Il Garante Privacy sanziona OpenAI: 15 milioni di euro e una campagna informativa su ChatGPT
L’azienda californiana è stata sanzionata per violazioni del Gdpr legate a ChatGPT. La società dovrà inoltre condurre una campagna informativa di sei mesi per sensibilizzare il pubblico sul trattamento dei dati personali e i diritti garantiti dalla normativa europea.
Il Garante per la protezione dei dati personali ha concluso l’istruttoria su OpenAI, la società californiana proprietaria di ChatGPT, il più noto chatbot di intelligenza artificiale, e le ha imposto una sanzione di 15 milioni di euro e un obbligo di trasparenza attraverso una campagna informativa di sei mesi.
Le origini e le violazioni accertate
L’istruttoria era stata avviata nel marzo 2023, quando il Garante aveva disposto la limitazione provvisoria del trattamento dei dati degli utenti italiani da parte di OpenAI. La decisione era stata presa in seguito a un grave “data breach” (una violazione della sicurezza che porta alla divulgazione, accesso o uso non autorizzato di dati personali) avvenuto il 20 marzo 2023, che aveva coinvolto sia le conversazioni degli utenti sia le informazioni relative ai pagamenti degli abbonati.
Nel corso delle verifiche, il Garante aveva evidenziato numerose irregolarità, poi confermate:
- mancata notifica della violazione dei dati: OpenAI non ha informato l’Autorità del data breach;
- raccolta illecita di dati personali: la società ha utilizzato i dati personali degli utenti per addestrare ChatGPT senza una base giuridica adeguata;
- assenza di trasparenza: mancanza di un’informativa chiara agli utenti e a tutti gli interessati sul trattamento dei dati;
- protezione dei minori: l’assenza di sistemi per verificare l’età degli utenti esponeva i minori di 13 anni a contenuti potenzialmente inadatti.
La campagna informativa obbligatoria
Per garantire una maggiore trasparenza e consapevolezza tra gli utenti, il Garante ha ordinato a OpenAI di realizzare una campagna di comunicazione istituzionale. Questa dovrà durare sei mesi e coinvolgerà diversi canali, tra cui radio, televisione, giornali e Internet.
Gli obiettivi della campagna sono:
- informare il pubblico sul funzionamento di ChatGPT e sulla raccolta dei dati personali;
- sensibilizzare gli utenti su come opporsi all’addestramento dell’intelligenza artificiale generativa con i propri dati personali e, quindi, essere effettivamente posti nelle condizioni di esercitare i propri diritti ai sensi del Gdpr.
Una sanzione significativa
Il Garante ha calcolato la sanzione di 15 milioni di euro considerando la gravità delle violazioni ma anche l’atteggiamento collaborativo di OpenAI durante l’istruttoria. La decisione rappresenta una delle applicazioni più significative dei nuovi poteri concessi dal Codice Privacy (art. 166, comma 7).
Nel corso dell’istruttoria, OpenAI ha stabilito il proprio quartier generale europeo in Irlanda. Pertanto, il Garante italiano ha trasmesso gli atti del procedimento al Data Protection Commission (DPC) irlandese che proseguirà l’esame di eventuali violazioni non ancora sanate.
Cosa significa per gli utenti?
Grazie a queste misure, gli utenti di ChatGPT e i non-utenti i cui dati potrebbero essere stati utilizzati potranno contare su una maggiore trasparenza e strumenti concreti per esercitare i propri diritti. La decisione del Garante evidenzia la necessità di un approccio rigoroso nella protezione dei dati personali, in particolare nel contesto delle tecnologie emergenti. OpenAI dovrà dimostrare un impegno concreto nel rispettare le normative europee, promuovendo un uso responsabile dell’intelligenza artificiale.