Dopo aver esaminato ampiamente sul nostro blog il provvedimento limitativo del trattamento dei dati personali del Garante della privacy italiano a carico di OpenAI, società statunitense che gestisce ChatGPT, prendiamo atto del recente comunicato del Garante Privacy, emanato in data 28 aprile.

Molto brevemente, il provvedimento iniziale del 30 marzo del Garante privacy aveva rilevato come la società OpenAI:

• Avesse omesso di implementare l’informativa relativa al trattamento dei dati per gli utenti e a tutti gli interessati i cui dati vengono raccolti;
• Non avesse alcuna base giuridica idonea a giustificare la raccolta e la conservazione massiccia di dati personali, allo scopo di “addestrare” gli algoritmi sottesi al funzionamento della piattaforma.

Per tali ragioni, il Garante concludeva come, attraverso verifiche effettuate, le informazioni fornite da ChatGPT non sempre erano corrispondenti al dato reale, determinando quindi un trattamento di dati personali inesatto.

Inoltre, l’Autorità stessa evidenziava l’assenza di qualsivoglia filtro per la verifica dell’età degli utenti, che espone i minori a risposte assolutamente inidonee rispetto al loro grado di sviluppo e autoconsapevolezza.

Con successivo provvedimento dell’11 aprile 2023, poi, il Garante ordinava a OpenAI un’ampia serie di prescrizioni volte a consentire l’adeguamento di ChatGPT al GDPR, impartendo, al contempo, alla compagine statunitense di comunicare entro 20 giorni le misure intraprese in attuazione di quanto richiesto.

1.    Le misure correttive di OpenAI.

In data 28 aprile OpenAI ha fatto pervenire al Garante per la protezione dei dati personali una nota nella quale illustra le misure introdotte in ottemperanza alle richieste dell’Autorità contenute nel provvedimento dello scorso 11 aprile, spiegando di aver messo a disposizione degli utenti e non utenti europei e, in alcuni casi, anche extra-europei, una serie di informazioni aggiuntive, di aver modificato e chiarito alcuni punti e riconosciuto a utenti e non utenti soluzioni accessibili per l’esercizio dei loro diritti.  Alla luce di questi miglioramenti OpenAI ha reso nuovamente accessibile ChatGPT agli utenti italiani.

Vediamo in sintesi le misure correttive che OpenAI ha posto in essere:

• Predisposizione e pubblicazione sul proprio sito un’informativa rivolta a tutti gli utenti e non utenti, in Europa e nel resto del mondo, per illustrare quali dati personali e con quali modalità sono trattati per l’addestramento degli algoritmi e per ricordare che chiunque ha diritto di opporsi a tale trattamento;
• Ampliamento dell’informativa sul trattamento dei dati riservata agli utenti del servizio rendendola ora accessibile anche nella maschera di registrazione prima che un utente si registri al servizio;
• Riconoscimento a tutte le persone che vivono in Europa, anche non utenti, il diritto di opporsi a che i loro dati personali siano trattati per l’addestramento degli algoritmi anche attraverso un apposito modulo compilabile online e facilmente accessibile;
• Introduzione una schermata di benvenuto alla riattivazione di ChatGPT in Italia, con i rimandi alla nuova informativa sulla privacy e alle modalità di trattamento dei dati personali per il training degli algoritmi;
• Previsione per gli interessati la possibilità di far cancellare le informazioni ritenute errate dichiarandosi, allo stato, tecnicamente impossibilitata a correggere gli errori;
• Chiarimento, nell’informativa riservata agli utenti, che mentre continuerà a trattare taluni dati personali per garantire il corretto funzionamento del servizio sulla base del contratto, tratterà i loro dati personali ai fini dell’addestramento degli algoritmi, salvo che esercitino il diritto di opposizione, sulla base del legittimo interesse;
• Implementazione per gli utenti già nei giorni scorsi un modulo che consente a tutti gli utenti europei di esercitare il diritto di opposizione al trattamento dei propri dati personali e poter così escludere le conversazioni e la relativa cronologia dal training dei propri algoritmi;
• Inserimento nella schermata di benvenuto riservata agli utenti italiani già registrati al servizio un collegamento per consentire, nel riaccedere al servizio, la dichiarazione di essere maggiorenni o ultratredicenni e, in questo caso, di avere il consenso dei genitori;
• Inserimento nella maschera di registrazione al servizio la richiesta della data di nascita prevedendo un blocco alla registrazione per gli utenti infratredicenni e prevedendo, nell’ipotesi di utenti ultratredicenni ma minorenni che debbano confermare di avere il consenso dei genitori all’uso del servizio.

2.    La decisione del Garante della Privacy.

L’Autorità, con il proprio comunicato del 28 aprile 2023, ha espresso soddisfazione per le misure intraprese e ha auspicato che OpenAI, nelle prossime settimane, ottemperi alle ulteriori richieste impartitele con lo stesso provvedimento dell’11 aprile con particolare riferimento all’implementazione di un sistema di verifica dell’età e alla pianificazione e realizzazione di una campagna di comunicazione finalizzata a informare tutti gli italiani di quanto accaduto e della possibilità di opporsi all’utilizzo dei propri dati personali ai fini dell’addestramento degli algoritmi.

Infine, il Garante ha sottolineato riconosciuto “i passi in avanti compiuti per coniugare il progresso tecnologico con il rispetto dei diritti delle persone” auspicando “che la società prosegua lungo questo percorso di adeguamento alla normativa europea sulla protezione dati“.

Avv. Adamo Brunetti

Per scaricare i documenti oggetto di commento, clicca qui