Argomenti

ChatGPT: multa di 15 milioni e campagna informativa per violazione GDPR

Pubblicato il

ChatGPT: multa di 15 milioni e campagna informativa per violazione GDPR

Campagna informativa di sei mesi e multa di 15 milioni di euro: sono le sanzioni che il Garante per la protezione dei dati personali italiano ha comminato a OpenAI, la società californiana che ha sviluppato e gestisce il servizio di intelligenza artificiale ChatGPT.

Il provvedimento sanzionatorio - n. 755 del 2 novembre 2024 e reso noto dal Garante Privacy con comunicato del 20 dicembre 2024 - è giunto al termine di un'istruttoria iniziata a marzo 2023.

Il procedimento nei confronti di OpenAI, in particolare, ha evidenziato diverse violazioni delle normative europee sulla protezione dei dati personali, con conseguenze rilevanti sia per la società sia per gli utenti del servizio.

OpenAI e ChatGPT: violazioni privacy e provvedimenti del Garante  

Le violazioni contestate

Le indagini hanno portato alla luce una serie di infrazioni che coinvolgono la gestione dei dati personali degli utenti da parte di OpenAI.

Utilizzo dati senza adeguata base giuridica

Secondo quanto rilevato, la società ha trattato tali dati per addestrare i propri modelli di intelligenza artificiale senza aver prima individuato una base giuridica per il relativo trattamento conforme al Regolamento Generale sulla Protezione dei Dati (GDPR).

Per il Garante, il fatto che il servizio è stato lanciato senza una base giuridica per il trattamento dei dati personali e senza fornire informazioni adeguate, ha impedito agli interessati di esercitare i propri diritti e violato il principio di accountability.

Privacy policy carenti

Inoltre, le privacy policy di OpenAI sono risultate carenti sotto il profilo della chiarezza e della trasparenza, rendendo difficile per gli utenti comprendere appieno come vengono trattati i propri dati.

Difatti, mancava qualsiasi informazione sulla base giuridica, sulla natura e sull'impatto del trattamento dei dati personali per l'addestramento dei modelli GPT.

Mancata verifica dell'età

Un altro elemento critico è rappresentato dalla mancata adozione di sistemi per la verifica dell'età, che ha esposto anche i minori di 13 anni a contenuti inappropriati per il loro sviluppo cognitivo.

L'Autorità, sul punto, ha accertato che la società non ha previsto verifiche per impedire l'accesso ai minori di 13 anni né per coinvolgere i genitori nell'iscrizione di minorenni tra 13 e 18 anni, come richiesto dai suoi stessi termini contrattuali.

Il bug di marzo 2023

Un episodio particolarmente grave, infine, è quello rilevato nel marzo 2023, quando un bug ha causato una violazione dei dati personali: gli utenti di ChatGPT hanno potuto visualizzare informazioni sensibili appartenenti ad altri utilizzatori del servizio, tra cui nomi, cognomi, indirizzi email e dettagli relativi alle carte di credito.

L'entità delle violazioni risulta aggravata dal numero elevato di utenti coinvolti, stimato in 1,8 milioni di persone attive mensilmente, solo in Italia, nel periodo in questione.

Le sanzioni e gli obblighi imposti

Sanzione pecuniaria

Il Garante Privacy ha quindi imposto a OpenAI una sanzione pecuniaria di 15 milioni di euro, una cifra considerata moderata anche in virtù dell'atteggiamento collaborativo dimostrato dalla società durante l'istruttoria.

La multa è stata giudicata proporzionata, efficace e dissuasiva, tenuto conto della gravità delle violazioni accertate, tra cui il trattamento su larga scala di dati personali senza adeguate salvaguardie, e dell'impatto che la tecnologia di intelligenza artificiale generativa ha sulla protezione dei dati personali.

Campagna di comunicazione istituzionale

Il Garante ha inoltre ordinato a OpenAI di realizzare una campagna di comunicazione istituzionale su radio, televisione, giornali e Internet, della durata di sei mesi, per sensibilizzare il pubblico sul funzionamento di ChatGPT, sui rischi legati al trattamento dei dati personali e sui diritti degli interessati, come opposizione, rettifica e cancellazione.

La campagna, che dovrà iniziare entro 45 giorni dall'approvazione del piano comunicativo da parte del Garante, punta a colmare le carenze emerse nel precedente provvedimento, che OpenAI non ha adempiuto correttamente.

La società è tenuta a fornire al Garante, entro 60 giorni dal termine della campagna, tutte le informazioni necessarie a dimostrare il rispetto degli obblighi imposti, inclusi i dati relativi all'esercizio dei diritti da parte degli interessati.

In caso di inadempienza, l'Autorità si riserva di adottare ulteriori misure.

Si segnala, infine, che con l'apertura, da parte della società, di una sede europea in Irlanda, avvenuta nel febbraio 2024, la competenza sull'ulteriore approfondimento del caso è passata all'Autorità irlandese per la protezione dei dati (DPC), conformemente al meccanismo del "one stop shop" previsto dal GDPR.

Tabella di sintesi del provvedimento del Garante

Sintesi del caso OpenAI, società sviluppatrice di ChatGPT, è stata sanzionata dal Garante per violazioni del GDPR. Tra le infrazioni: utilizzo di dati personali senza adeguata base giuridica, privacy policy poco chiare, mancata verifica dell'età e un grave data breach nel 2023.
Provvedimento del Garante
  • Multa di 15 milioni di euro
  • Campagna informativa obbligatoria di 6 mesi: per sensibilizzare il pubblico sul funzionamento di ChatGPT e i diritti degli utenti, da avviare entro 45 giorni e approvata dal Garante.
  • Monitoraggio: OpenAI deve fornire entro 60 giorni dalla fine della campagna i dati sull'adempimento degli obblighi. Ulteriori provvedimenti in caso di inadempienza.
Allegati

Ricevi GRATIS la nostra newsletter

Ogni giorno sarai aggiornato con le notizie più importanti, documenti originali, anteprime e anticipazioni, informazioni sui contratti e scadenze.

Richiedila subito