ChatGPT e Garante privacy: 15 giorni per mettersi in regola

L’Autorità Garante per la protezione dei dati personali ha annunciato che OpenAI, la società proprietaria di ChatGPT avrà tempo fino al 30 aprile per adempiere alle prescrizioni imposte per la protezione dei dati personali e mettersi in regola. In questo modo, le limitazioni provvisorie del trattamento dei dati personali per gli utenti italiani, che si sono tradotte nell’inaccessibilità al chatbot di intelligenza artificiale in Italia, potrebbero essere sospese, in quanto verrebbero meno le ragioni di urgenza che hanno imposto l’adozione del provvedimento.
Entro le prossime due settimane e mezzo, quindi, Open AI dovrà adottare misure concrete in merito ai punti che erano stati sollevati dal Garante ed in particolare sull’informativa, sull’esercizio dei diritti degli interessati e sulla corretta individuazione della base giuridica per il trattamento dei dati per “l’addestramento” degli algoritmi con i dati degli utenti. Infine, Open Ai dovrà fornire garanzie concrete in merito alla tutela dei minori ed alla verifica dell’età da parte del chatbot.

Indice

1. Informativa


In ottemperanza all’art. 13 del Reg. UE 679/2016 (GDPR, Regolamento per la Protezione dei Dati Personali), OpenAI dovrà redigere e mettere a disposizione degli utenti sul proprio sito (come su tutti i siti) un’informativa trasparente, chiara, concisa e di facile comprensione, che contenga tutti i requisiti richiesti dal Regolamento e in cui siano illustrate con sufficiente semplicità, affinché tutti lo possano capire, le logiche e le modalità con cui i dati vengono trattati per addestrare l’intelligenza artificiale a rispondere alle domande degli utenti (base di funzionamento della intelligenza artificiale cosiddetta generativa), qual è la base giuridica individuata (cioè ciò che rende quel trattamento legittimo) e soprattutto quali sono i diritti degli interessati, utenti e non utenti, e le modalità per il loro esercizio.  L’informativa dovrà essere facilmente accessibile e collocata in una posizione che ne consenta la lettura prima di procedere all’eventuale registrazione al servizio.
L’informativa dovrà comparire sul sito come prima cosa, ossia precedentemente alla registrazione al sito, con specifica richiesta di dichiarazione di essere maggiori di età. Per gli utenti che si erano registrati alla piattaforma prima del blocco in via d’urgenza, l’informativa dovrà comparire come primo popup al primo collegamento a partire dalla riattivazione del servizio, corredata dalla richiesta di superare un age gate che escluda, sulla base dell’età dichiarata, gli utenti minorenni.

2. Base giuridica


Per quanto alla base giuridica del trattamento dei dati personali degli utenti per l’addestramento degli algoritmi, OpenAI aveva indicato l’esecuzione di un contratto con l’utente. Il Garante, ritenendo questa scelta del Titolare non consona, ha ordinato di eliminarla, indicando, invece, il consenso oppure il legittimo interesse del Titolare: in questo secondo caso, naturalmente, sarà necessario che OpenAI effettui un test di bilanciamento di interesse che dia esito positivo, mentre nel caso del consenso sarà necessario che esso abbia tutte le caratteristiche richieste per la sua validità (cioè che sia libero, informato, esplicito, revocabile).
L’Autorità si riserva in ogni caso il diritto di esercitare i propri poteri di verifica e accertamento successivi a tale scelta, per testarne la tenuta in adempimento degli obblighi del Regolamento.


Potrebbero interessarti anche:

3. Esercizio dei diritti


Per quanto riguarda l’esercizio dei diritti degli interessati, utenti e non utenti, il Garante ha emanato ulteriori prescrizioni, che riguardano la messa a disposizione di strumenti utili per permettere agli interessati, utenti o meno, di chiedere la rettifica dei dati personali che li riguardano generati in modo inesatto dal servizio o la cancellazione degli stessi, nel caso la rettifica non sia tecnicamente possibile.
L’esercizio di questi diritti dovrà essere semplice ed accessibile anche per gli interessati non utenti, e particolare cura dovrà essere prestata al diritto di opposizione al trattamento dei loro dati personali utilizzati per l’addestramento degli algoritmi. Analogo diritto, va da sé, dovrà essere riconosciuto agli utenti, qualora OpenAI individui il legittimo interesse quale base giuridica del trattamento.

4. Tutela dei minori


Per quanto riguarda la verifica dell’età dei minori, oltre all’immediata implementazione di un sistema di richiesta dell’età ai fini della registrazione al servizio ed alla richiesta di confermare la maggiore età nel caso di utenti già registrati al primo collegamento successivo dopo la riattivazione, il Garante ha ordinato a OpenAI di sottoporle entro il 31 maggio prossimo un piano di azione che preveda, al più tardi entro il 30 settembre 2023, l’implementazione di un sistema di age verification, in grado di escludere l’accesso agli utenti infratredicenni e ai minorenni per i quali manchi il consenso dei genitori.

5. Campagna di informazione


Infine, in accordo con l’Autorità Garante, entro il 15 maggio 2023 OpenAI dovrà promuovere una campagna di informazione su radio, televisione, giornali e web per informare le persone sull’uso dei loro dati personali ai fini dell’addestramento degli algoritmi.
Entro il mese di maggio, quindi, se tutto andrà bene, anche in Italia si potrà tornare a “giocare” con il chatbot più famoso del mondo, fermo restando il fatto che l’Autorità rimarrà vigile e proseguirà ad accertare eventuali ulteriori violazioni della disciplina in materia di protezione dei dati, riservandosi l’adozione di ogni ulteriore misura che reputasse necessaria per l’istruttoria che permane ufficialmente in corso.

Volume per approfondire

L’ebook analizza quelli che sono i compiti e i poteri dell’Autorità di controllo e del Garante italiano per la protezione dei dati personali, trattando dei mezzi di tutela dei diritti dell’interessato, nonché della procedura istruttoria e delle conseguenze delle violazioni accertate, in termini di risarcimento.

FORMATO EBOOK

GDPR: ISPEZIONI E SANZIONI DEL GARANTE

L’ebook analizza quelli che sono i compiti e i poteri dell’Autorità di controllo e del Garante italiano per la protezione dei dati personali, trattando dei mezzi di tutela dei diritti dell’interessato, nonché della procedura istruttoria e delle conseguenze delle violazioni accertate, in termini di risarcimento.Particolare attenzione viene data ai poteri ispettivi e di controllo, nonché ai profili sanzionatori.Completa il testo, l’analisi dei Regolamenti 2019 del Garante.

Stefano Comellini | Maggioli Editore 2020

Avv. Luisa Di Giacomo

Scrivi un commento

Accedi per poter inserire un commento