Il provvedimento sanzionatorio emanato dal Garante per la protezione dei dati personali nei confronti di OpenAI rappresenta una tappa cruciale nello sviluppo del diritto alla privacy nell’era dell’intelligenza artificiale (AI). Tale decisione, oltre a evidenziare le criticità inerenti alla gestione dei dati personali, solleva questioni di grande rilevanza circa la necessità di un equilibrio tra l’avanzamento tecnologico e la protezione dei diritti fondamentali degli interessati.
La vicenda trae origine da un data breach verificatosi il 20 marzo 2023, il quale ha esposto dati sensibili, comprese conversazioni private e informazioni parziali relative a carte di credito di utenti premium di ChatGPT. Sebbene OpenAI abbia notificato l’evento all’autorità irlandese, ha omesso di informare tempestivamente le autorità di altri Stati membri, come previsto dal Regolamento Generale sulla Protezione dei Dati (GDPR). Questa omissione ha compromesso la capacità delle autorità competenti di intervenire prontamente, aumentando l’esposizione degli interessati ai rischi connessi alla violazione.
Tuttavia, uno degli aspetti centrali del provvedimento riguarda la mancanza di una base giuridica adeguata per il trattamento dei dati personali. Gli articoli 5 e 6 del GDPR prescrivono che ogni trattamento debba poggiare su una base giuridica chiara e legittima, quale il consenso esplicito, l’adempimento di un contratto o il legittimo interesse. OpenAI, invece, ha avviato il trattamento senza una base giuridica preliminarmente identificata, adottando retroattivamente il legittimo interesse come giustificazione. Questa condotta contravviene ai principi di trasparenza e responsabilità, che rappresentano pilastri fondamentali del GDPR.
Come se non bastasse, la privacy policy adottata da OpenAI è risultata carente sotto vari aspetti rilevanti:
- Non forniva informazioni sufficienti sul trattamento dei dati relativi ai non utenti, ossia soggetti i cui dati potevano essere elaborati indirettamente.
- Era disponibile unicamente in lingua inglese, limitando l’accessibilità per i non anglofoni.
- Era formulata in termini tecnici complessi e non era facilmente reperibile sul sito web, compromettendo il principio di trasparenza sancito dal GDPR.
Una criticità ulteriore riguarda l’assenza di sistemi di verifica dell’età al momento dell’avvio del procedimento. Nonostante le condizioni d’uso vietassero l’accesso ai minori di 13 anni, OpenAI non aveva implementato meccanismi idonei a garantire il rispetto di tale divieto.
Il provvedimento ha inoltre sottolineato il problema della generazione di output contenenti dati personali inesatti o falsi, noto come “allucinazioni”. Questo fenomeno, comune nei modelli di IA generativa, può avere conseguenze significative, quali danni reputazionali per gli individui coinvolti. Nonostante OpenAI abbia introdotto strumenti per la segnalazione e la correzione di tali inesattezze, questi si sono dimostrati poco efficaci, evidenziando la necessità di ulteriori miglioramenti tecnologici.
Il Garante ha irrogato una sanzione pecuniaria di 15 milioni di euro, e, oltre alla multa, sono state imposte diverse misure correttive, tra cui:
- Campagna informativa: OpenAI è stata obbligata a promuovere una campagna di sensibilizzazione per informare utenti e non utenti sui propri diritti e sulle modalità di esercizio degli stessi ai sensi del GDPR.
- Verifica dell’età: È stata richiesta l’implementazione di sistemi affidabili per verificare l’età degli utenti, garantendo una maggiore protezione per i minori.
- Miglioramento della trasparenza: La privacy policy dovrà essere resa più chiara e accessibile, includendo informazioni dettagliate sul trattamento dei dati personali.
Il caso OpenAI costituisce un precedente di fondamentale importanza per la regolamentazione della privacy nell’era dell’IA. Come osservato dal Garante, è imperativo conciliare le esigenze di innovazione tecnologica con la tutela dei diritti fondamentali degli individui. Tale equilibrio richiede non solo una stretta cooperazione tra le autorità di protezione dei dati a livello europeo, ma anche un impegno attivo da parte delle aziende tecnologiche.
Il futuro della regolamentazione dipenderà dalla capacità delle istituzioni e degli attori del settore privato di adottare un approccio integrato, basato sui principi di trasparenza, responsabilità e rispetto dei diritti fondamentali. Solo attraverso tali misure sarà possibile garantire un progresso tecnologico etico e sostenibile, preservando la dignità e la libertà individuale.
Cristiano Pivato
Torna ad Articoli e News