Il Garante per la protezione dei dati personali ha adottato un provvedimento correttivo e sanzionatorio nei confronti di OpenAI in relazione alla gestione del servizio ChatGpt: ha comminato alla società una sanzione di quindici milioni di euro «calcolata anche tenendo conto dell’atteggiamento collaborativo».
Il provvedimento – si legge in una nota – che accerta le violazioni a suo tempo contestate alla società californiana, arriva all’esito di un’istruttoria avviata nel marzo del 2023 e dopo che l’Edpb (Comitato europeo per la protezione dei dati) ha pubblicato il parere con il quale identifica un approccio comune ad alcune delle più rilevanti questioni relative al trattamento dei dati personali nel contesto della progettazione, sviluppo e distribuzione di servizi basati sull’intelligenza artificiale.
Secondo il Garante «la società statunitense, che ha creato e gestisce il chatbot di intelligenza artificiale generativa, oltre a non aver notificato all’Autorità la violazione dei dati subita nel marzo 2023, ha trattato i dati personali degli utenti per addestrare ChatGpt senza aver prima individuato un’adeguata base giuridica e ha violato il principio di trasparenza e i relativi obblighi informativi nei confronti degli utenti. Per di più, OpenAI non ha previsto meccanismi per la verifica dell’età, con il conseguente rischio di esporre i minori di 13 anni a risposte inidonee rispetto al loro grado di sviluppo e autoconsapevolezza».
Oltre alla sanzione, il Garante ha ordinato a OpenAI «di realizzare una campagna di comunicazione istituzionale di sei mesi su radio, televisione, giornali e Internet». I contenuti, da concordare con l’Autorità, «dovranno promuovere la comprensione e la consapevolezza del pubblico sul funzionamento di ChatGpt, in particolare sulla raccolta dei dati di utenti e non-utenti per l’addestramento dell’intelligenza artificiale generativa e i diritti esercitabili dagli interessati, inclusi quelli di opposizione, rettifica e cancellazione».
Infine, conclude la nota, «tenuto conto che la società, nel corso dell’istruttoria, ha stabilito in Irlanda il proprio quartier generale europeo, il Garante – in ottemperanza alla regola del c.d. one stop shop – ha trasmesso gli atti del procedimento all’Autorità di protezione dati irlandese (Dpc), divenuta autorità di controllo capofila ai sensi del Gdpr, affinché prosegua l’istruttoria in relazione a eventuali violazioni di natura continuativa non esauritesi prima dell’apertura dello stabilimento europeo».