Data protection

Il Garante infligge una multa da 15 milioni di euro ad OpenAI per violazione della privacy di ChatGPT

Sommario: Il caso; Istruttoria; Le violazioni contestate alla Società; Con riferimento alla mancata individuazione della condizione di liceità del trattamento; Con riferimento alla privacy policy; Con riferimento all’assenza di meccanismi di verifica dell’età dei minori; Con riferimento alla “generazione” di dati inesatti; Art. 33 del Regolamento; Artt. 5, par. 2 e 6 del Regolamento; Artt. 5, par. 1, lett. a), 12 e 13 del Regolamento; Artt. 24 e 25, par. 1, del Regolamento; Le sanzioni.

Il caso

ChatGPT, acronimo di Chat Generative Pre-trained Transformer, è un chatbot basato su di un sistema di intelligenza artificiale generativa, che genera output testuali sulla base di input (cd. prompt) testuali.

Ai fini di questo provvedimento[1], per “intelligenza artificiale generativa” si intende il campo dell’intelligenza artificiale che si concentra sulla creazione di contenuti nuovi e originali utilizzando algoritmi prevalentemente di tipo neurale e per “rete neurale” si intende un modello computazionale standard applicabile nei contesti più diversificati che permette il riconoscimento di oggetti, forme o pattern all’interno di un dato o un insieme di dati (ad esempio, un volto umano in una fotografia). Gli algoritmi di intelligenza artificiale generativa sono impiegati in una vasta gamma di applicazioni, tra cui il riconoscimento e la generazione di immagini, di tracce vocali o musicali, di testi e di video.

La versione del modello di linguaggio di grandi dimensioni (Large Language Model – LLM), all’epoca dei fatti sottesa al servizio gratuito di ChatGPT è GPT 3.5, quella alla versione a pagamento del servizio è GPT 4.

Ai fini di questo provvedimento per “Large Language Model” si intende un modello probabilistico di un linguaggio naturale, come la lingua inglese o italiana, che si basa sulla constatazione che tutti i linguaggi naturali sono fortemente ridondanti e correlati, e per “Generative Pre-trained Transformer (GPT)” si intende un algoritmo di intelligenza artificiale generativa che si fonda sull’uso di un particolare modello computazionale detto Transformer, che appare più efficiente e più versatile del classico modello neurale nei casi in cui la struttura dei dati in ingresso sia di tipo sequenziale (come nei Large Language Models) e l’obiettivo della generazione sia la previsione del successivo elemento della sequenza sulla base dell’osservazione di tutti gli elementi precedenti. L’impiego di particolari modelli computazionali (Transformer) e di particolari rappresentazioni numeriche delle unità linguistiche (Embedding) consente di costruire una rete molto fitta e molto estesa di correlazioni semantiche tra unità linguistiche in un testo, rendendo la generazione automatizzata di nuovi testi praticamente indistinguibile dal testo prodotto in forma creativa da un essere umano che abbia letto lo stesso corpus di testi comprendendone il senso.

Le notizie stampa hanno reso noto che, a causa di un bug, sulla pagina principale del servizio ChatGPT, l’utente visualizzava la cronologia dei titoli delle chat di altri utilizzatori del servizio anziché le proprie.

In seguito la Società ha pubblicamente confermato l’accaduto e ha precisato che i dati coinvolti nella problematica tecnica che avrebbero potuto essere visualizzati da utenti diversi dagli interessati erano il nome, il cognome, l’indirizzo e-mail, nonché le ultime quattro cifre e la scadenza della carta di credito utilizzata per il pagamento del servizio ChatGPT Plus (la versione a pagamento del servizio).

