Il Garante per la protezione dei dati personali ha emesso una multa significativa nei confronti di OpenAI, società creatrice di ChatGPT, per presunte violazioni delle normative sulla gestione dei dati personali. L’importo della sanzione, pari a 15 milioni di euro, è stato stabilito considerando anche l’atteggiamento collaborativo mostrato dall’azienda durante le indagini.
Il procedimento, avviato nel marzo 2023, ha portato alla luce diverse problematiche nella gestione dei dati da parte di OpenAI. Tra le principali contestazioni, si evidenziano:
- Trattamento dei dati senza adeguata base giuridica: i dati personali degli utenti sono stati utilizzati per l’addestramento del modello di intelligenza artificiale senza che fossero garantite le necessarie tutele.
- Mancanza di trasparenza: l’azienda non ha fornito informazioni sufficienti agli utenti riguardo al trattamento dei loro dati, violando così i principi del Regolamento generale sulla protezione dei dati (GDPR).
- Assenza di verifica dell’età: la mancata adozione di sistemi per impedire l’accesso ai minori di 13 anni ha esposto i più giovani a risposte potenzialmente inadeguate.
Inoltre, OpenAI non avrebbe notificato tempestivamente una violazione di dati subita nel 2023, come richiesto dalle normative europee.
Il provvedimento del Garante prevede anche un obbligo senza precedenti: la realizzazione di una campagna di comunicazione istituzionale della durata di sei mesi. Questo intervento, che sfrutta i poteri introdotti dal Codice Privacy, ha l’obiettivo di informare il pubblico sul funzionamento di ChatGPT, in particolare in merito alla raccolta e all’uso dei dati personali.
Gli utenti e i non-utenti dovranno essere messi nelle condizioni di comprendere i loro diritti, come l’opposizione, la rettifica e la cancellazione dei dati. Inoltre, la campagna servirà a sensibilizzare sulla possibilità di negare l’utilizzo dei propri dati per l’addestramento dell’intelligenza artificiale.
Con l’apertura di un quartier generale europeo di OpenAI in Irlanda, il Garante italiano ha trasferito gli atti del procedimento all’Autorità per la protezione dei dati irlandese (DPC), che diventa il punto di riferimento per eventuali ulteriori verifiche a livello europeo.
In risposta alla decisione, OpenAI ha dichiarato l’intenzione di presentare ricorso, ritenendo la sanzione sproporzionata rispetto al fatturato generato in Italia. L’azienda ha ribadito il proprio impegno nella protezione dei dati e la collaborazione con le autorità di tutto il mondo, ma ha espresso preoccupazione per l’impatto che questo approccio potrebbe avere sulle ambizioni italiane nel campo dell’intelligenza artificiale.
Il caso evidenzia le sfide poste dall’adozione di tecnologie avanzate come l’intelligenza artificiale generativa, che richiedono un delicato equilibrio tra innovazione e rispetto dei diritti fondamentali. Questo intervento potrebbe avere ripercussioni significative non solo per OpenAI, ma anche per l’intero settore, rappresentando un precedente importante nella regolamentazione dell’IA.
