Lo stop del Garante Privacy a un chatbot alimentato da intelligenza artificiale

Lo scorso 2 febbraio 2023, il Garante Privacy ha ordinato la limitazione provvisioria al trattamento dei dati personali degli utenti italiani di un chatbot di titolarità di una azienda statunitense, alimentato da un sistema di intelligenza artificiale.

Il Garante Privacy è intervenuto dopo aver appreso, da recenti notizie di stampa, di alcune prove condotte sul chatbot che hanno evidenziato concreti rischi per i minori d’età e, più in generale, per le persone in stato di fragilità emotiva, oltre a violazioni del Regolamento 679/2016 (il GDPR), ivi incluso il principio di trasparenza.

Esiti dell’istruttoria del Garante sul chatbot e i suoi rischi privacy

Il chatbot, accessibile tramite mobile app, è dotato di una interfaccia scritta e vocale, basata su un sistema di intelligenza artificiale, atta a generare un “amico virtuale” per l’utente, che quest’ultimo può decidere di configurare come amico, partner romantico o mentor.

L’istruttoria del Garante ha portato alla luce le seguenti criticità e rischi per gli utenti, in particolare minorenni e persone fragili:

1. Limiti di età non chiari: secondo la privacy policy, il fornitore del servizio dichiara di non raccogliere consapevolmente dati personali di minori di età inferiore ai 13 anni ed incoraggia i genitori e i tutori legali a monitorare l’utilizzo di Internet da parte dei propri figli; invece, nei due principali app store, l’applicazione viene classificata come idonea a persone maggiori di 17 anni, mentre, nei termini di servizio pubblicati nel sito web dello sviluppatore viene indicato un divieto di utilizzo per i minori di 13 anni e l’esigenza che i minori di 18 anni siano previamente autorizzati da un genitore o da un tutore;
2. Assenza di filtri e procedure di age control efficaci: è stata accertata l’assenza di filtri per i minori di età e di meccanismi di interdizione o blocco anche a fronte di dichiarazioni dell’utente che esplicitino la sua minore età e la proposizione di “risposte” da parte del chatbot inappropriate per i minori e, più in generale, a tutti i soggetti più fragili, mentre, durante la fase di creazione di un account, la piattaforma non prevede alcuna procedura di verifica e controllo dell’età dell’utente, poiché il sistema chiede solamente nome, e-mail e genere;
3. Non conformità della privacy policy del chatbot al GDPR: tale documento non presenta gli elementi essenziali del trattamento con particolare riguardo all’utilizzo dei dati personali dei minori. Di conseguenza, il Garante ha ravvisato l’impossibilità di individuare la base giuridica delle varie operazioni di trattamento effettuate dal chatbot.

Le misure adottate dal Garante e considerazioni utili per le aziende

Alla luce delle carenze e criticità riscontrate, il Garante Privacy ha ritenuto che il trattamento effettuato per il tramite del chatbot in relazione ai dati personali degli utenti, in particolare di quelli minori, si ponga in violazione degli artt. 5, 6, 8, 9 e 25 del GDPR che stabiliscono rispettivamente i principi e le condizioni di liceità del trattamento, anche in relazione a minori e categorie particolari di dati personali.

Di conseguenza, il Garante ha imposto la limitazione provvisoria del trattamento al titolare, in relazione a tutti gli utenti stabiliti nel territorio nazionale a causa dell’assenza di qualsivoglia meccanismo di verifica dell’età degli utenti.

La decisione di rilievo perché non è possibile escludere che l’approccio del Garante in merito ai meccanismi di verifica dell’età possa estendersi anche ad altri sistemi di verifica dell’età, mettendoli in discussione. Le aziende dovranno continuare a cercare un punto di equilibrio tra la verifica dell’età e la protezione dei dati personali, considerando le implicazioni sulla privacy della raccolta di tali dati: ciò sarà possibile prendendo in considerazione altre modalità di age verification che comportino una raccolta e trattamento più limitati. Inoltre, le aziende dovranno prestare una attenzione crescente quando decidono di ricorrere a sistemi di intelligenza artificiale, alla luce del recente attivismo da parte del Garante Privacy su tale tema.

Sempre sullo stesso argomento, può interessarvi “Il Consiglio UE adotta la proposta di AI Act sull’intelligenza artificiale”.