Il Garante italiano per la privacy ha dato vita ad un provvedimento riguardante ChatGPT per "Raccolta illecita di dati personali" e "Assenza di sistemi per la verifica dell'età dei minori". Stando alle affermazioni dell'Authority, l'iniziativa rimarrà in vigore fino a quanto ChatGPT non rispetterà la disciplina sulla privacy e quindi il GDPR (General Data Protection Regulation) che regola raccolta, conservazione, trattamento e protezione dei dati negli stati membri dell'Unione Europea.
L'iniziativa del Garante e le motivazioni
Nel comunicato ufficiale pubblicato nelle scorse ore il Garante annuncia di aver disposto la limitazione provvisoria del trattamento dei dati degli utenti italiani nei confronti di OpenAI. La società con sede al di fuori dell'Unione che sviluppa e gestisce il modello generativo alla base del servizio.
Contestualmente è stata aperta un'istruttoria. Così come il provvedimento, quest'ultima prenderebbe il via dalla vicenda risalente al 20 marzo scorso durante la quale la piattaforma ha subito un data breach. Le informazioni coinvolte nell'incidente avrebbero riguardato le interazioni tra utenti e chatbot nonché i dati relativi al pagamento degli abbonati al servizio a pagamento ChatGPT Plus disponibile per 20 dollari al mese.
È stato sottolineato inoltre che nel provvedimento:
il Garante privacy rileva la mancanza di una informativa agli utenti e a tutti gli interessati i cui dati vengono raccolti da OpenAI, ma soprattutto l'assenza di una base giuridica che giustifichi la raccolta e la conservazione massiccia di dati personali, allo scopo di "addestrare" gli algoritmi sottesi al funzionamento della piattaforma.
Lo stop al trattamento si sarebbe reso necessario anche perché, stando alle verifiche effettuate, le informazioni fornite dal sevizio non corrisponderebbero sempre alla realtà, con conseguenti inesattezze nel trattamento dei dati personali. Il Garante ha fatto inoltre notare come:
il servizio sia rivolto ai maggiori di 13 anni, l'Autorità evidenzia come l’assenza di qualsivoglia filtro per la verifica dell'età degli utenti esponga i minori a risposte assolutamente inidonee rispetto al loro grado di sviluppo e autoconsapevolezza.
Per il momento il blocco disposto da OpenAI dopo la decisione del Garante, che non riguarda le API, risulterebbe comunque bypassabile tramite VPN o proxy,
