Il 20 dicembre 2024, il Garante per la protezione dei dati personali italiano ha concluso l’istruttoria nei confronti di OpenAI, la società statunitense che gestisce ChatGPT, imponendo una sanzione di 15 milioni di euro. Questa decisione rappresenta un caso rilevante nella regolamentazione delle tecnologie di intelligenza artificiale (IA), con implicazioni significative sia per le aziende tecnologiche che per i professionisti del diritto. Analizziamo nel dettaglio le motivazioni, le conseguenze e le possibili evoluzioni. Il volume “Il Regolamento Europeo sull’intelligenza artificiale” curato da Giuseppe Cassano ed Enzo Maria Tripodi si propone di rispondere proprio a queste sfide, offrendo ai professionisti del diritto un quadro completo e aggiornato delle nuove responsabilità giuridiche legate all’uso dell’Intelligenza Artificiale.
Indice
1. Le violazioni contestate a ChatGPT
L’istruttoria del Garante ha individuato tre principali violazioni della normativa sulla protezione dei dati personali, in particolare del Regolamento UE 2016/679 (GDPR):
a) Mancanza di una base giuridica per il trattamento dei dati personali
OpenAI ha utilizzato i dati personali degli utenti, inclusi quelli contenuti nelle conversazioni con ChatGPT, per addestrare e migliorare il modello senza una base giuridica adeguata. La raccolta e il trattamento di tali dati sono stati ritenuti non conformi all’art. 6 del GDPR, che richiede una base legittima (consenso, obbligo legale, necessità contrattuale, interesse legittimo, ecc.). Inoltre, è stata rilevata una violazione del principio di trasparenza previsto dagli artt. 5 e 13 GDPR, a causa dell’inadeguata informativa fornita agli utenti.
b) Assenza di meccanismi per la verifica dell’età
ChatGPT è stato accessibile senza restrizioni, anche a utenti di età inferiore ai 13 anni. Secondo il GDPR (art. 8), il trattamento dei dati personali di minori è soggetto a specifiche condizioni, tra cui il consenso esplicito dei genitori per utenti al di sotto di una determinata età. L’assenza di un sistema efficace di verifica ha esposto i minori a potenziali rischi.
c) Obblighi di trasparenza disattesi
Gli utenti non sono stati sufficientemente informati sui dettagli del trattamento dei dati personali, incluse le finalità e i diritti esercitabili, come il diritto di rettifica, cancellazione e opposizione, in violazione degli artt. 13-14 GDPR.
Il volume “Il Regolamento Europeo sull’intelligenza artificiale” curato da Giuseppe Cassano ed Enzo Maria Tripodi si propone di rispondere proprio a queste sfide, offrendo ai professionisti del diritto un quadro completo e aggiornato delle nuove responsabilità giuridiche legate all’uso dell’Intelligenza Artificiale.
Il Regolamento Europeo sull’Intelligenza Artificiale
Con la diffusione inarrestabile dell’Intelligenza Artificiale nella quotidianità, gli operatori del diritto sono chiamati a interrogarsi sulla capacità dell’attuale tessuto normativo – nazionale, europeo e internazionale – di reggere la forza d’urto dell’IA garantendo al tempo stesso la tutela dei diritti fondamentali a singoli e collettività o, piuttosto, sulla indispensabilità di un nuovo approccio normativo.Il Legislatore europeo è intervenuto dettando la nuova normativa dell’AI ACT, il Regolamento n. 1689/2024, che si muove lungo più direttrici: raggiungere un mercato unico dell’IA, aumentare la fiducia dei consociati, prevenire e mitigarne i rischi e, infine, sostenere anche l’innovazione della medesima IA. In un contesto di così ampio respiro, e in continuo divenire, qual è il ruolo del giurista?Il volume offre al lettore un primo strumento organico approfondito ed esaustivo per mettere a fuoco l’oggetto delle questioni e la soluzione alle stesse come poste dalla normativaeurounionale, dallo stato dell’arte tecnico e giuridico alle problematiche in campo: la proprietà intellettuale, le pratiche di IA proibite, il rapporto con il GDPR e la compliance per l’IA in base al rischio, i nuovi obblighi a carico di imprese, fornitori e utenti. Giuseppe CassanoDirettore del Dipartimento di Scienze Giuridiche della European School of Economics di Roma e Milano, ha insegnato Istituzioni di Diritto Privato presso l’Università Luiss di Roma. Avvocato cassazionista, studioso dei diritti della persona, del diritto di famiglia, della responsabilità civile e del diritto di Internet, ha pubblicato numerosissimi contributi in tema, fra volumi, trattati, voci enciclopediche, note e saggi.Enzo Maria TripodiGiurista specializzato nella contrattua listica d’impresa, nella disciplina della distribuzione commerciale, nel diritto delle nuove tecnologie e della privacy e la tutela dei consumatori. Già docente presso la LUISS Business School e professore a contratto di Diritto Privato presso la facoltà di Economia della Luiss Guido Carli di Roma. Ha insegnato in numerosi Master post-laurea ed è autore di numerose pubblicazioni con le più importanti case editrici.
