Il Garante per la protezione dei dati personali ha chiuso il procedimento avviato il 31 marzo 2023 nei confronti di OpenAI. L’azienda californiana dovrà pagare una sanzione di 15 milioni di euro per quattro gravi violazione del GDPR (Regolamento generale sulla protezione dei dati) e realizzare una campagna informativa di sei mesi per spiegare agli utenti come usare il diritto di opposizione. Tutti gli atti sono stati trasmessi alla Data Protection Commission (DPC) dell’Irlanda.
Multa e obbligo di campagna informativa
In seguito al data breach che ha permesso di leggere i titoli delle conversazioni di altri utenti e alle informazioni di pagamento degli abbonati a ChatGPT Plus, il Garante ha avviato un’istruttoria e imposto la limitazione temporanea del trattamento dei dati in Italia. OpenAI aveva quindi bloccato l’accesso a ChatGPT.
L’azienda californiana ha promesso di implementare una serie di modifiche al servizio in base alle richieste dell’autorità. Il Garante ha quindi accettato gli impegni e chiuso il provvedimento cautelare. A fine aprile, ChatGPT è tornato online in Italia.
L’istruttoria è proseguita fino alla decisione di oggi. Il Garante ha accertato quattro gravi violazioni del GDPR. OpenAI non ha notificato il data breach di marzo 2023 entro 72 ore, ha trattato i dati personali degli utenti per addestrare ChatGPT senza aver prima individuato una valida base giuridica, ha violato il principio di trasparenza e i relativi obblighi informativi, non ha previsto meccanismi per la verifica dell’età.
Considerando l’atteggiamento collaborativo, il Garante ha inflitto una sanzione di 15 milioni di euro. OpenAI deve inoltre realizzare una campagna di comunicazione istituzionale di sei mesi su radio, televisione, giornali e Internet per informare il pubblico sul funzionamento di ChatGPT (in particolare sulla raccolta dei dati per l’addestramento dell’intelligenza artificiale generativa) e sui diritti esercitabili dagli interessati, inclusi quelli di opposizione, rettifica e cancellazione.
Tutti gli atti del procedimento sono stati trasmessi alla DPC dell’Irlanda che dovrà proseguire l’istruttoria per valutare eventuali altre violazioni, considerando anche il recente parere del Comitato europeo per la protezione dei dati.
OpenAI ha comunicato che presenterà ricorso:
La decisione del Garante non è proporzionata e presenteremo ricorso. Quando il Garante ci ha ordinato di sospendere ChatGPT in Italia nel 2023, abbiamo collaborato con l’Autorità per renderlo nuovamente disponibile un mese dopo. Già allora il Garante aveva riconosciuto il nostro ruolo da capofila per quanto riguarda la protezione dei dati nell’ambito dell’IA e questa sanzione rappresenta circa venti volte il fatturato da noi generato in Italia nello stesso periodo. Riteniamo che l’approccio del Garante comprometta le ambizioni dell’Italia in materia di IA, ma rimaniamo impegnati a collaborare con le autorità preposte alla tutela della privacy in tutto il mondo per offrire un’IA capace di portare benefici alla società nel rispetto dei diritti della privacy.