Con provvedimento del 2 febbraio 2023, il Garante della privacy stabilisce la limitazione provvisoria del trattamento dei dati nei confronti della Luka Inc, società statunitense che ha sviluppato e gestisce l’applicazione chatbot “Replika”.
La chatbot, dotata di una interfaccia scritta e vocale che basandosi sull’intelligenza artificiale genera un “amico virtuale”, per il momento non potrà usare i dati personali degli utenti italiani.
1. Il caso e l’istruttoria del Garante.
Il Garante premette che le recenti notizie di stampa hanno dato evidenza – con dovizia di dettagli – di alcune prove condotte sull’applicazione Replika (una chatbot, con interfaccia scritta e vocale, basata sull’intelligenza artificiale che genera un “amico virtuale” che l’utente può decidere di configurare come amico, partner romantico o mentore), che hanno evidenziato concreti rischi per i minori d’età e, più in generale, per le persone in stato di fragilità emotiva;
Inoltre, nella privacy policy (aggiornata al 5 luglio 2022) pubblicata nel suo sito web, il fornitore del servizio dichiara di non raccogliere consapevolmente dati personali di minori di età inferiore ai 13 anni ed incoraggia i genitori e i tutori legali a monitorare l’utilizzo di Internet da parte dei propri figli, a rispettare la privacy policy istruendo i minori a non fornire mai dati personali sul servizio senza la loro autorizzazione e a contattare la piattaforma nell’ipotesi in cui abbiano motivo di ritenere che un bambino di età inferiore ai 13 anni abbia fornito dati personali affinché questi possano essere eliminati dai database.
Tuttavia, il Garante rileva che:
- Nei due principali “App store” l’applicazione viene classificata come idonea a persone maggiori di 17 anni, mentre, nei termini di servizio (aggiornati al 14 settembre 2022) pubblicati nel sito web dello sviluppatore viene indicato un divieto di utilizzo per i minori di 13 anni e l’esigenza che i minori di 18 anni siano previamente autorizzati da un genitore o da un tutore;
- Manca ogni meccanismo di verifica dell’età, quali filtri per i minori, ma anche blocchi dell’app di fronte a dichiarazioni in cui l’utente espliciti la propria minore età. Durante la fase di creazione di un account, infatti, la piattaforma si limita a richiedere solo nome, e-mail e genere.
- La chatbot offre “risposte” che risultano spesso palesemente in contrasto con le tutele rafforzate che vanno assicurate ai minori e a tutti i soggetti più fragili. Inoltre, diverse recensioni pubblicate nei due principali “App Store”, peraltro, contengono commenti di utenti che lamentano contenuti sessualmente inopportuni.
In definitiva, il Garante ha valutato come la società che gestisce “Replika” viola il GDPR (Reg. 2016/679), nella misura in cui non rispetta il principio di trasparenza ed effettua un trattamento di dati personali illecito, in quanto non può essere basato, anche solo implicitamente, su un contratto che il minorenne è incapace di concludere.
2. Provvedimento del Garante
Sulla scorta delle considerazioni svolte nel corso dell’istruttoria, l’Autorità ha quindi disposto nei confronti del titolare:
a) Ai sensi dell’art. 58, par. 2, lett. f) del GDPR, in via d’urgenza, la misura della limitazione provvisoria del trattamento dei dati personali degli utenti stabiliti nel territorio italiano;
b) Ex art. 58, par. 1, del GDPR, l’invito, entro 20 giorni dalla data di ricezione del provvedimento, a comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto prescritto e di fornire ogni elemento ritenuto utile a giustificare le violazioni sopra evidenziate.
Avv. Adamo Brunetti