Giuseppe Cassano, Enzo Maria Tripodi | Maggioli Editore 2024
89.30 €
2. La sanzione e gli altri provvedimenti imposti
La sanzione di 15 milioni di euro rappresenta un’ammenda significativa, che tiene conto non solo della gravità delle violazioni, ma anche del fatturato limitato di OpenAI in Italia. Oltre alla sanzione pecuniaria, il Garante ha ordinato:
- Realizzazione di una campagna di comunicazione istituzionale: OpenAI dovrà sensibilizzare il pubblico sulle modalità di trattamento dei dati da parte di ChatGPT, utilizzando radio, televisione, giornali e Internet per un periodo di sei mesi. Questa misura mira a informare gli utenti sui loro diritti ai sensi del GDPR.
- Adozione di sistemi di verifica dell’età: OpenAI dovrà implementare strumenti per garantire che i minori di 13 anni non possano accedere al servizio senza il consenso dei genitori.
- Revisione dell’informativa sulla privacy: il Garante ha richiesto una maggiore trasparenza, conformemente agli artt. 12 e 13 GDPR, e l’adeguamento delle procedure per consentire agli utenti di esercitare i propri diritti.
3. OpenAI e il ricorso contro la decisione
OpenAI ha contestato la sanzione, definendola sproporzionata. La società ha sottolineato che la multa è venti volte superiore al fatturato generato in Italia nel periodo di riferimento e ha espresso preoccupazione per l’impatto della decisione sulle ambizioni italiane nell’IA. Tuttavia, OpenAI ha ribadito la propria volontà di collaborare con le autorità per migliorare la conformità alle normative.
4. Analisi giuridica: i precedenti e le implicazioni
La decisione del Garante si colloca in un contesto di crescente attenzione normativa nei confronti delle tecnologie di IA. Questo caso si aggiunge a precedenti interventi di autorità garanti europee, come:
- Il provvedimento della CNIL (Francia) contro Google Analytics, che ha stabilito l’incompatibilità del trasferimento dati verso gli Stati Uniti con il GDPR;
- Le sanzioni dell’ICO (Regno Unito) a piattaforme social per violazioni dei diritti dei minori.
Il caso OpenAI evidenzia alcune criticità tipiche dell’IA generativa, tra cui:
- Difficoltà di applicazione del principio di minimizzazione dei dati (art. 5 GDPR): Modelli come ChatGPT richiedono grandi quantità di dati per il training, spesso difficili da anonimizzare o ridurre.
- Problemi di trasferimento dati extra-UE (artt. 44-49 GDPR): La localizzazione dei server di OpenAI negli Stati Uniti solleva interrogativi sulla sicurezza e la protezione dei dati personali degli utenti europei.
Potrebbero interessarti anche:
5. Implicazioni per aziende e professionisti del settore
Questa decisione offre spunti di riflessione per le aziende e i professionisti legali:
- Conformità preventiva: Le imprese che sviluppano IA devono integrare valutazioni d’impatto sulla protezione dei dati (DPIA) nelle prime fasi del progetto, come richiesto dall’art. 35 GDPR.
- Trasparenza come strategia: Fornire informative chiare e accessibili è non solo un obbligo legale, ma anche un fattore di fiducia per gli utenti.
- Protezione dei minori: I sistemi di verifica dell’età e i meccanismi di parental control devono essere implementati per evitare future sanzioni.
6. Il ruolo del Digital Services Act (DSA)
Dal 17 febbraio 2024, il Digital Services Act (DSA) si applica integralmente nell’UE. Pur non sovrapponendosi al GDPR, il DSA introduce obblighi specifici per le piattaforme digitali, come la valutazione e mitigazione dei rischi sistemici, che potrebbero incidere sull’operato di OpenAI in Europa.
7. Conclusioni
La sanzione del Garante contro OpenAI rappresenta un monito chiaro: la conformità al GDPR è una condizione imprescindibile per operare nell’Unione Europea. Per le aziende tecnologiche, ciò richiede non solo investimenti in termini di compliance, ma anche un cambiamento culturale, verso una maggiore responsabilità e trasparenza. Per i professionisti legali, questo caso offre un’occasione per rafforzare il proprio ruolo strategico nell’accompagnare i clienti verso la conformità.
La regolamentazione delle IA è destinata a evolversi ulteriormente, con nuove sfide e opportunità. Per chi opera in questo settore, comprendere e anticipare questi cambiamenti sarà essenziale per rimanere competitivi e conformi.
Scrivi un commento
Accedi per poter inserire un commento