Dal Garante della Privacy 15 milioni di multa per le violazioni di ChatGPT. OpenAI: "Faremo ricorso"
Il Garante per la protezione dei dati personali ha emesso un provvedimento sanzionatorio contro OpenAI per la gestione dei dati personali nel servizio ChatGPT. La sanzione ammonta a 15 milioni di euro, considerando anche l’atteggiamento collaborativo dimostrato dall’azienda. Inoltre, OpenAI dovrà lanciare una campagna di comunicazione istituzionale di sei mesi tramite radio, televisione, giornali e Internet.
Violazioni accertate: le basi della sanzione
Secondo il Garante, OpenAI ha violato diverse norme del GDPR. In particolare:
- Mancata notifica all’Autorità della violazione dei dati personali avvenuta nel marzo 2023.
- Utilizzo dei dati personali degli utenti per l’addestramento dell’intelligenza artificiale senza una base giuridica adeguata.
- Violazione del principio di trasparenza e dei relativi obblighi informativi verso gli utenti.
- Assenza di un sistema per la verifica dell’età, esponendo i minori di 13 anni a contenuti inadeguati.
Campagna di sensibilizzazione sui dati personali
Il provvedimento include un’innovativa misura correttiva. OpenAI dovrà realizzare una campagna informativa per promuovere la consapevolezza sul funzionamento di ChatGPT, con particolare attenzione a:
- Modalità di raccolta dei dati personali di utenti e non-utenti.
- Diritti garantiti dal GDPR, come opposizione, rettifica e cancellazione.
- Come gli interessati possono opporsi all’uso dei propri dati per l’addestramento dell’IA generativa.
La campagna dovrà essere concordata con il Garante e sensibilizzare il pubblico su come esercitare i propri diritti.
OpenAI e la reazione alla sanzione
In risposta, OpenAI ha dichiarato che la decisione del Garante è "non proporzionata" e presenterà ricorso:
«Questa sanzione rappresenta circa venti volte il fatturato generato in Italia nello stesso periodo. Riteniamo che l’approccio del Garante comprometta le ambizioni dell’Italia in materia di IA».
Nonostante le critiche, l’azienda ha sottolineato il proprio impegno a collaborare con le autorità di tutto il mondo per sviluppare un’intelligenza artificiale rispettosa dei diritti alla privacy.
Passaggio al controllo irlandese
OpenAI ha recentemente stabilito il proprio quartier generale europeo in Irlanda, rendendo il Data Protection Commissioner (DPC) irlandese l’autorità capofila per la gestione dei procedimenti futuri. In ottemperanza al principio del one stop shop del GDPR, il Garante italiano ha trasmesso gli atti al DPC per indagare su eventuali violazioni continuative.