Il Garante Privacy spegne ChatGPT: l’intelligenza artificiale non ha base giuridica

L’Intelligenza Artificiale non ha un’idonea base giuridica, indispensabile per raccogliere e trattare lecitamente i dati personali per addestrare gli algoritmi che servono al suo funzionamento”.

E’ quanto sostenuto dall’Autorità Garante per la protezione dei dati personali (Garante Privacy), col provvedimento cautelare del 30 marzo scorso, emesso nei confronti di OpenAI L.L.C., con il quale limita provvisoriamente il trattamento di tutti i dati personali degli utenti e degli interessati stabiliti nel territorio italiano ai sensi dell’art. 58, par. 2, lett. f), del Regolamento UE 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016.

OpenAI L.L.C. è la società statunitense sviluppatrice e gestrice della piattaforma ChatGPT, il più noto tra i software di intelligenza artificiale relazionale in grado di simulare ed elaborare le conversazioni umane, nonché la società titolare del trattamento dei dati personali effettuato attraverso tale piattaforma (sulla mancanza di idonea base giuridica per i sistemi di Intelligenza Artificiale, vedi anche la lettera di moratoria).

In base alle considerazioni svolte adesso dal Garante, l’operato di OpenAI L.L.C. violerebbe gli artt. 5, 6, 8, 13 e 25 del Regolamento.

Sotto un primo profilo, ChatGPT raccoglierebbe illecitamente i dati personali degli utenti in quanto mancano tanto una informativa agli utenti e a tutti gli interessati i cui dati vengono raccolti da OpenAI L.L.C. e trattati tramite il servizio di Chat GPT, quanto una idonea base giuridica che giustifichi la raccolta e la conservazione massiccia di dati personali, allo scopo di “addestrare” gli algoritmi sottesi al funzionamento di Chat GPT. Inoltre, le informazioni fornite da ChatGPT non sempre corrispondono al dato reale, determinando quindi un trattamento di dati personali inesatto.

Sotto un secondo profilo, nonostante – secondo i termini pubblicati da OpenAI – il servizio sia riservato ai maggiori di 13 anni, non vi sarebbero sistemi per la verifica dell’età degli utenti del servizio ChatGPT, con ciò esponendo i minori di anni 13 a risposte assolutamente inidonee rispetto al loro grado di sviluppo e autoconsapevolezza.

LA MISURA

Contestualmente all’adozione del provvedimento provvisorio, l’Autorità ha aperto un’istruttoria, che verrà eseguita nelle more della vigenza dello stesso. La società, ai sensi dell’art. 58, par.1, del Regolamento, deve comunicare entro 20 giorni le misure intraprese in attuazione a quanto richiesto dal Garante e fornire ogni elemento ritenuto utile a giustificare le violazioni sopra evidenziate, pena l’applicazione della sanzione penale di cui all’art. 170 del Codice e delle sanzioni amministrative di cui all’art. 83, par. 5 lett. e), del Regolamento, ovvero una sanzione fino a 20 milioni di euro o fino al 4% del fatturato globale annuo.

Il provvedimento, adottato con urgenza dal presidente dell’Autorità ai sensi dell’art. 5, comma 8, del Regolamento n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante ed avente effetto immediato a decorrere dalla data della sua ricezione, dovrà comunque essere ratificato dal Garante nella prima riunione utile, da convocarsi non oltre il trentesimo giorno, pena la cessazione della sua efficacia sin dal momento della sua adozione.

OpenAI ha la possibilità di opporsi al provvedimento del Garante, presentando ricorso a Roma, innanzi al Giudice ordinario, entro i prossimi sessanta giorni.

Di seguito, il testo integrale del provvedimento che, al momento, “spegne” ChatGPT per gli utenti italiani.

– – –

Garante per la Protezione dei dati personali

Registro dei provvedimenti
n. 112 del 30 marzo 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito, “Regolamento”);
VISTO altresì il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196);
PRESO ATTO dei numerosi interventi dei media relativamente al funzionamento del servizio di ChatGPT;
RILEVATO, da una verifica effettuata in merito, che non viene fornita alcuna informativa agli utenti, né agli interessati i cui dati sono stati raccolti da OpenAI, L.L.C. e trattati tramite il servizio di ChatGPT;
RILEVATA l’assenza di idonea base giuridica in relazione alla raccolta dei dati personali e al loro trattamento per scopo di addestramento degli algoritmi sottesi al funzionamento di ChatGPT;
RILEVATO che il trattamento di dati personali degli interessati risulta inesatto in quanto le informazioni fornite da ChatGPT non sempre corrispondono al dato reale;

