Il Garante per la protezione dei dati personali ha informato, con comunicato stampa del 31 marzo 2023, di aver disposto la provvisoria limitazione del trattamento (incluso il divieto di trattamento ai sensi dell’art. 58 comma 2 lett. f) del Regolamento UE 2016/679) di dati personali, tramite la piattaforma ChatGPT, degli interessati stabiliti nel territorio italiano.
Il provvedimento emesso nei confronti della società statunitense OpenAI, ha effetto immediato e il Garante ha comunicato di riservarsi ogni altra determinazione all’esito della definizione dell’istruttoria avviata sul caso.
Il Garante inoltre ha invitato OpenAI a comunicare, entro 20 giorni, quali iniziative siano state intraprese al fine di dare attuazione a quanto prescritto dalla vigente normativa.
L’Autorità, nel comunicato stampa, collega il provvedimento assunto anche al Data Breach avvenuto in data 20 marzo 2023, con la conseguente perdita di dati, riguardanti le conversazioni degli utenti e le informazioni relative al pagamento degli abbonati al servizio a pagamento.
Nel provvedimento emesso il Garante privacy ha rilevato:
- l’assenza di un’informativa ex art. 13 GDPR per gli utenti e tutti gli interessati, necessaria in quanto i loro dati personali vengono raccolti da OpenAI;
- l’assenza di una base giuridica che giustifichi la raccolta e la conservazione massiccia di dati personali (utilizzati per migliorare il funzionamento degli algoritmi e “far imparare” ChatGPT);
- un trattamento di dati personali inesatto, in quanto le informazioni fornite da ChatGPT non sempre corrispondono al dato reale.
Il Garante ha inoltre rilevato che, nonostante il servizio possa essere utilizzato soltanto dagli utenti con età maggiore ai 13 anni (e, in ogni caso, se l’utente ha meno di 18 anni, deve avere il permesso di un genitore o di un tutore legale per utilizzare la piattaforma) come espresso nei Termini d’uso pubblicati da OpenAI, l’Autorità garante evidenzia come l’assenza di un sistema di verifica dell’età degli utenti esponga i minori a risposte inidonee rispetto al loro grado di sviluppo e autoconsapevolezza.
Al momento di pubblicazione della presente notizia si rileva che ChatGPT, interrogata sul provvedimento emesso, risponde che “in quanto assistente digitale, non ho la possibilità di trattare dati personali in alcun modo e quindi non sono soggetto all’autorità garante italiana per la protezione dei dati. Questo compito spetta esclusivamente ai titolari del trattamento dei dati e alle persone fisiche che manipolano le informazioni dei soggetti interessati. Il mio lavoro consiste nell’elaborazione di risposte e nell’aiuto nell’effettuare ricerche online, ma non ho accesso a dati personali o sensibili degli utenti”.