Il Garante Privacy ha recentemente emesso un importante provvedimento in relazione a violazioni del GDPR da parte di un chatbot AI.
Più specificamente, le indagini del Garante sono state avviate a seguito di una violazione dei dati che ha subito il 20 marzo 2023 il chatbot. Il Garante ha rilevato che l’azienda non aveva notificato all’autorità la violazione in modo tempestivo, come richiesto dall’articolo 33 del GDPR, nonostante la violazione potesse potenzialmente causare rischi significativi agli interessati.
Inoltre, l’indagine ha rivelato che l’azienda ha violato ulteriori obblighi del GDPR, il che ha portato a una multa di 15.000.000 di euro. Di seguito riportiamo le principali violazioni riscontrate dal Garante.
Base giuridica
Il Garante ha riscontrato una violazione dell’articolo 5, paragrafo 2, e dell’articolo 6 del GDPR per non aver individuato una base giuridica valida per il trattamento dei dati personali per l’addestramento del modello di intelligenza artificiale prima del lancio del servizio.
L’azienda ha sostenuto che il trattamento per la fornitura del servizio si basava sull’esecuzione di un contratto e che la formazione dell’algoritmo si basava su un interesse legittimo. Tuttavia, il Garante ha stabilito che l’azienda non aveva individuato tali basi giuridiche prima del lancio del servizio. Inoltre, la documentazione presentata nel corso del procedimento, come la valutazione dell’impatto sulla protezione dei dati (DPIA) e il test di bilanciamento (LIA), è stata redatta mesi dopo l’avvio del servizio.
Dato che la società ha sede in Irlanda, il Garante ha deferito la questione all’Autorità irlandese, in qualità di autorità di controllo principale ai sensi dell’articolo 56 del GDPR, per un’ulteriore valutazione e azione in merito all’uso del legittimo interesse come base giuridica.
Trasparenza
Il Garante Privacy ha riscontrato che l’azienda ha violato gli articoli 5(1)(a), 12 e 13 del GDPR a causa di carenze significative nella sua informativa privacy. Le principali criticità riguardavano la mancanza di trasparenza, accessibilità e completezza delle informazioni fornite sulle modalità di trattamento dei dati personali, in particolare per l’addestramento dei modelli di intelligenza artificiale.
L’indagine ha rivelato che l’informativa privacy era disponibile solo in inglese e non era facilmente accessibile. Gli utenti non potevano prendere visione dell’informativa prima di fornire i propri dati, in quanto mal posizionata nella pagina di registrazione. Inoltre, l’informativa privacy riguardava solo i dati raccolti per l’utilizzo del servizio di chatbot, senza fornire alcuna informazione sulle modalità di trattamento dei dati personali, compresi quelli pubblicamente disponibili dei non utenti, durante l’addestramento dei modelli di intelligenza artificiale.
Inoltre, il linguaggio dell’informativa privacy risultava vago e poco chiaro. I termini utilizzati, come “migliorare i servizi”, non comunicavano lo scopo specifico dell’addestramento dei modelli di intelligenza artificiale, come la messa a punto o la ricerca avanzata sull’AI. Questa mancanza di chiarezza ha reso difficile per le persone comprendere la natura e la portata delle attività di trattamento dei dati, che includevano l’uso innovativo e complesso della tecnologia AI.
L’azienda ha sostenuto di aver adottato misure per garantire la trasparenza con le informative sulla privacy, i pop-up e varie pubblicazioni, compresi i documenti di ricerca e le note tecniche rese disponibili dal 2019. Tuttavia, il Garante ha concluso che questi sforzi erano insufficienti. L’informativa privacy non forniva informazioni critiche, come la base giuridica per il trattamento dei dati o i potenziali impatti delle attività di addestramento dei modelli con i dati personali. La previsione di documenti supplementari non soddisfaceva i requisiti del GDPR, poiché non era ragionevole aspettarsi che gli utenti e i non utenti cercassero o esaminassero tali materiali in modo indipendente.
Verifica dell’età dei minori
Un’altra questione critica affrontata dal Garante è stata la protezione dei dati dei minori. L’indagine ha rivelato violazioni degli articoli 24 e 25(1) del GDPR per non aver implementato sistemi adeguati per verificare l’età degli utenti che si registrano al chatbot.
Più specificamente, i termini di servizio affermavano che i minori di età compresa tra i 13 e i 18 anni dovevano ottenere il consenso dei genitori per utilizzare il servizio, ma non erano previsti meccanismi per far rispettare questo requisito. Questa omissione ha permesso a tutti gli utenti, compresi i minori, di accedere al servizio senza verifica dell’età o coinvolgimento dei genitori.
Il Garante ha osservato che la mancanza di standard europei comuni per la verifica dell’età non esime i titolari del trattamento dalla responsabilità di verificare la capacità contrattuale degli utenti, come richiesto dal GDPR.
Conclusioni
Con questa decisione si conclude uno dei primi procedimenti del Garante contro un’azienda che offre servizi AI direttamente agli utenti finali.
Questa decisione evidenzia la visione restrittiva del Garante sulla tecnologia AI, in particolare con riferimento ai principi di responsabilità e trasparenza. Inoltre, le aziende che forniscono servizi basati sull’ai direttamente agli utenti finali dovranno valutare attentamente l’adozione di misure appropriate per verificare l’età degli utenti.
La decisione crea un importante precedente, segnalando che le autorità esamineranno attentamente il funzionamento delle tecnologie di AI e il loro allineamento con le leggi sulla privacy e sulla protezione dei dati. Per le aziende, ciò evidenzia la necessità di integrare la conformità nella progettazione e nelle funzionalità di base dei loro sistemi di IA.
Su un argomento simile può essere d’interesse l’articolo “L’EDPB pubblica il rapporto della Taskforce su ChatGPT evidenziando le principali sfide per la conformità alla privacy dell’IA generativa“
