Lo scorso 30 marzo il Garante per la protezione dei dati personali ha bloccato, temporaneamente, il servizio di Intelligenza Artificiale ChatGPT gestito dalla società americana OpenAI.
In data 13 aprile i Garanti della privacy europei, riuniti nel Comitato europeo per la protezione dei dati (EDPB), hanno deciso di lanciare una task force su ChatGPT.
L’obiettivo della task force è di promuovere la cooperazione e lo scambio di informazioni su eventuali iniziative per l’applicazione del Regolamento europeo condotte dalle Autorità di protezione dati.
Dopo una serie di interlocuzioni con i rappresentati di OpenAI, il Garante italiano ha indicato alcune prescrizioni su trasparenza, diritti degli interessati e base giuridica del trattamento effettuato da ChatGPT, da adempiere entro il 30 aprile 2023.
Le limitazioni per ChatGPT imposte dal Garante in Italia
- OpenAI dovrà predisporre e rendere disponibile sul proprio sito un’informativa trasparente, in cui siano illustrate modalità e logica alla base del trattamento dei dati necessari al funzionamento di ChatGPT nonché i diritti attribuiti agli utenti e agli interessati non utenti. L’informativa dovrà essere facilmente accessibile e collocata in una posizione che ne consenta la lettura prima di procedere all’eventuale registrazione al servizio.
- Il Garante privacy ha ordinato a OpenAI di eliminare ogni riferimento all’esecuzione di un contratto e di indicare, invece, in base al principio di accountability, il consenso o il legittimo interesse quale presupposto per utilizzare tali dati, fermo restando l’esercizio dei propri poteri di verifica e accertamento successivi a tale scelta.
- Ulteriori prescrizioni riguardano la messa a disposizione di strumenti utili per permettere agli interessati, anche non utenti, di chiedere la rettifica dei dati personali che li riguardano generati in modo inesatto dal servizio o la cancellazione degli stessi, nel caso la rettifica non fosse tecnicamente possibile. OpenAI, inoltre, dovrà consentire agli interessati non utenti di esercitare, in modo semplice e accessibile, il diritto di opposizione rispetto al trattamento dei loro dati personali.
- L’Autorità ha ordinato a OpenAI di sottoporle entro il 31 maggio un piano di azione che preveda, al più tardi entro il 30 settembre 2023, l’implementazione di un sistema di age verification, in grado di escludere l’accesso agli utenti infratredicenni e ai minorenni per i quali manchi il consenso dei genitori.
- Entro il 15 maggio, OpenAI dovrà infine promuovere una campagna di informazione su radio, televisione, giornali e web per informare le persone sull’uso dei loro dati personali ai fini dell’addestramento degli algoritmi.
