Il garante sottolinea la mancanza di informazioni rivolte agli utenti e a tutti coloro i cui dati sono raccolti da OpenAI. In particolare, l’assenza di una base legale che autorizzi la raccolta e l’archiviazione di informazioni personali.
L’Autorità per la protezione dei dati personali ha ordinato, con effetto immediato, la restrizione temporanea del trattamento dei dati degli utenti italiani ad opera di OpenAI, l’azienda americana che ha creato e gestisce la piattaforma ChatGPT. Contemporaneamente, l’Autorità ha avviato un’indagine.
Nella decisione, il garante della privacy evidenzia la mancanza di informazioni rivolte agli utenti e a tutti coloro i cui dati sono raccolti da OpenAI, e soprattutto l’assenza di una base legale che autorizzi la raccolta e l’archiviazione massiva di informazioni personali.
ChatGPT, uno dei software di intelligenza artificiale più noti, in grado di simulare ed elaborare conversazioni umane, il 20 marzo scorso ha subito una violazione dei dati (data breach) riguardanti le conversazioni degli utenti e le informazioni di pagamento degli abbonati al servizio premium.
Nella decisione – si legge in una nota -, il garante della privacy evidenzia la mancanza di informazioni rivolte agli utenti e a tutti coloro i cui dati sono raccolti da OpenAI, e in particolare l’assenza di una base legale che autorizzi la raccolta e l’archiviazione massiva di dati personali, allo scopo di “allenare” gli algoritmi che supportano il funzionamento della piattaforma.
Come dimostrato dalle verifiche effettuate, le informazioni fornite da ChatGPT non corrispondono sempre alla realtà, causando quindi un trattamento inesatto dei dati personali.
Infine, sebbene – secondo le condizioni pubblicate da OpenAI – il servizio sia destinato a utenti di età superiore ai 13 anni, l’Autorità sottolinea che l’assenza di un filtro per verificare l’età degli utenti espone i minori a risposte inadeguate rispetto al loro livello di sviluppo e consapevolezza di sé.
OpenAI, che non ha una sede nell’Unione ma ha nominato un rappresentante nello Spazio economico europeo, deve comunicare entro 20 giorni le misure adottate per rispettare le richieste dell’Autorità, altrimenti rischia una multa fino a 20 milioni di euro o fino al 4% del fatturato globale annuo.
