Il Garante della Privacy ha disposto a OpenAI, azienda produttrice di ChatGPT, una limitazione provvisoria del trattamento dei dati personali dei cittadini italiani.

Tra le principali motivazioni del provvedimento ci sono:

la mancanza di una informativa sulla gestione dei dati personali in linea con i requisiti del GDPR, in particolare per quanto riguarda la mancanza di una motivazione giuridica per l’utilizzo delle conversazioni degli utenti nell’addestramento dei modelli;

sulla gestione dei dati personali in linea con i requisiti del GDPR, in particolare per quanto riguarda la mancanza di una motivazione giuridica per l’utilizzo delle conversazioni degli utenti nell’addestramento dei modelli; il fatto che le informazioni personali contenute nelle conversazioni potrebbero essere usate in modo incorretto , visto che ChatGPT non può garantire l’accuratezza delle sua affermazioni;

, visto che ChatGPT non può garantire l’accuratezza delle sua affermazioni; la mancanza di misure di verifica dell’identità degli utenti. I termini di servizio indicano che è rivolto ai maggiori di 13 anni, ma non viene fatta alcuna verifica.

Il Garante ritiene in particolare che OpenAI sia in violazione del GDPR negli articoli 5 (Principi generali applicabili), 6 (Liceità del trattamento), 8 (Condizioni per il consenso dei minori),13 (informativa) e 25 (privacy by design). Nel suo comunicato stampa il Garante fa anche riferimento al data breach subìta da OpenAI il 20 marzo scorso e che ha riguardato la diffusione a terzi di conversazioni degli utenti con il chatbot e informazioni di pagamento degli abbonati.

Il Garante ha aperto un’istruttoria a riguardo, ma ha nel frattempo disposto la misura della limitazione provvisoria del trattamento dei dati. Si tratta di una misura che in urgenza può essere disposta direttamente dal Presidente e che rimane valida fino alla prima riunione dell’Autorità, che deve essere convocata entro 30 giorni.

Oltre alla misura della limitazione provvisoria, il Garante ha anche imposto a OpenAI di comunicare entro 20 giorni quali iniziative ha intrapreso per ottemperare alle sue richieste, pena una multa che può arrivare fino a 20 milioni di euro (o al 4% del fatturato globale dell’anno precedente).

(articolo in aggiornamento)