Francesca di Giacomo

Con il Provvedimento del 2 Novembre 2024, n. 755 il Garante per la protezione dei dati personali, ossia l’autorità amministrativa indipendente istituita dalla legge 31 dicembre 1996 n. 675 con il compito di verificare il rispetto della normativa di settore, ha accertato la violazione di diverse norme del GDPR (General Data Protection Regulation) da parte di OpenAI attraverso il noto servizio ChatGPT.

Il procedimento in commento trae origine da una attività istruttoria avviata d’ufficio dopo la pubblicazione di notizie stampa relative ad alcune problematiche tecniche occorse il giorno 20 marzo 2023 al  precitato servizio ChatGPT offerto e gestito dalla società OpenAI.

In particolare, le notizie di stampa avevano reso noto un data breach nel quale erano state diffuse alcune conversazioni degli utenti con la chatbot contenenti i loro dati personali (come nome e cognome, indirizzo e-mail, le ultime quattro cifre e la scadenza della carta di credito utilizzata per il pagamento del servizio plus).

Alla luce della notizia del suddetto data breach il Garante ha avviato un'istruttoria ex officio da cui è risultata una gestione non conforme alle norme sulla protezione dei dati personali, laddove l’Autorità  ha rilevato << l'assenza di una idonea informativa per gli utenti e per tutti gli interessati i cui dati fossero stati raccolti da OpenAl e trattati nell'ambito del servizio ChatGPT; l'assenza di una base giuridica per il trattamento dei dati a fini di addestramento degli algoritmi sottesi al funzionamento della piattaforma; la non corrispondenza di alcune delle informazioni fornite da ChatGPT al dato reale e la conseguente inesattezza dei dati personali oggetto delle attività di trattamento del titolare; l'assenza di un qualsivoglia filtro per la verifica dell'età degli utenti, sebbene il servizio fosse rivolto ad utenti maggiori di 13 anni, con il conseguente rischio di esposizione dei minori a risposte inidonee rispetto al loro grado di sviluppo ed autoconsapevolezza.>>

A fronte di tali criticità, il Garante Privacy ha adottato un provvedimento d’urgenza di limitazione provvisoria del trattamento dei dati personali degli utenti stabiliti nel territorio italiano, ai sensi dell’art. 58, par. 2, lett. f), del Regolamento, fino a che OpenAI non si fosse conformata al GDPR.

Successivamente, l’Autorità ha deliberato la sospensione del suddetto provvedimento a condizione che il titolare adottasse misure idonee a garantire che le attività di trattamento dei dati personali nell’ambito del servizio ChatGPT avvenissero in modo conforme alla normativa in materia di protezione dei dati personali.

In seguito ai dialoghi con l’Autorità, OpenAI ha adottato una serie di misure volte a rispettare le direttive del Garante e a garantire la privacy degli utenti di ChatGPT, consentendo il ripristino del servizio in Italia.

Conseguentemente a tale vicenda, il Garante Privacy ha aperto un’ulteriore istruttoria all’esito della quale, l’Autorità ha accertato la violazione della normativa, articolandola su quattro diverse direttrici.

Le violazioni alla normativa di settore hanno riguardato, anzitutto, la mancata tempestiva notifica del data breach che ha interessato ChatGPT.

L’incidente, infatti, avrebbe dovuto essere comunicato alle autorità competenti entro il termine di 72 ore dall’evento, come stabilito dall’art. 33 del GDPR.

La violazione è stata invece notificata daIl’OpenAI alla sola autorità privacy irlandese, nell’erronea convinzione che questa avrebbe condiviso le relative informazioni con le altre Autorità. La società ha tuttavia giustificato tale condotta sostenendo che, all’epoca dei fatti, stava ancora costituendo il suo stabilimento in Irlanda e che avrebbe comunicato l’incidente alle altre autorità tramite il sistema di “sportello unico”. Il Garante Privacy ha rigettato tale argomentazione, sottolineando che, al momento dell’incidente, la società non aveva ancora una sede nell’Unione Europea e avrebbe dovuto notificare direttamente l’evento a tutte le autorità coinvolte, compresa quella italiana.

In secondo luogo, il Garante Privacy ha rilevato che OpenAI aveva dato inizio al trattamento dei dati personali per la finalità di addestramento di ChatGPT senza preventivamente individuare un’idonea base giuridica, in contrasto con gli artt. 5 par.2 e 6 del GDPR.

A fronte di tale rilievo, OpenAI ha sostenuto che, al momento di avvio delle attività, non fosse soggetta agli obblighi derivanti dal GDPR, non essendo ancora ChatGPT disponibile sul territorio europeo. La società ha inoltre affermato che, successivamente alla messa a disposizione del servizio in Europa, ha individuato come base giuridica il legittimo interesse.

