L’UTILIZZO DI CHATGPT IN ITALIA ALLA LUCE DEI MONITI DEL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI (GPDP)

In seguito al provvedimento adottato dal Garante della Privacy in data 30 marzo 2023, con il quale l’Autorità Indipendente aveva imposto la non operabilità di ChatGPT nel mercato italiano, l’organizzazione che ha sviluppato l’app in oggetto, OpenAI, aveva prontamente manifestato al Garante la volontà di avviare un dialogo e, ove possibile, anche a cooperare, al fine di ottenere la revoca del provvedimento e quindi poter rendere nuovamente fruibile agli utenti-consumatori italiani la suddetta piattaforma. Tenendo in considerazione l’atteggiamento di OpenA, il Garante, con un successivo provvedimento datato 11 aprile 2023, aveva comunicato alla società statunitense la propria disponibilità a procedere con una nuova valutazione in merito alla sussistenza dei presupposti per mantenere il blocco di ChatGPT, valutazione vincolata alla necessaria implementazione, da parte della società, di specifiche misure indicate dal GPDP. Il Garante, infatti, richiedeva all’organizzazione sviluppatrice della tecnologia i seguenti adempimenti:

  • predisporre e pubblicare sul proprio sito internet una informativa privacy, in modo da illustrare a tutti gli interessati, anche diversi dagli utenti del servizio, i cui dati erano stati raccolti e trattati per addestrare gli algoritmi di ChatGPT, le modalità di trattamento di detti dati, la logica alla base del trattamento e i diritti spettanti agli interessati;
  • inserire uno strumento, all’interno del sito internet dove viene svolto il servizio di ChatGPT, con cui gli interessati possano esercitare il diritto di opporsi ai trattamenti dei propri dati personali, che la società ottiene da soggetti terzi e utilizza per addestrare gli algoritmi e per svolgere il servizio offerto agli utenti;
  • inserire uno strumento, all’interno del sito internet dove viene svolto il servizio di ChatGPT, con cui gli interessati possano chiedere e ottenere la correzione dei propri dati personali che fossero eventualmente errati oppure, qualora fosse impossibile tale rettifica, per poter chiedere e ottenere la cancellazione di tali dati;
  • inserire un link, all’interno del sito internet dove viene svolto il servizio di ChatGPT, che rimandi all’informativa privacy, in modo che gli utenti del servizio possano prendere visione della stessa prima di registrarsi nell’APP;
  • modificare la base giuridica in virtù della quale OpenAI ha dichiarato di effettuare il trattamento dei dati personali degli utenti per addestrare i propri algoritmi, togliendo il riferimento al contratto e indicando come base giuridica il consenso dell’interessato o il legittimo interesse della società (secondo le valutazioni che compirà la stessa società);
  • inserire una richiesta rivolta a tutti gli utenti, nel momento in cui gli stessi effettuino il primo accesso al servizio, successivo all’eventuale riattivazione del medesimo in Italia, di superare un blocco relativo alla maggiore età, in modo tale da impedire l’accesso agli utenti minorenni;
  • elaborare un piano che preveda l’uso di strumenti idonei a verificare l’età anagrafica degli utenti, in modo da impedire l’accesso al servizio a quelli minori di 13 anni e anche ai minorenni (maggiori di 13 anni) che non hanno il consenso espresso di coloro i quali esercitano la responsabilità genitoriale;
  • promuovere una campagna informativa sui principali messi di comunicazione di massa italiani, concordando i contenuti con il Garante, in modo da informare le persone che potrebbero essere raccolti i loro dati personali per addestrare gli algoritmi e che è stata pubblicata sul sito internet di ChatGPT una apposita informativa nonché che è stato ivi messo a disposizione uno strumento con cui gli interessati possono ottenere la cancellazione dei propri dati personali.

Il Garante della Privacy, al fine della realizzazione delle elencate misure richieste, concedeva un termine alla società statunitense fino al 30 aprile 2023 (con esclusione della penultima, il cui termine scadrà il 31 maggio e dell’ultima, il cui termine recava quale scadenza la data del 15 maggio 2023).

OpenAI, negli ultimi giorni di aprile, ha rispettato il monito del Garante facendo pervenire all’Autorità una nota nella quale indicava gli strumenti e gli accorgimenti adottati per rispettare le suddette prescrizioni e per rendere nuovamente operativa la piattaforma.

Il Garante, dunque, operando una verifica sul rispetto delle indicazioni fornite, ha quindi accertato che OpenAI ha effettivamente:

  • predisposto e pubblicato sul proprio sito internet un’informativa con cui illustra agli utenti e ai non utenti quali dati personali sono stati trattati per addestrare gli algoritmi e con quali modalità è avvenuto il trattamento nonché per ricordare a detti soggetti che tutti hanno il diritto di opporsi a tale tipo di trattamento;
  • ampliato l’informativa relativa al trattamento dei dati personali e l’ha resa accessibile anche nella maschera di registrazione prima che l’utente si registri al servizio;
  • riconosciuto a tutte le persone che vivono in Europa, anche se non sono utenti del servizio ChatGPT, il diritto di opporsi al trattamento dei loro dati finalizzato ad addestrare gli algoritmi, mediante l’uso di un modulo compilabile on line e facilmente accessibile;
  • ha previsto la possibilità per gli interessati di fa cancellare le informazioni che li riguardano che sono da questi ritenute errate;
  • ha indicato nella informativa privacy che i dati personali degli interessati saranno trattati per addestrare gli algoritmi solo se questi non abbiano esercitato il diritto di opposizione e che tale trattamento avverrà sulla base del legittimo interesse;
  • ha inserito, nella schermata di benvenuto riservata agli utenti italiani già registrati al servizio, un pulsante con cui detti utenti, per poter accedere nuovamente al servizio, dovranno dichiarare di essere maggiorenni o ultratredicenni e, in questo caso, di avere il consenso dei genitori;
  • ha inserito, nella maschera di registrazione al servizio, la richiesta della data di nascita dell’utente, prevedendo un blocco alla registrazione per gli utenti infratredicenni e prevedendo, nell’ipotesi di utenti ultratredicenni ma minorenni, che debbano confermare di avere il consenso dei genitori all’uso del servizio.

In seguito alla ponderata verifica ed in considerazione di quanto concretamente accertato, il Garante ha di conseguenza reso nuovamente accessibile ed operativa la piattaforma ChatGPT sul territorio italiano, auspicando che presto si raggiunga l’integrale conformità di OpenAI alle pretese regolatorie, anche a mezzo del definitivo adempimento delle richieste avanzate col provvedimento dell’11 aprile e rimaste ancora inevase, in particolare la creazione di un sistema per verificare l’età degli utenti.

In conclusione, il Garante ha comunque precisato che proseguirà nella propria attività di vigilanza con il preciso obiettivo di verificare che ChatGDP sia e rimanga compliant alla disciplina italiana e unionale in tema di privacy e trattamento dei dati personali.

di Dott. Antonino Guarino

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *