In data 30 marzo 2023, il Garante per la protezione dei dati personali italiano (il ‘Garante’) ha adottato un provvedimento[1] con cui ha limitato, in via provvisoria, il trattamento di dati personali da parte dell’applicazione ChatGPT in Italia, per presunte violazioni della normativa privacy. In particolare, il Garante ha disposto un provvedimento di urgenza di limitazione provvisoria del trattamento dei dati personali[2] nei confronti di OpenAI L.L.C., la società statunitense che ha sviluppato e gestisce ChatGPT, in relazione al trattamento dei dati personali effettuato attraverso ChatGPT. Il presidente del Garante ha ritenuto che sussistessero nel caso le condizioni per l’adozione di un provvedimento di urgenza, senza la regolare convocazione di tutti i membri del Garante, come previsto dal Regolamento n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante[3]. In qualità di provvedimento di urgenza provvisorio, cesserà di avere efficacia qualora non ratificato dal Garante nella prima riunione utile, da convocarsi non oltre il trentesimo giorno dall’adozione. Il Garante ha contestualmente avviato un’istruttoria per fornire una decisione definitiva sulla questione.
ChatGPT è un software di intelligenza artificiale che ha acquisito particolare notorietà negli ultimi mesi, a seguito del suo lancio nel novembre 2022. ChatGPT è un chatbot intelligente basato sull’architettura GPT (Generative Pre-trained Transformer) e progettato per fornire risposte agli utenti tramite un linguaggio naturale. Per fornire le proprie risposte, ChatGPT analizza una grande quantità di dati testuali provenienti da varie fonti, tra cui testi online, dizionari, libri e documenti scientifici, ed è sottoposto ad un processo di addestramento tramite un algoritmo di apprendimento automatico. In data 20 marzo ChatGPT ha subito un data breach, come confermato dalla società OpenAI con una comunicazione al pubblico[4]. Nel suo ordinario funzionamento, ChatGPT tratta un’enorme quantità di dati personali, degli utenti e di persone terze, al fine sia di erogare il servizio agli utenti che di addestrare gli algoritmi sottesi al suo funzionamento.
Nel suo provvedimento d’urgenza, il Garante ha indicato una serie di violazioni della normativa privacy che hanno motivato le decisione di disporre la limitazione provvisoria. Dato il suo carattere di urgenza, il provvedimento è piuttosto scarno e non contiene una dettagliata esposizione delle argomentazioni giuridiche che lo hanno motivato, ma piuttosto una breve esposizione delle violazioni rilevate. Pertanto, occorrerà attendere il provvedimento finale per avere una panoramica completa delle osservazioni del Garante. Tuttavia, è possibile identificare tre principali criticità identificate dal Garante.
In primo luogo, il Garante ha osservato che OpenAI non forniva alcuna informativa agli utenti, né alle altre persone fisiche i cui dati sono raccolti e trattati nel corso del funzionamento di ChatGPT, e che il trattamento avveniva senza un’idonea base giuridica. ChatGPT utilizza un’enorme quantità di dati raccolti su Internet, tra cui vi è un’ingente quantità di dati personali. Nonostante i dati personali raccolti su Internet siano già disponibili al pubblico, occorre che il loro trattamento avvenga con un’idonea base giuridica, e rispettando gli obblighi informativi verso le persone fisiche i cui dati personali sono soggetti a trattamento. Il provvedimento del Garante nulla dice sulle ragioni che hanno portato a rilevare l’assenza di un’idonea base giuridica per il trattamento. Posto che OpenAI non acquisisce il consenso delle persone interessate, resta da vedere per quali ragioni il Garante ritiene che le altre basi giuridiche non siano applicabili, soprattutto con riferimento al legittimo interesse. Tuttavia, occorre tenere a mente che il Garante compierà ulteriori verifiche per valutare l’esistenza di una base giuridica, anche alla luce delle informazioni che saranno fornite da OpenAI durante la fase istruttoria. Non è pertanto escluso che possano emergere ulteriori elementi che incideranno sulla valutazione inizialmente svolta dal Garante.
In secondo luogo, secondo il Garante il trattamento dei dati personali è inesatto in quanto le informazioni fornite da ChatGPT non corrispondono sempre al dato reale. Nel rispondere alle domande poste dagli utenti, ChatGPT associa informazioni a persone fisiche, talvolta creando un’immagine distorta delle persone stesse. In altri termini, si realizza un trattamento di dati personali inesatti, che è contrario ad uno dei principi generali sul trattamento dei dati personali affermati dal GDPR, ovvero il principio dell’esattezza[5]. Il trattamento inesatto dei dati personali può comportare danni particolarmente gravi per le persone fisiche interessate, soprattutto alla luce del fatto che molti utenti sembrano usare ChatGPT come una fonte di informazioni del tutto affidabile.
In terzo luogo, il Garante ha avanzato importanti contestazioni riguardanti la tutela dei minori. Nonostante OpenAI riservi il servizio di ChatGPT a soggetti che abbiano almeno compiuto 13 anni, non sono stati predisposti meccanismi di verifica dell’età degli utenti. Difatti, è sufficiente dichiarare di avere più di 13 anni per poter accedere al servizio, e secondo il Garante questo comporta che i minori potrebbero facilmente essere esposti a risposte ‘assolutamente inidonee rispetto al grado di sviluppo e autoconsapevolezza’ dei minori. Nonostante le considerazioni approfondite del Garante sui rischi posti per i minori non sono ancora state rese pubbliche, è ragionevole ipotizzare che la natura del servizio di ChatGPT, che è un’applicazione conversazionale, potrebbe portare facilmente ad una manipolazione nella formazione delle idee da parte dei minori su potenzialmente qualsiasi tema. Data la complessità dell’applicazione, un minore non sarebbe probabilmente in grado di comprenderne il funzionamento per tutelarsi da indebite influenze.
Alla luce delle suddette criticità, il Garante ha ritenuto che il trattamento dei dati personali degli utenti e degli interessati per il servizio di ChatGPT fosse in violazione degli articoli 5, 6, 8, 13 e 25 del GDPR, ed ha imposto la limitazione provvisoria ad OpenAI con effetto immediato dal giorno di ricezione del provvedimento. OpenAI è tenuto a comunicare entro 20 giorni le misure adottate per conformarsi a quanto imposto dal Garante. In caso di inottemperanza, potrà essergli imposta una sanzione fino a 20 milioni di euro o fino al 4% del fatturato globale annuo.
A seguito dell’adozione del provvedimento di limitazione provvisoria, OpenAI ha sospeso l’accesso al servizio ChatGPT in Italia. Il provvedimento è stato ampiamente criticato dal pubblico, sia per la correttezza dal punto di vista giuridico delle violazioni contestate, sia per l’impatto negativo che potrebbe avere sull’innovazione. ChatGPT aveva riscosso particolare successo negli ultimi mesi ed era stato lodato per i benefici apportati in vari ambiti. Resta da attendere la conclusione dell’istruttoria da parte del Garante e la pubblicazione di un provvedimento definitivo munito di una dettagliata motivazione della decisione presa.
[1] Provvedimento del 30 marzo 2023 n. 9870832, si veda il seguente LINK.
[2] La limitazione provvisoria del trattamento può essere disposta dalle autorità nazionali competenti ai sensi dell’articolo 58, paragrafo 2, lettera f) del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (il ‘GDPR’).
[3] Si veda l’articolo 5, comma 8, del Regolamento n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante.
[4] Si veda la comunicazione disponibile al seguente LINK.
[5] Si veda l’articolo 5(1)(d) del GDPR.