
ChatGPT: Garante privacy, limitazione provvisoria sospesa se OpenAI adotterà le misure richieste
View 815
words 1.3K read in 6 minutes, 29 Seconds
Il 12 aprile 2023, il Garante per la protezione dei dati personali italiano ha annunciato che OpenAI, la società che gestisce ChatGPT, avrà tempo fino al 30 aprile 2023 per rispettare le richieste del Garante e ottenere la sospensione della limitazione provvisoria sulla gestione dei dati personali degli utenti italiani, permettendo così a ChatGPT di essere nuovamente accessibile dall'Italia.
Per ottenere la sospensione del provvedimento, #OpenAI dovrà adempiere alle richieste del Garante, tra cui la pubblicazione di una trasparente informativa sul proprio sito web, che illustri le modalità e la logica del trattamento dei dati necessari per il funzionamento di #ChatGPT, nonché i diritti attribuiti agli utenti e agli interessati non utenti. Inoltre, dovrà rimuovere ogni riferimento all'esecuzione di un contratto come base giuridica per il trattamento dei dati personali degli utenti e fare affidamento, in linea con il principio di accountability, sul consenso o sull'interesse legittimo come base giuridica per il trattamento dei dati.
OpenAI dovrà anche mettere a disposizione degli strumenti utili per permettere agli utenti, compresi quelli che non utilizzano ChatGPT, di esercitare i propri diritti, come il diritto di rettificare i propri dati personali che sono stati generati in modo inaccurato da ChatGPT, il diritto alla cancellazione di tali dati se la rettifica non è tecnicamente possibile e il diritto di opporsi al trattamento dei propri dati personali utilizzati per far funzionare gli algoritmi.
Entro il 31 maggio 2023, OpenAI dovrà implementare un sistema di age-gating per la registrazione al servizio e presentare un piano per l'implementazione di un sistema di verifica dell'età entro il 30 settembre 2023, in modo da escludere gli utenti di età inferiore ai 13 anni e gli utenti di età compresa tra i 13 e i 18 anni per i quali non è disponibile il consenso dei titolari dell'autorità genitoriale. Infine, dovrà promuovere una campagna di informazione sui media per informare le persone sull'uso dei loro dati personali per scopi di addestramento degli algoritmi.
Il Garante ha sottolineato l'importanza di tali misure per garantire la protezione dei dati personali degli utenti e per la tutela dei diritti fondamentali delle persone. Si può leggere il comunicato stampa completo, disponibile in italiano e inglese, sul sito web del Garante.
segue il comunicato del Garante della privacy
ChatGPT: Garante privacy, limitazione provvisoria sospesa se OpenAI adotterà le misure richieste . L’Autorità ha dato tempo alla società fino al 30 aprile per mettersi in regola
OpenAI avrà tempo fino al 30 aprile per adempiere alle prescrizioni imposte dal Garante per la protezione dei dati personali riguardo a informativa, diritti degli interessati, utenti e non utenti, base giuridica del trattamento dei dati personali per l’addestramento degli algoritmi con i dati degli utenti. Solo allora, venendo meno le ragioni di urgenza, l’Autorità sospenderà il provvedimento di limitazione provvisoria del trattamento dei dati degli utenti italiani preso nei confronti della società statunitense e ChatGPT potrà tornare accessibile dall’Italia.
Sulla base del provvedimento odierno dell’Autorità, entro fine aprile la società dovrà dunque adottare una serie di misure concrete.
Informativa
OpenAI dovrà predisporre e rendere disponibile sul proprio sito un’informativa trasparente, in cui siano illustrate modalità e logica alla base del trattamento dei dati necessari al funzionamento di ChatGPT nonché i diritti attribuiti agli utenti e agli interessati non utenti. L’informativa dovrà essere facilmente accessibile e collocata in una posizione che ne consenta la lettura prima di procedere all’eventuale registrazione al servizio.
Per gli utenti che si collegano dall’Italia, l’informativa dovrà essere presentata prima del completamento della registrazione e, sempre prima del completamento della registrazione dovrà essere loro richiesto di dichiarare di essere maggiorenni.
Agli utenti già registrati, l’informativa dovrà essere presentata al momento del primo accesso successivo alla riattivazione del servizio e, nella stessa occasione, dovrà essere loro richiesto di superare un age gate che escluda, sulla base dell’età dichiarata, gli utenti minorenni.
