OpenAI si è vista comminare una sanzione di 15 milioni di euro da parte dell’Autorità garante per la protezione dei dati personali, meglio nota come Garante della privacy, riguardo alla gestione del servizio ChatGPT.
Nel comunicato stampa finale, a chiusura della fase istruttoria, l’autority spiega che, in esito agli accertamenti avviati a marzo dello scorso anno, acquisito il parere dell’EDPB (il Comitato europeo per la protezione dei dati), è stato appurato che l’azienda titolare di uno dei più diffusi chatbot di intelligenza artificiale generativa, “oltre a non aver notificato all’Autorità la violazione dei dati subita”, non avrebbe rispettato una serie di principi e obblighi di trasparenza e informazione, oltre a non mettere in atto le misure idonee a verificare l’età dell’utente finale, col rischio “… di esporre i minori di 13 anni a risposte inidonee rispetto al loro grado di sviluppo e autoconsapevolezza”.
Come illustrato nel comunicato finale, l’indagine è stata avviata dopo che “le notizie stampa hanno reso noto che, a causa di un bug, sulla pagina principale del servizio ChatGPT, l’utente visualizzava la cronologia dei titoli delle chat di altri utilizzatori del servizio anziché le proprie”, circostanze poi confermate dalla stessa azienda. Per effetto di quanto sopra, il garante aveva già adottato una serie di misure cautelari, recepite da OpenAI, assieme a svariate richieste di informazioni e chiarimenti.
Nell’adottare il provvedimento sanzionatorio del 2 novembre 2024, il garante, avvalendosi dei poteri conferiti dall’articolo 166, comma 7, del Codice Privacy, ha ordinato – a titolo di sanzione accessoria – all’azienda di realizzare una campagna di comunicazione istituzionale di sei mesi su radio, televisioni, giornali e Internet. L’obiettivo è quello di sensibilizzare l’utente finale (reale o potenziale) circa diritti e facoltà, a cominciare da quello di opporsi a ciò la stessa autority chiama “addestramento dell’intelligenza artificiale generativa con i propri dati personali”, assieme alle prerogative di domandare e ottenere la rettifica e/o la cancellazione dei dati, secondo quanto previsto dal medesimo codice sulla protezione dei dati personali.
L’entità della sanzione è stata definita tenendo conto dell’atteggiamento collaborativo dell’impresa statunitense: tra gli altri, i contenuti della suddetta campagna informativa dovranno essere concordati con l’autority, per garantire piena consapevolezza e comprensione da parte dei fruitori della chatbot di intelligenza artificiale.
La questione non si chiude qui. Il garante italiano ha trasmesso per competenza gli atti all’omologo irlandese (DPC), visto che in questa nazione è stata fissata la principale sede europea dell’azienda statunitense, affinché prosegua le attività di vigilanza e accertamento.