RILEVATO, inoltre, l’assenza di qualsivoglia verifica dell’età degli utenti in relazione al servizio ChatGPT che, secondo i termini pubblicati da OpenAI L.L.C., è riservato a soggetti che abbiano compiuto almeno 13 anni;

CONSIDERATO che l’assenza di filtri per i minori di età di 13 anni espone gli stessi a risposte assolutamente inidonee rispetto al grado di sviluppo e autoconsapevolezza degli stessi;
RITENUTO pertanto che nella situazione sopra delineata, il trattamento dei dati personali degli utenti, compresi i minori, e degli interessati i cui dati sono utilizzati dal servizio si ponga in violazione degli artt. 5, 6, 8, 13 e 25 del Regolamento;

RAVVISATA, pertanto, la necessità di disporre, ai sensi dell’art. 58, par. 2, lett. f), del Regolamento – in via d’urgenza e nelle more del completamento della necessaria istruttoria rispetto a quanto sin qui emerso nei confronti di OpenAI L.L.C., società statunitense sviluppatrice e gestrice di ChatGPT, la misura della limitazione provvisoria del trattamento;

RITENUTO che, in assenza di qualsivoglia meccanismo di verifica dell’età degli utenti, nonché, comunque, del complesso delle violazioni rilevate, detta limitazione provvisoria debba estendersi a tutti i dati personali degli interessati stabiliti nel territorio italiano;

RITENUTO necessario disporre la predetta limitazione con effetto immediato a decorrere dalla data di ricezione del presente provvedimento, riservandosi ogni altra determinazione all’esito della definizione dell’istruttoria avviata sul caso;

RICORDATO che, in caso di inosservanza della misura disposta dal Garante, trova applicazione la sanzione penale di cui all’art. 170 del Codice e le sanzioni amministrative previste dall’art. 83, par. 5, lett. e), del Regolamento;

RITENUTO, in base a quanto sopra descritto, che ricorrano i presupposti per l’applicazione dell’art. 5, comma 8, del Regolamento n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante, il quale prevede che «Nei casi di particolare urgenza e di indifferibilità che non permettono la convocazione in tempo utile del Garante, il presidente può adottare i provvedimenti di competenza dell’organo, i quali cessano di avere efficacia sin dal momento della loro adozione se non sono ratificati dal Garante nella prima riunione utile, da convocarsi non oltre il trentesimo giorno»;

VISTA la documentazione in atti;
TUTTO CIÒ PREMESSO IL GARANTE:

a) ai sensi dell’art. 58, par. 2, lett. f), del Regolamento dispone, in via d’urgenza, nei confronti di OpenAI L.L.C., società statunitense sviluppatrice e gestrice di ChatGPT, in qualità di titolare del trattamento dei dati personali effettuato attraverso tale applicazione, la misura della limitazione provvisoria, del trattamento dei dati personali degli interessati stabiliti nel territorio italiano;

b) la predetta limitazione ha effetto immediato a decorrere dalla data di ricezione del presente provvedimento, con riserva di ogni altra determinazione all’esito della definizione dell’istruttoria avviata sul caso.

Il Garante, ai sensi dell’art. 58, par. 1, del Regolamento (UE) 2016/679, invita il titolare del trattamento destinatario del provvedimento, altresì, entro 20 giorni dalla data di ricezione dello stesso, a comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto prescritto e di fornire ogni elemento ritenuto utile a giustificare le violazioni sopra evidenziate. Si ricorda che il mancato riscontro alla richiesta ai sensi dell’art. 58 è punito con la sanzione amministrativa di cui all’art. 83, par. 5, lett. e), del Regolamento (UE) 2016/679.

Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del d. lg. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

In Roma, 30 marzo 2023
IL PRESIDENTE
Stanzione

Redazione

Lo studio legale Giurdanella & Partners dedica, tutti i giorni, una piccola parte del proprio tempo all'aggiornamento del sito web della rivista. E' un'attività iniziata quasi per gioco agli albori di internet e che non cessa mai di entusiasmarci. E' anche l'occasione per restituire alla rete una parte di tutto quello che essa ci ha dato in questi anni. I giovani bravi sono sempre i benvenuti nel nostro studio legale. Per uno stage o per iniziare la pratica professionale presso lo studio, scriveteci o mandate il vostro cv a segreteria@giurdanella.it