Il Garante per la protezione dei dati personali ha concluso l’istruttoria avviata nel marzo 2023 nei confronti di OpenAI, adottando un provvedimento sanzionatorio che prevede una multa di 15 milioni di euro e una campagna informativa di sei mesi. Questa decisione arriva dopo un’attenta analisi, avvalorata anche dal parere dell’EDPB (Comitato europeo per la protezione dei dati), sull’uso dei dati personali nel contesto dell’intelligenza artificiale.
OpenAI dovrà pagare una multa di 15 milioni di euro
L’indagine ha messo in evidenza diverse irregolarità da parte di OpenAI, la società californiana responsabile dello sviluppo e gestione di ChatGPT. Tra le principali violazioni riscontrate, figurano l’assenza di una notifica al Garante per una violazione dei dati avvenuta nel marzo 2023, il trattamento dei dati personali degli utenti senza un’adeguata base giuridica e la mancata trasparenza sulle modalità di raccolta e utilizzo dei dati. Inoltre, l’assenza di meccanismi per verificare l’età degli utenti ha esposto i minori a contenuti potenzialmente inappropriati.
Secondo il Garante la società statunitense, che ha creato e gestisce il chatbot di intelligenza artificiale generativa, oltre a non aver notificato all’Autorità la violazione dei dati subita nel marzo 2023, ha trattato i dati personali degli utenti per addestrare ChatGPT senza aver prima individuato un’adeguata base giuridica e ha violato il principio di trasparenza e i relativi obblighi informativi nei confronti degli utenti. Per di più, OpenAI non ha previsto meccanismi per la verifica dell’età, con il conseguente rischio di esporre i minori di 13 anni a risposte inidonee rispetto al loro grado di sviluppo e autoconsapevolezza
recita il comunicato del Garante.
Tra le misure correttive imposte, il Garante ha ordinato a OpenAI di avviare una campagna di comunicazione istituzionale su vari canali media, volta a promuovere la consapevolezza del pubblico sul funzionamento di ChatGPT. Questa campagna, della durata di minimo sei mesi e da realizzare in collaborazione con l’Autorità, dovrà informare utenti e non-utenti sui diritti garantiti dal GDPR, come opposizione, rettifica e cancellazione dei dati personali, e sulle modalità per esercitarli.
La questione dell’HQ stabilito in Irlanda
Durante l’istruttoria, OpenAI ha trasferito il proprio quartier generale europeo in Irlanda, facendo scattare il principio del one stop shop. Pertanto, il Garante ha trasmesso gli atti del procedimento all’Autorità irlandese per la protezione dei dati (DPC), che proseguirà l’indagine sulle eventuali violazioni persistenti.