  • Alla luce della notizia di tale data breach il Garante ha avviato un’istruttoria ex officio rilevando che il trattamento dei dati personali da parte di OpenAI nell’ambito del servizio ChatGPT potesse dare luogo ad una violazione della normativa in materia di dati personali con particolare riferimento: all’assenza di una idonea informativa per gli utenti e per tutti gli interessati i cui dati fossero stati raccolti da OpenAI e trattati nell’ambito del servizio ChatGPT; 
  • all’assenza di una base giuridica per il trattamento dei dati a fini di addestramento degli algoritmi sottesi al funzionamento della piattaforma; alla non corrispondenza di alcune delle informazioni fornite da ChatGPT al dato reale e la conseguente inesattezza dei dati personali oggetto delle attività di trattamento del titolare;
  • all’assenza di un qualsivoglia filtro per la verifica dell’età degli utenti, sebbene il servizio fosse rivolto ad utenti maggiori di 13 anni, con il conseguente rischio di esposizione dei minori a risposte inidonee rispetto al loro grado di sviluppo ed autoconsapevolezza.

Istruttoria

La Società con nota del 19 maggio 2023, ha rappresentato:

a) in merito al funzionamento di ChatGPT:

– di aver addestrato il proprio modello con i dati provenienti da tre fonti primarie di informazioni: i) quelle pubblicamente disponibili su Internet, ii) quelle concesse in licenza da terzi e, infine, iii) quelle fornite dagli utenti o dagli “addestratori” incaricati dalla Società a tal fine. A tal proposito la Società ha allegato la valutazione di impatto (DPIA) datata 19 maggio 2023 (prima bozza del 24 febbraio 2023);

– di aver adottato misure per limitare la quantità di dati personali presenti nelle informazioni di addestramento del modello, escludendo i siti web che contengono grandi volumi di dati personali, non raccogliendo dati dal c.d. dark web e utilizzando, nella fase di fine-tuning del modello, anche Azure Cognitive Services per rimuovere le informazioni di carattere personale;

– di utilizzare diverse metodologie per la raccolta delle informazioni di addestramento: i) per quelle presenti in Internet, il c.d. crawling da parte direttamente di OpenAI o da parte di terzi soggetti; ii) per quelle concesse in licenza, una copia delle stesse fornita dal licenziante; iii) per quelle derivanti dalle interazioni degli utenti, l’acquisizione delle stesse durante tale fase e attraverso i feedback forniti dagli “addestratori” incaricati;

– di aver individuato nel legittimo interesse di cui all’art. 6, par. 1, lett. f), del Regolamento, la base giuridica per trattare i dati personali nelle fasi di addestramento e affinamento (fine-tuning) dei modelli e di aver svolto le opportune valutazioni sul livello di necessità del trattamento, in particolare per quanto riguarda i dati pubblicamente disponibili raccolti da Internet;

– per limitare ulteriormente il trattamento di dati personali, di fornire istruzioni ai collaboratori esterni, responsabili della categorizzazione dei dati, di escludere le informazioni che contengono dati personali dall’inclusione nel dataset di fine-tuning.

Le violazioni contestate alla Società.

Il Garante per la protezione dei dati personali ha adottato nei giorni scorsi un provvedimento correttivo e sanzionatorio nei confronti di OpenAI in relazione alla gestione del servizio ChatGPT.

Il provvedimento, che accerta le violazioni a suo tempo contestate alla società californiana, arriva all’esito di un’istruttoria avviata nel marzo del 2023 e dopo che l’EDPB (Comitato europeo per la protezione dei dati) ha pubblicato il parere con il quale identifica un approccio comune ad alcune delle più rilevanti questioni relative al trattamento dei dati personali nel contesto della progettazione, sviluppo e distribuzione di servizi basati sull’intelligenza artificiale.

Secondo il Garante la società statunitense, che ha creato e gestisce il chatbot di intelligenza artificiale generativa, oltre a non aver notificato all’Autorità la violazione dei dati subita nel marzo 2023, ha trattato i dati personali degli utenti per addestrare ChatGPT senza aver prima individuato un’adeguata base giuridica e ha violato il principio di trasparenza e i relativi obblighi informativi nei confronti degli utenti. Per di più, OpenAI non ha previsto meccanismi per la verifica dell’età, con il conseguente rischio di esporre i minori di 13 anni a risposte inidonee rispetto al loro grado di sviluppo e autoconsapevolezza.

L’Autorità, con l’obiettivo di garantire innanzitutto un’effettiva trasparenza del trattamento dei dati personali, ha ordinato a OpenAI – utilizzando per la prima volta i nuovi poteri previsti dall’articolo 166 comma 7 del Codice Privacy – di realizzare una campagna di comunicazione istituzionale di 6 mesi su radio, televisione, giornali e Internet.[2]

Con riferimento alla mancata individuazione della condizione di liceità del trattamento

L’art. 6 del Regolamento prescrive le condizioni di liceità del trattamento elencando le possibili basi giuridiche su cui il titolare deve fare affidamento per poter trattare lecitamente i dati personali necessari per lo svolgimento della propria attività. La base giuridica, come chiarito dall’EDPB (cfr. le Linea guida 2/2019 sul trattamento di dati personali ai sensi dell’art. 6, par. 1, lettera b), del regolamento generale sulla protezione dei dati nel contesto della fornitura di servizi online agli interessati) deve essere individuata prima dell’attuazione del trattamento e deve essere specificata nelle informazioni fornite agli interessati conformemente agli articoli 13 e 14.[3]

Con riferimento alla privacy policy (versione aggiornata al 14 marzo 2023)

L’analisi svolta dal Garante si è limitata alle attività di trattamento e agli adempimenti posti in essere da OpenAI alla data del 30 marzo 2023 e, di conseguenza, la privacy policy valutata è quella in vigore a tale data, ovverosia la versione aggiornata al 14 marzo 2023.[4]

Dal punto di vista contenutistico, alla data del 30 marzo 2023, OpenAI ha fornito informazioni sul trattamento esclusivamente con riferimento ai dati personali che la Società raccoglie dagli utenti quando questi utilizzano i servizi offerti (cfr. preambolo alla privacy policy nella versione aggiornata al 14 marzo 2023). Non ha, invece, fornito nessuna informazione in relazione al trattamento dei dati personali dei non utenti, che vengono trattati per l’addestramento del LLM. Per tali carenze, l’Autorità ha contestato la presunta violazione degli artt. 5, par. 1, lett. a), 12 e 13 del Regolamento.[5]

Quanto sopra rappresentato ha portato l’Autorità a contestare la presunta violazione degli artt. 5, par. 1, lett. a), 12 e 13 del Regolamento anche nel contesto dei trattamenti dei dati degli utenti del servizio.

Con riferimento all’assenza di meccanismi di verifica dell’età dei minori

L’art. 24, par. 1, della Carta dei diritti fondamentali dell’uomo stabilisce che i minori hanno diritto alla protezione ed alle cure necessarie per il loro benessere.[6]

Il medesimo principio è racchiuso nel considerando 38 del Regolamento[7] La normativa europea in materia di protezione dei dati personali richiede al titolare del trattamento di adottare adeguate misure tecniche e organizzative volte ad attuare in modo efficace i principi di protezione dei dati e di integrare nel trattamento le garanzie necessarie al fine di soddisfare i requisiti previsti dal Regolamento e tutelare i diritti degli interessati.

Ai sensi dell’art. 24, par. 1, del Regolamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario.

Ai sensi dell’art. 25 del Regolamento, il titolare deve adottare tali misure tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso.

Con le linee guida n. 4/2019 sull’art. 25 del Regolamento l’EDPB ha chiarito che il fulcro della disposizione è garantire una adeguata ed efficace protezione dei dati fin dalla progettazione e una protezione per impostazione predefinita.[8]

Nel corso dell’istruttoria l’Autorità ha accertato che la natura del servizio offerto da OpenAI è inquadrabile nella definizione fornita all’art. 4, par. 1, punto 25, del Regolamento tra i servizi della società dell’informazione, che le attività di trattamento coinvolgono dati di minori e che, pertanto, la Società è tenuta ad assicurare una specifica protezione in favore dei minori, tenendo conto che i diritti e le libertà di questi ultimi debbono essere considerati prevalenti rispetto ad altri interessi coinvolti nelle attività di trattamento. Ai sensi della normativa il titolare del trattamento deve adoperarsi in ogni modo ragionevole per verificare che il consenso del minore sia prestato o autorizzato dall’esercente la responsabilità genitoriale, in considerazione delle tecnologie disponibili (art. 8 del Regolamento).

Con riferimento alla “generazione” di dati inesatti

Nel provvedimento di limitazione provvisoria il Garante ha rilevato che gli output del servizio ChatGPT possono risultare inesatti, fornendo false rappresentazioni delle persone.

Atteso che la “generazione” di dati personali inesatti o non aggiornati si pone in contrasto con, il principio di esattezza (accuracy), il quale stabilisce che i dati trattati siano “esatti e, se necessario aggiornati” e che debbano essere “adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti”, l’Autorità ha contestato la presunta violazione dell’art. 5, par. 1, lett. d), del Regolamento.

Le violazioni accertate

Art. 33 del Regolamento

L’Ufficio ha contestato ad OpenAI la violazione dell’art. 33 del Regolamento per aver omesso di notificare all’Autorità l’evento di violazione dei dati occorso il 20 marzo 2023.[9]

Artt. 5, par. 2 e 6 del Regolamento

L’Ufficio ha contestato ad OpenAI la violazione degli artt. 5, par. 2 e 6 del Regolamento per non essere stata in grado di dimostrare di aver chiaramente individuato sino alla data del 30 marzo 2023 e, in ogni caso, prima dell’inizio dell’attività di trattamento, una base giuridica per il trattamento dei dati personali per finalità di addestramento del modello GPT sotteso al funzionamento del servizio ChatGPT, reso disponibile al pubblico a far data dal 30 novembre 2022.

L’art. 5, par. 1, del Regolamento prescrive che i dati personali sono: a) trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («liceità, correttezza e trasparenza»); b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all’articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali («limitazione della finalità»); c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»); d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»); e) conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all’articolo 89, paragrafo 1, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato («limitazione della conservazione»); f) trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»). Il paragrafo 2 della stessa norma prevede che Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo («responsabilizzazione»).

La responsabilizzazione del titolare, ai sensi dell’art. 5, par. 2, del Regolamento, ha una duplice valenza: da un lato, mira a spingere il titolare ad adottare misure utili a prevenire e limitare gli impatti che le attività di trattamento possano avere sulla sfera giuridica degli interessati, in termini di gravità e di probabilità, dall’altro, persegue il fine di documentare quanto fatto in chiave probatoria, a fronte di violazioni effettive o comunque di controlli dell’Autorità.

L’art. 6 del Regolamento prescrive le condizioni di liceità del trattamento elencando le sei possibili basi giuridiche (consenso, contratto, obbligo di legge, interesse vitale, interesse pubblico, interesse legittimo) su cui il titolare deve fare affidamento per poter trattare lecitamente i dati personali necessari per lo svolgimento della propria attività. La base giuridica, come chiarito dall’EDPB, deve essere individuata prima dell’attuazione del trattamento e deve essere specificata nelle informazioni fornite agli interessati conformemente agli articoli 13 e 14.[10]

In particolare si rileva che OpenAI nell’identificare il legittimo interesse quale base giuridica del trattamento, specie nel caso dei non utenti, abbia omesso di esplicitare nell’informativa che il trattamento si basava sull’art. 6, par. 1, lett. f), del Regolamento e quali erano i legittimi interessi perseguiti, in tal modo compromettendo la possibilità da parte degli interessati di poter esercitare il diritto di opposizione ai sensi dell’art. 21 del Regolamento.

Per quanto sopra rappresentato, si ritiene che OpenAI non sia stata in grado di dimostrare di aver identificato una base giuridica prima di iniziare le attività di trattamento dei dati personali in violazione degli articoli 5, par.2, e 6 del Regolamento. Detta violazione, accertata alla data del 30 marzo 2023, deve ritenersi consumata il 30 novembre 2022 e sia di natura non continuata.

Per quanto concerne le valutazioni in merito alla legittimità della scelta compiuta successivamente all’inizio del trattamento e al lancio del relativo servizio in ordine al legittimo interesse come base giuridica per il trattamento dei dati personali di utenti e non utenti per l’addestramento degli algoritmi e il funzionamento del servizio, l’Autorità, conformemente alle citate regole sul riparto di giurisdizione a seguito dello stabilimento di OpenAI in Irlanda, trasmette all’Autorità di controllo irlandese, autorità capofila ai sensi dell’art. 56 del Regolamento, gli atti del presente procedimento per la prosecuzione delle attività di sua competenza.

Artt. 5, par. 1, lett. a), 12 e 13 del Regolamento

L’Ufficio ha contestato ad OpenAI la violazione degli artt. 5, par. 1, lett. a)[11], 12 e 13 del Regolamento per omissioni e carenze nella privacy policy (versione del 14 marzo 2023), vigente al 30 marzo 2023.

L’art. 12 del Regolamento detta norme in materia di trasparenza e modalità di esercizio dei diritti, mentre l’art. 13 introduce indicazioni specifiche in ordine alle informazioni che il titolare è tenuto a fornire qualora i dati personali siano raccolti presso l’interessato.[12]

L’istruttoria dell’Ufficio ha avuto ad oggetto la privacy policy adottata e pubblicata da OpenAI alla data del 30 marzo 2023, ovverosia la versione della stessa aggiornata al 14 marzo 2023, segnatamente le informazioni rese agli interessati con riferimento sia ai dati degli utenti del servizio richiesti dalla Società per l’accesso e l’utilizzo della piattaforma, sia ai dati disponibili in rete, relativi ad  utenti e non-utenti, trattati da OpenAI nell’ambito delle attività di addestramento dei modelli GPT 3.5 e GPT 4, sottesi rispettivamente al funzionamento dei servizi ChatGPT (servizio gratuito) e ChatGPT Plus (servizio a pagamento).

Dall’istruttoria è innanzitutto emerso che, alla data del 30 marzo 2023, la privacy policy della Società era disponibile solo in lingua inglese (anche per i minori) e non risultava di facile reperibilità nel sito; in particolare, il link presente nel flusso di registrazione era collocato in una posizione tale da non consentirne agli utenti la lettura prima di procedere all’inserimento dei dati per la creazione di un account.

Inoltre, le informazioni rese al tempo dal titolare si riferivano, esclusivamente, ai dati degli utenti trattati dalla Società per l’utilizzo del servizio, mentre, sia agli utenti che ai non utenti, non veniva fornita alcuna informazione in relazione al trattamento dei dati personali per fini di addestramento degli LLM.

Le argomentazioni difensive del titolare non hanno consentito di superare le valutazioni sostenute dall’Ufficio in sede di contestazione.[13]

Con riferimento all’art. 5, par. 1, lett. a), del Regolamento, si richiama in questa sede il principio espresso dall’EDPB nella decisione vincolante n. 1/2021, secondo cui la trasparenza deve essere considerata un concetto generale che trova concreta attuazione in diverse disposizioni e obblighi specifici[14].

È, dunque, necessario distinguere gli obblighi specifici derivanti dal principio di trasparenza dal principio stesso espresso nell’art. 5 del Regolamento, in quanto il primo non può essere circoscritto agli obblighi di cui agli artt. 12-14 del Regolamento, sebbene questi ultimi siano una concretizzazione del precedente. Il principio di trasparenza, infatti, è un principio onnicomprensivo che rafforza altri principi (es. correttezza, accountability).[15]

Per quanto sopra rappresentato, si ritiene che OpenAI abbia violato gli artt. 5, par. 1, lett. a), 12 e 13 del Regolamento e che detta violazione, accertata alla data del 30 marzo 2023, debba ritenersi consumata il 30 novembre 2022 e sia di natura non continuata.

Artt. 24 e 25, par. 1, del Regolamento

L’Ufficio ha contestato ad OpenAI, altresì, la violazione degli artt. 8, 24[16] e 25, par. 1[17], del Regolamento per omessa predisposizione di idonei sistemi atti a verificare l’età dei soggetti alla data del 30 marzo 2023.

Nelle linee guida n. 4/2019 sull’articolo 25 del Regolamento il Comitato ha chiarito che il fulcro della disposizione è garantire una adeguata ed efficace protezione dei dati fin dalla progettazione e una protezione per impostazione predefinita, il che significa che i titolari dovrebbero essere in grado di dimostrare che incorporano nel trattamento le misure e le garanzie adeguate ad assicurare l’efficacia dei principi di protezione dei dati, dei diritti e delle libertà degli interessati ed ha invitato i titolari a tenere conto, nell’ambito della progettazione e impostazione del trattamento in un’ottica privacy oriented, anche degli obblighi di fornire una tutela specifica ai minori e ad altri gruppi di soggetti vulnerabili.[18]

Dall’istruttoria è emerso che, alla data del 30 marzo 2023, la Società non prevedeva alcun meccanismo per la verifica dell’età degli utenti all’atto della registrazione al servizio ChatGPT, ancorché le condizioni di servizio, nella versione a quel tempo vigente e aggiornata al 14 marzo 2023, individuassero i minori di età (compresa tra i 13 ed i 18 anni) tra i potenziali utenti, e stabilissero che, in tal caso, per perfezionare un valido vincolo contrattuale, fosse necessario il consenso del titolare della responsabilità genitoriale.

Prima dell’intervento dell’Autorità, quindi, tutti gli utenti, compresi i minori di età, potevano iscriversi al servizio ChatGPT ed utilizzarlo senza che venisse chiesto loro di sottoporsi ad alcuna verifica dell’età. Come già chiarito in sede di contestazione, ad avviso dell’Autorità, l’assenza di uno standard comune idoneo a garantire, in maniera certa e assoluta, l’efficacia di un modello di verifica dell’età dell’utente e la discussione tutt’ora in atto a livello europeo al riguardo, non possono essere considerate ragioni idonee ad escludere l’adempimento degli obblighi a cui è tenuto il titolare del trattamento, segnatamente quello di verificare l’effettiva capacità negoziale dell’utente ai fini della validità del contratto.

Le sanzioni

L’Autorità ha ordinato a  OpenAI OpCo LLC di pagare la somma complessiva di euro 15.000.000,00 a titolo di sanzione amministrativa pecuniaria per le violazioni degli artt. 5, par. 1, lett. a) e par. 2, 6, 12, 13, 24, 25, e 32 del Regolamento, rappresentando che il contravventore, ai sensi dell’art. 166, comma 8, del Codice ha facoltà di definire la controversia con il pagamento, entro il termine di sessanta giorni, di un importo pari alla metà della sanzione irrogata.

[1] Provvedimento del 2 novembre 2024 – Registro dei provvedimenti n. 755 del 2 novembre 2024

[2] I contenuti, da concordare con l’Autorità, dovranno promuovere la comprensione e la consapevolezza del pubblico sul funzionamento di ChatGPT, in particolare sulla raccolta dei dati di utenti e non-utenti per l’addestramento dell’intelligenza artificiale generativa e i diritti esercitabili dagli interessati, inclusi quelli di opposizione, rettifica e cancellazione. Grazie a tale campagna di comunicazione, gli utenti e i non-utenti di ChatGPT dovranno essere sensibilizzati su come opporsi all’addestramento dell’intelligenza artificiale generativa con i propri dati personali e, quindi, essere effettivamente posti nelle condizioni di esercitare i propri diritti ai sensi del GDPR.

[3] Nel caso di specie, il Garante ha rilevato che il trattamento dei dati personali da parte di OpenAI per le finalità di addestramento del modello linguistico GPT sotteso al funzionamento del servizio ChatGPT è avvenuto ben prima che lo stesso servizio fosse reso disponibile al pubblico in data 30 novembre 2022 (cfr. https://openai.com/blog/chatgpt). Pertanto, nel caso di specie, atteso che OpenAI non è stata in grado di dimostrare e comprovare ai sensi dell’art. 5, par. 2, del Regolamento (principio di responsabilizzazione), di aver chiaramente individuato sino alla data del 30 marzo 2023 e, in ogni caso, prima dell’inizio dell’attività di trattamento, una base giuridica per il trattamento dei dati personali per finalità di addestramento del modello GPT sotteso al funzionamento del servizio ChatGPT, reso disponibile al pubblico già a far data dal 30 novembre 2022, l’Autorità ha contestato la presunta violazione degli artt. 5, par. 2 e 6 del Regolamento.

[4] Il funzionamento del servizio ChatGPT implica due tipologie di trattamenti: una limitata ai dati degli utenti del servizio, dati richiesti per l’iscrizione al servizio e utilizzati nell’interazione con la piattaforma; una seconda costituita dall’addestramento del modello GPT – posto alla base del servizio offerto – e che coinvolge i dati disponibili in rete riferibili anche ad interessati terzi non utilizzatori del servizio. Ne deriva che tali trattamenti richiedono che il titolare fornisca idonee informazioni sia ai soggetti che si iscrivono ed utilizzano il servizio (utenti), sia ai soggetti che non fruiscono del servizio ed i cui dati sono trattati per permetterne il funzionamento (non utenti).

[5] Il Garante ha altresì rilevato che nella privacy policy al 14 marzo 2023 non è presente alcuna informazione in merito alle operazioni di trattamento relative ai dati degli utenti durante l’utilizzo del servizio e finalizzate all’addestramento del modello GPT. Infatti, le informazioni contenute nel par. 1 della citata privacy policy relative agli Usage Data, nonché il riferimento di cui al par. 2 ad una generica finalità di fornitura e miglioramento dei servizi non appaiono idonee ad informare adeguatamente gli utenti del servizio che l’addestramento dell’algoritmo avviene anche sulla base dal trattamento dei dati che gli stessi condividono semplicemente utilizzando il servizio ChatGPT.

[6] Il paragrafo 2 della stessa norma afferma che in tutti gli atti compiuti da autorità pubbliche o da istituzioni private, l’interesse del minore deve essere preso in considerazione in via prioritaria.

[7] “i minori meritano una specifica protezione relativamente ai loro dati personali, in quanto possono essere meno consapevoli dei rischi, delle conseguenze e delle misure di salvaguardia interessate nonché dei loro diritti in relazione al trattamento dei dati personali.”

[8] Ciò sta a significare che significa che i titolari dovrebbero essere in grado di dimostrare che incorporano nel trattamento le misure e le garanzie adeguate ad assicurare l’efficacia dei principi di protezione dei dati, dei diritti e delle libertà degli interessati. E, nell’ambito delle raccomandazioni, il Comitato ha invitato i titolari a tenere conto, nell’ambito della progettazione e impostazione del trattamento in un’ottica privacy oriented, anche degli obblighi di fornire una tutela specifica ai minori e ad altri gruppi vulnerabili.

[9] L’art. 33, del Regolamento, prevede che in caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’autorità di controllo competente a norma dell’articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all’autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo.

[10] Cfr. le Linea guida 2/2019 sul trattamento di dati personali ai sensi dell’articolo 6, paragrafo 1, lettera b), del regolamento generale sulla protezione dei dati nel contesto della fornitura di servizi online agli interessati”.

[11] L’art. 5, par. 1, lett. a), del Regolamento prescrive che i dati personali siano trattati in modo lecito, corretto e trasparente nei confronti dell’interessato (principio di liceità, correttezza e trasparenza).

[12] In tema di trasparenza il Considerando 58 del Regolamento prevede che le informazioni destinate al pubblico o all’interessato siano concise, facilmente accessibili e di facile comprensione, che sia usato un linguaggio semplice e chiaro e, con riferimento alla protezione specifica di cui debbano essere destinatari i minori, prevede che quando il trattamento dati li riguarda, qualsiasi informazione e comunicazione dovrebbe utilizzare un linguaggio semplice e chiaro che un minore possa capire facilmente. Sul tema della trasparenza rilevano altresì le indicazioni del Comitato, in particolare le linee guida 2/2019 sul trattamento dei dati personali ai sensi dell’articolo 6, par.1, lett. b) del regolamento generale sulla protezione dei dati nel contesto della fornitura di servizi online agli interessati, ove è previsto che la base giuridica del trattamento, oltre a dover essere individuata prima dell’attuazione del trattamento, deve essere specificata nelle informazioni fornite agli interessati conformemente agli articoli 13 e 14; rilevano, inoltre le linee guida n.1/2022 del Comitato in materia di accesso, che prescrivono, al paragrafo 142, che un titolare del trattamento che offre un servizio in un determinato paese dovrebbe anche rispondere in una lingua compresa dagli interessati di quel paese.