Base giuridica
Quanto alla base giuridica del trattamento dei dati personali degli utenti per l’addestramento degli algoritmi, il Garante privacy ha ordinato a OpenAI di eliminare ogni riferimento all’esecuzione di un contratto e di indicare, invece, in base al principio di accountability, il consenso o il legittimo interesse quale presupposto per utilizzare tali dati, fermo restando l’esercizio dei propri poteri di verifica e accertamento successivi a tale scelta.
Esercizio dei diritti
Ulteriori prescrizioni riguardano la messa a disposizione di strumenti utili per permettere agli interessati, anche non utenti, di chiedere la rettifica dei dati personali che li riguardano generati in modo inesatto dal servizio o la cancellazione degli stessi, nel caso la rettifica non fosse tecnicamente possibile.
OpenAI, inoltre, dovrà consentire agli interessati non utenti di esercitare, in modo semplice e accessibile, il diritto di opposizione rispetto al trattamento dei loro dati personali utilizzati per l’esercizio degli algoritmi e riconoscere analogo diritto agli utenti, qualora individui il legittimo interesse quale base giuridica del trattamento.
Tutela dei minori
Per quanto riguarda la verifica dell’età dei minori, oltre all’immediata implementazione di un sistema di richiesta dell’età ai fini della registrazione al servizio, l’Autorità ha ordinato a OpenAI di sottoporle entro il 31 maggio un piano di azione che preveda, al più tardi entro il 30 settembre 2023, l’implementazione di un sistema di age verification, in grado di escludere l’accesso agli utenti infratredicenni e ai minorenni per i quali manchi il consenso dei genitori.
Campagna di informazione
Di concerto col Garante, entro il 15 maggio, OpenAI dovrà infine promuovere una campagna di informazione su radio, televisione, giornali e web per informare le persone sull’uso dei loro dati personali ai fini dell’addestramento degli algoritmi.
L’Autorità proseguirà nell’accertamento delle violazioni della disciplina vigente eventualmente poste in essere dalla società e si riserva l’adozione di ogni ulteriore o diversa misura che si rendesse necessaria a conclusione della formale istruttoria tuttora in corso. / Roma, 12 aprile 2023
Glossario Tecnico:
- Garante: è l'abbreviazione informale dell'Autorità Garante per la protezione dei dati personali, ovvero l'autorità italiana indipendente incaricata di tutelare i diritti e le libertà fondamentali, nonché la dignità delle persone fisiche, con particolare riferimento al trattamento dei dati personali.
- Personal Data: si riferisce a qualsiasi informazione relativa a una persona fisica identificata o identificabile. Ad esempio, nome, cognome, indirizzo e-mail, indirizzo IP, foto, informazioni sulle preferenze, dati di localizzazione e così via.
- Informativa sulla privacy: è un documento che spiega come le informazioni personali degli utenti vengono raccolte, utilizzate, divulgate e protette da una determinata organizzazione.
- Data Subject Rights: si riferisce ai diritti di cui gode un individuo in relazione al trattamento dei propri dati personali, tra cui il diritto di accesso, il diritto alla portabilità dei dati, il diritto di rettifica, il diritto di cancellazione, il diritto di limitazione del trattamento, il diritto di opposizione e il diritto di non essere sottoposto a decisioni automatizzate.
- Legitimate Interest: è uno dei sei possibili presupposti per il trattamento dei dati personali previsti dal Regolamento generale sulla protezione dei dati (GDPR). Si applica quando il trattamento dei dati è necessario per il perseguimento di un interesse legittimo del titolare del trattamento o di terzi, purché tale interesse non prevalga sui diritti e le libertà fondamentali dell'interessato.
- Consent: è uno dei sei possibili presupposti per il trattamento dei dati personali previsti dal GDPR. Si applica quando l'interessato ha espresso il proprio consenso specifico, libero, informato e inequivocabile al trattamento dei propri dati personali.
- Age-gating: è una tecnica utilizzata per limitare l'accesso a determinati contenuti o servizi in base all'età dell'utente. Solitamente viene richiesto all'utente di dichiarare la propria età prima di poter accedere al contenuto o al servizio.
- Age verification: è un sistema utilizzato per verificare l'età di un utente e garantire che sia sufficientemente grande per utilizzare un determinato contenuto o servizio. Può prevedere la verifica tramite un documento d'identità, la verifica tramite un genitore o tutore legale o altri metodi.
#ChatGPT #OpenAI #protezionedatipersonali #dirittiutenti #basegiuridica #privacy #Garante #algoritmi #sistemadeiverificaetà #informazione #campagnamediatica