA generativa: il provvedimento OpenAI
Autori: Francesco Torlontano, Laura Senatore, Lorenzo Covello
Il provvedimento emesso nei confronti di OpenAI, società che ha sviluppato e gestisce la piattaforma ChatGPT, rappresenta l’esito di una complessa istruttoria avviata dall’Autorità garante nel marzo del 2023. L’attività di accertamento traeva origine da una serie di violazioni a suo tempo contestate, che avevano reso necessaria l’adozione, nell’immediatezza dei fatti, di un provvedimento urgente (cfr. provv. GPDP n. 114 dell’11 aprile 2023) volto a limitare provvisoriamente il trattamento dei dati personali degli utenti italiani di ChatGPT. Con il citato provvedimento venivano altresì prescritte alcune misure correttive tese a rendere conformi alla normativa sulla protezione dei dati personali le attività di trattamento che riguardano gli interessati che utilizzano ChatGPT.
Le violazioni contestate a OpenAI
Le numerose violazioni oggetto di accertamento da parte dell’Autorità di Controllo italiana all’esito della sopra richiamata istruttoria attengono a diversi aspetti relativi ai trattamenti effettuati tramite ChatGPT. Nello specifico, le principali violazioni contestate a OpenAI nel provvedimento sanzionatorio qui esaminato sono le seguenti:
-
-
- violazione dell’art. 33 del GDPR per omessa notifica del data breach occorso il 20 marzo 2023, che aveva coinvolto utenti italiani della piattaforma ChatGPT;
- violazione degli artt. 5, par. 2 e 6 del GDPR per non aver dimostrato di aver individuato, in ottemperanza al principio di accountability, una base giuridica del trattamento dei dati personali degli utenti per l’addestramento degli algoritmi di IA di ChatGPT prima dell’inizio del trattamento;
-
-
-
- violazione degli artt. 5, par. 1, lett. a), 12 e 13 del GDPR per non aver fornito agli utenti un’idonea informativa contenente informazioni chiare, trasparenti e aggiornate circa il trattamento dei dati personali;
-
-
-
- violazione del principio di privacy by design (art. 25, par. 1 del GDPR), nonché degli artt. 8 e 24 del GDPR per non aver predisposto adeguati meccanismi diretti a verificare l’età degli utenti che utilizzano il servizio ChatGPT;
- violazione del principio di esattezza di cui all’art. 5, par. 1, lett. d) del GDPR, in quanto gli output generati da ChatGPT potevano risultare inesatti.
-
Le misure correttive imposte dall’Autorità garante
Rivestono particolare interesse le misure correttive imposte a OpenAI dal GPDP già con il provvedimento emesso in via d’urgenza, poi oggetto di ulteriore valutazione nell’ambito dell’istruttoria conclusa con il provvedimento n. 755 del 2024.
Tra queste, merita di essere segnalata l’applicazione per la prima volta, da parte dell’Autorità garante, dei poteri previsti dall’art. 166, comma 7 del Codice Privacy e, in particolare, della sanzione amministrativa accessoria dell’ingiunzione a realizzare una campagna di comunicazione istituzionale volta alla promozione della consapevolezza del diritto alla protezione dei dati personali. Nello specifico, il Garante italiano, allo scopo di garantire, innanzitutto, un’effettiva trasparenza del trattamento dei dati personali, ha ordinato a OpenAI di predisporre un piano di comunicazione di sei mesi su radio, televisioni, quotidiani e Internet, da avviare previa approvazione da parte dell’Autorità.
In questa sede appaiono meritevoli di segnalazione ulteriori aspetti che attengono alle misure correttive adottate da OpenAI in adempimento alle prescrizioni del Garante.
Oltre a provvedere all’aggiornamento e all’integrazione della propria privacy policy con informazioni dettagliate relative alle finalità di addestramento degli algoritmi e alle modalità e alla logica alla base del trattamento dei dati necessari al funzionamento di ChatGPT, la società OpenAI, in ossequio al principio di accountability, ha individuato il legittimo interesse quale base giuridica per il trattamento dei dati personali ai fini di addestramento degli algoritmi (l’Autorità garante aveva indicato il consenso dell’interessato o il legittimo interesse quali validi presupposti di legittimità del trattamento).
Inoltre, al fine di tutelare i dati personali dei minorenni, OpenAI ha implementato adeguati meccanismi di verifica dell’età degli utenti, come, ad esempio, un c.d. “age gate” che prevede la richiesta della data di nascita ai nuovi utenti e a quelli già registrati che si collegano alla piattaforma dall’Italia, in modo da escludere l’accesso, sulla base dell’età dichiarata, ai soggetti minori di 13 anni (età minima, questa, per l’utilizzo del servizio ChatGPT).
Sempre in relazione al trattamento dei dati personali degli utenti minorenni, OpenAI ha deciso di affidare l’attività di age verification a una terza parte certificata, la società Yoti Ltd. In particolare, le soluzioni adottate includono la verifica dell’età sulla base di una stima effettuata mediante un autoscatto (selfie) fornito dall’utente tramite l’App Yoti o il relativo sito oppure attraverso una scansione di un documento di identità dell’utente ed il calcolo dell’età ricavata dalla data di nascita.
Conclusione
Il provvedimento del GPDP rappresenta un importante precedente nella regolamentazione delle tecnologie basate sull’Intelligenza Artificiale nell’Unione Europea. Le misure sanzionatorie e prescrittive imposte a OpenAI non costituiscono solo un richiamo al rispetto rigoroso delle disposizioni in materia di protezione dei dati personali, ma anche un chiaro segnale alle imprese del settore tecnologico che l’innovazione non può prescindere dalla tutela dei diritti e delle libertà fondamentali degli interessati.