Stop del Garante a ChatGPT: rilevate violazioni della Privacy
Con provvedimento 112 del 30 marzo, il Garante per la protezione dei dati personali italiano si è pronunciato su ChatGPT, il più noto tra i software di intelligenza artificiale relazionale in grado di simulare ed elaborare le conversazioni umane.
Nei confronti di OpenAI, la società statunitense che gestisce la piattaforma nonché titolare del trattamento dei dati personali effettuato attraverso tale applicazione, il Garante Privacy ha disposto, in via d’urgenza, la limitazione provvisoria del trattamento dei dati degli utenti italiani.
La notizia è stata diffusa dalla stessa Autority, con comunicato del 31 marzo 2023, pubblicato sul proprio portale istituzionale.
Dal Garante, limitazione provvisoria e con effetto immediato del trattamento dei dati
Nella nota, viene evidenziato come la disposta limitazione abbia effetto immediato, con riserva, altresì “di ogni altra determinazione all’esito della definizione dell’istruttoria“, che, nel contempo, il Garante ha avviato sul caso esaminato.
ChatGPT, il 20 marzo scorso, aveva subito una perdita di dati (data breach) riguardanti conversazioni di utenti ed informazioni relative al pagamento degli abbonati.
L’Autorità, in tale contesto, ha rilevato la mancanza di un’informativa agli utenti e a tutti gli interessati i cui dati vengono raccolti nonché, soprattutto, di una base giuridica giustificativa della raccolta e della conservazione massiccia dei dati personali.
A seguito delle verifiche effettuate, inoltre, sarebbe emersa una non perfetta corrispondenza tra le informazioni fornite e il dato reale.
Assenti sistemi di verifica dell’età dei minori
Per di più, anche se il servizio risulta rivolto ai maggiori di 13 anni, non sarebbe stato ravvisato alcun filtro o sistema per la verifica dell’età degli utenti, cosicché i minori sarebbero esposti a risposte “assolutamente inidonee rispetto al loro grado di sviluppo e autoconsapevolezza”.
Con il provvedimento in parola, il Garante ha altresì invitato OpenAI a comunicare, entro 20 giorni dalla ricezione dello stesso, le iniziative intraprese al fine di dare attuazione a quanto prescritto e di fornire ogni elemento ritenuto utile a giustificare le violazioni evidenziate, il tutto a pena di una sanzione fino a 20milioni di euro o fino al 4% del fatturato globale annuo.
