COMUNICATO STAMPA – ChatGPT, il Garante privacy chiude l’istruttoria….

– English version

VEDI ANCHE

– Provvedimento del 2 novembre 2024

– Comunicato del 13 aprile 2023

– Comunicato del 12 aprile 2023

– Provvedimento dell’11 aprile 2023

– Comunicato dell’8 aprile 2023

– Comunicato del 6 aprile 2023

– Comunicato del 4 aprile 2023

Comunicato del 31 marzo 2023

– Provvedimento del 30 marzo 2023

ChatGPT, il Garante privacy chiude l’istruttoria
OpenAI dovrà realizzare una campagna informativa di sei mesi e pagare una sanzione di 15 milioni di euro.

Il Garante per la protezione dei dati personali ha adottato nei giorni scorsi un provvedimento correttivo e sanzionatorio nei confronti di OpenAI in relazione alla gestione del servizio ChatGPT.

Il provvedimento, che accerta le violazioni a suo tempo contestate alla società californiana, arriva all’esito di un’istruttoria avviata nel marzo del 2023 e dopo che l’EDPB (Comitato europeo per la protezione dei dati) ha pubblicato il parere con il quale identifica un approccio comune ad alcune delle più rilevanti questioni relative al trattamento dei dati personali nel contesto della progettazione, sviluppo e distribuzione di servizi basati sull’intelligenza artificiale.

Secondo il Garante la società statunitense, che ha creato e gestisce il chatbot di intelligenza artificiale generativa, oltre a non aver notificato all’Autorità la violazione dei dati subita nel marzo 2023, ha trattato i dati personali degli utenti per addestrare ChatGPT senza aver prima individuato un’adeguata base giuridica e ha violato il principio di trasparenza e i relativi obblighi informativi nei confronti degli utenti. Per di più, OpenAI non ha previsto meccanismi per la verifica dell’età, con il conseguente rischio di esporre i minori di 13 anni a risposte inidonee rispetto al loro grado di sviluppo e autoconsapevolezza.

L’Autorità, con l’obiettivo di garantire, innanzitutto, un’effettiva trasparenza del trattamento dei dati personali, ha ordinato a OpenAI, utilizzando per la prima volta i nuovi poteri previsti dall’articolo 166, comma 7 del Codice Privacy, di realizzare una campagna di comunicazione istituzionale di 6 mesi su radio, televisione, giornali e Internet.

I contenuti, da concordare con l’Autorità, dovranno promuovere la comprensione e la consapevolezza del pubblico sul funzionamento di ChatGPT, in particolare sulla raccolta dei dati di utenti e non-utenti per l’addestramento dell’intelligenza artificiale generativa e i diritti esercitabili dagli interessati, inclusi quelli di opposizione, rettifica e cancellazione.

Grazie a tale campagna di comunicazione, gli utenti e i non-utenti di ChatGPT dovranno essere sensibilizzati su come opporsi all’addestramento dell’intelligenza artificiale generativa con i propri dati personali e, quindi, essere effettivamente posti nelle condizioni di esercitare i propri diritti ai sensi del GDPR.

Il Garante ha comminato a OpenAI una sanzione di quindici milioni di euro calcolata anche tenendo conto dell’atteggiamento collaborativo della società.

Infine, tenuto conto che la società, nel corso dell’istruttoria, ha stabilito in Irlanda il proprio quartier generale europeo, il Garante, in ottemperanza alla regola del c.d. one stop shop, ha trasmesso gli atti del procedimento all’Autorità di protezione dati irlandese (DPC), divenuta autorità di controllo capofila ai sensi del GDPR, affinché prosegua l’istruttoria in relazione a eventuali violazioni di natura continuativa non esauritesi prima dell’apertura dello stabilimento europeo.

Roma, 20 dicembre 2024

________

The Italian Data Protection Authority has recently taken corrective and sanctioning measures against OpenAI in relation to the management of the ChatGPT service.

The measure, which ascertains the breaches that were contested with the Californian company at the time, reaches the result of an investigation initiated in March 2023 and after the EDPB (European Data Protection Board) published its opinion identifying a common approach to some of the most important issues related to the processing of personal data in the context of the design, development and deployment of AI-based services.

According to the Italian Data Protection Authority, the US company, which created and manages the generative artificial intelligence chatbot, did not notify the Authority of the data breach it underwent in March 2023, it has processed users’ personal data to train ChatGPT without first identifying an appropriate legal basis and has violated the principle of transparency and the related information obligations toward users. Furthermore, OpenAI has not provided for mechanisms for age verification, which could lead to the risk of exposing children under 13 to inappropriate responses with respect to their degree of development and self-awareness.

The Authority, with the aim of ensuring, first and foremost, effective transparency in the processing of personal data, ordered OpenAI – using for the first time the new powers provided for in article 166 paragraph 7 of the Privacy Code – to carry out a 6-month institutional communication campaign on radio, television, newspapers and the Internet.

The content, to be agreed with the Authority, should promote public understanding and awareness of the functioning of ChatGPT, in particular on the collection of user and non-user data for the training of generative artificial intelligence and the rights exercised by data subjects, including the rights to object, rectify and delete their data.

Through this communication campaign, users and non-users of ChatGPT will have to be made aware of how to oppose generative artificial intelligence being trained with their personal data and thus be effectively enabled to exercise their rights under the GDPR.

The Data Protection Authority imposed a fine of EUR 15 million on OpenAI, which was also calculated taking into account the company’s cooperative attitude.

Finally, in view of the fact that the company established its European headquarters in Ireland in the course of the preliminary investigation, the Data Protection Authority, in compliance with the so-called one stop shop mechanism, forwarded the procedural documents to the Irish Data Protection Authority (DPC), which became lead supervisory authority under the GDPR so as to continue investigating any ongoing infringements that have not been exhausted before the opening of the European headquarters.

Rome, 20 December 2024