Il Garante Privacy ha tuttavia contestato questa posizione, evidenziando che il servizio offerto fosse già idoneo a generare un impatto significativo sui diritti e sulle libertà degli interessati, in ragione tanto dell’innovatività e della complessità della tecnologia utilizzata quanto del numero degli interessati potenzialmente coinvolti. In tal senso, il Garante ha sottolineato che OpenAI non sia stata in grado di dimostrare e comprovare di aver individuato una base giuridica prima dell’inizio delle attività di addestramento di ChatGPT.

Per quanto riguarda la legittimità del trattamento basato sul legittimo interesse, l’Autorità ha trasmesso il caso all’Autorità irlandese, competente per la gestione del caso in ragione della sede di OpenAI in Irlanda.

Il Garante Privacy ha altresì contestato altresì la violazione degli artt. 5, par. 1, lett. a), 12 e 13 del GDPR in quanto la privacy policy adottata da OpenAI (versione del 14 Marzo 2023 vigente al 30 Marzo) presentava diverse omissioni e carenze. 

Tra i principali rilievi, l’Autorità ha evidenziato che l’informativa era disponibile solo in inglese e risultava di non facile reperibilità sul sito web.

 Inoltre, l’informativa risultava inadeguata in quanto le informazioni fornite da OpenAI riguardavano esclusivamente i dati personali necessari per l’utilizzo di ChatGPT, mentre non veniva offerta alcuna informazione, né agli utenti né agli ulteriori interessati, sul trattamento dei dati personali per l’addestramento dei modelli di intelligenza artificiale.

A parere del Garante Privacy, inoltre, il linguaggio utilizzato era troppo generico e non spiegava chiaramente le finalità del trattamento e le modalità di funzionamento del servizio: infatti, le informazioni contenute nel par. 1 della privacy policy relative agli Usage Data, nonché il riferimento di cui al par. 2 ad una finalità di fornitura e miglioramento dei servizi, non appaiono idonee ad informare gli utenti del servizio che l’addestramento dell’algoritmo avviene anche sulla base del trattamento dei dati che gli stessi condividono semplicemente utilizzando il servizio di chatbot.

A fronte di ciò, OpenAI ha dichiarato di aver garantito la trasparenza nei rapporti con gli interessati con pop-up informativi e documenti tecnici come articoli e post online.

Il Garante Privacy ha comunque rilevato che tali strumenti non soddisfino gli obblighi di trasparenza previsti dal GDPR, poiché non era ragionevole attendersi che gli interessati – soprattutto i non utenti – accedessero spontaneamente a questi documenti per informarsi sul trattamento dei loro dati personali. La mancata trasparenza ha dunque impedito agli interessati di comprendere e aspettarsi l’uso dei loro dati per l’addestramento di ChatGPT.

Infine, il Garante ha contestato ad OpenAI la violazione degli artt. 8, 24 e 25, par. 1, del GDPR per non aver predisposto dei sistemi idonei per verificare l’età degli utenti al momento della registrazione al servizio, nonostante i T&C prevedessero il consenso dei genitori o degli esercenti la responsabilità genitoriale per l’iscrizione degli utenti dai 13 ai 18 anni.

In assenza di un meccanismo per la verifica dell’età degli utenti al momento della registrazione, tutti gli utenti, compresi i minori d’età, potevano iscriversi al servizio ed utilizzarlo liberamente.

Il Garante ha precisato che “l’assenza di uno standard comune idoneo a garantire, in maniera certa e assoluta, l’efficacia di un modello di verifica dell’età dell’utente” non può essere considerata una ragione idonea ad escludere l’adempimento degli obblighi a cui è tenuto il titolare del trattamento, in particolare per quanto riguarda “la verifica dell’effettiva capacità negoziale dell’utente ai fini della validità del contratto”.

Dopo le interlocuzioni avviate con il Garante Privacy nel 2023, la società ha inizialmente introdotto un sistema di age gate, consistente in un campo obbligatorio per l’inserimento della data di nascita nella pagina di registrazione del servizio e conseguente blocco della registrazione per gli utenti di età inferiore ai 13 anni e, successivamente, ha affidato l’attività di age verification a un fornitore terzo denominato ‘’Yoti’’.

Alla luce di quanto finora rilevato, il Garante, in ragione dell’atteggiamento collaborativo della società sviluppatrice dei servizi di IA,  ha irrogato alla stessa una sanzione ridotta pari a 15 milioni di euro, ed ha imposto alla stessa di realizzare, una campagna di comunicazione di sei mesi voltata a promuovere la comprensione e la consapevolezza dei cittadini in merito al funzionamento di ChatGPT e alle implicazioni connesse alla tutela dei dati personali.

Come anticipato, le valutazioni del Garante Privacy si limitano alle violazioni riscontrate nel corso dell’intervento del 2023, mentre sarà l’Autorità di protezione dei dati irlandese, in qualità di autorità capofila ed in ottemperanza alla regola del c.d one stop shop a pronunciarsi sull’adeguatezza delle misure privacy implementate da OpenAI allo stato attuale.