Con il Provvedimento n. 755 del 2 novembre 2024, il Garante per la protezione dei dati personali italiano ha inflitto a OpenAI, la società dietro il celebre chatbot ChatGPT, una sanzione amministrativa pecuniaria di complessivi 15 milioni di euro.
Il procedimento trae origine da una attività istruttoria avviata d’ufficio a seguito della pubblicazione di notizie stampa relative ad alcune problematiche tecniche (bug) occorse il giorno 20 marzo 2023 al precitato servizio ChatGPT.
Al centro delle contestazioni del Garante vi è la gestione poco trasparente e poco conforme alle norme sulla protezione dei dati personali da parte di OpenAI. L’Autorità ha rilevato, innanzitutto, una carenza di informazioni fornite agli utenti circa la raccolta e l’utilizzo dei loro dati personali. La privacy policy di ChatGPT, disponibile solo in lingua inglese e non facilmente reperibile sul sito web, risultava insufficiente a garantire un’adeguata consapevolezza degli utenti sui trattamenti effettuati sui loro dati.
Il Garante ha inoltre sottolineato l’assenza di una base giuridica adeguata a giustificare il trattamento dei dati personali degli utenti per l’addestramento dei modelli linguistici su cui si basa ChatGPT. Ha destato particolare preoccupazione anche la mancata verifica dell’età degli utenti, considerata cruciale dato il rischio di esposizione dei minori a contenuti potenzialmente inappropriati generati dal chatbot. L’assenza di adeguati meccanismi di controllo è stata considerata un’ulteriore e grave violazione delle norme a tutela dei minori.
Infine, l’Autorità ha contestato a OpenAI la mancata notifica di una violazione dei dati subita nel marzo 2023, un obbligo previsto dal GDPR in caso di incidenti che potrebbero compromettere i diritti e le libertà degli interessati.
Alla luce di queste gravi violazioni, il Garante ha ritenuto necessario irrogare una sanzione pecuniaria di notevole entità, anche al fine di scoraggiare comportamenti illeciti e di sensibilizzare il mercato sulla necessità di un approccio più responsabile alla protezione dei dati personali, specialmente nel contesto delle nuove tecnologie.
Oltre alla sanzione pecuniaria, il Garante ha ordinato a OpenAI di avviare una campagna informativa per spiegare agli utenti come funzionano i modelli di linguaggio come ChatGPT e quali sono i loro diritti in materia di privacy. La campagna, in particolare, dovrà fornire informazioni sulla raccolta dei dati di utenti e non-utenti per finalità di addestramento dei modelli, e sui diritti esercitabili dagli interessati ai sensi del GDPR.