[13] Si osserva come il linguaggio utilizzato nella privacy policy non sia affatto chiaro, atteso che la locuzione miglioramento/sviluppo del servizio non rende facilmente associabile la specifica, peculiare ed innovativa finalità di addestramento dei modelli di intelligenza artificiale generativa sottesi a ChatGPT (da intendersi nel senso di affinamento – fine-tuning), alla generica finalità di miglioramento del servizio, usualmente perseguita dai fornitori di servizi online. Parimenti poco chiara e non intuitiva è la riconducibilità della finalità di ricerca alla ricerca specifica nel campo dell’intelligenza artificiale (cfr. memoria difensiva, versione tradotta, pag. 25). Sotto altro profilo, si rileva come l’adozione di un pop-up e la pubblicazione di due articoli pubblicati nell’Help Center non siano suscettibili di integrare l’adempimento degli obblighi di cui agli artt. 12 e 13 del Regolamento, atteso che le informazioni agli utenti devono innanzitutto essere previste nella privacy policy e solo in misura aggiuntiva, sebbene apprezzabile, in altri documenti. Da ultimo, si osserva che le informazioni agli utenti riguardavano, comunque, solamente il trattamento dei dati personali connesso all’utilizzo del servizio e non quelli trattati nella fase di addestramento dei modelli.

[14] Ad esempio, gli artt. 12, 13, 14, 25 e 35 del Regolamento.

[15] La conferma di tale ricostruzione è data dal fatto che l’art. 83, par. 5, del Regolamento prevede la possibilità di sanzionare la violazione degli obblighi di trasparenza indipendentemente dalla violazione del principio stesso. Nel caso di specie, si ritiene ravvisabile anche la violazione del principio di trasparenza di cui all’art. 5, par. 1, lett. a) del Regolamento alla luce della gravità della carenza informativa sia per gli utenti che per i non-utenti, i quali non erano al corrente del trattamento dei loro dati personali e non potevano ragionevolmente aspettarsi un trattamento dei loro dati. Infatti, come già rappresentato nel paragrafo precedente, mancava qualsivoglia informazione in relazione alla base giuridica del trattamento dei dati personali per finalità di addestramento dei modelli GPT, alla natura del trattamento (mancanza di informazioni circa gli elementi essenziali del trattamento come la base giuridica) e all’impatto dello stesso (alla luce della innovativa tipologia di trattamento connessa alla tecnologia in argomento).

[16] Ai sensi dell’art. 24, par.1, del Regolamento Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate a garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario

[17] Ai sensi dell’art. 25, par. 1, del Regolamento, il titolare deve adottare tali misure tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso.

[18] Le linee guida 2/2019 sul trattamento di dati personali ai sensi dell’articolo 6, paragrafo 1, lettera b), del Regolamento generale sulla protezione dei dati nel contesto della fornitura di servizi online agli interessati, al paragrafo 26, recitano che qualora un titolare non sia in grado di dimostrare a) l’esistenza di un contratto, b) la validità del contratto ai sensi del diritto contrattuale nazionale applicabile e c) l’oggettiva necessità del trattamento ai fini dell’esecuzione del contratto, tale titolare dovrebbe prendere in considerazione un’altra base giuridica per il trattamento.

About Author /

Dott. Prof.( a.c.) Davide De Luca - Compliance & Cybersecurity Advisor - LinkedIn

telemarketing
regolamentazione-ai

Lascia un commento

Your email address will not be published.

Potrebbe piacerti

Certificati per l’assenza dal lavoro
Certificati per l’assenza dal lavoro, Garante: no ai dati sulla salute
4 Gennaio 2025
conformita
NIS2: oltre la ISO 27001, cosa serve davvero per la conformità
10 Aprile 2025
TELEMARKETING
la raccolta dati attraverso il Web per lo svolgimento di attività di telemarketing e di teleselling: il garante fa il punto della questione.
29 Marzo 2025

Start typing and press Enter to search