ChatGPT non rispetta la privacy: il Garante dispone la limitazione provvisoria del trattamento

Il Garante Privacy italiano ha ritenuto opportuno assumere un provvedimento nei confronti di ChatGPT e della software house che ha sviluppato questo strumento: OpenAI.

Nella decisione dell’Autorità italiana si legge che è stata ravvisata la necessità di prescrivere in via d’urgenza, nei confronti di OpenAI, la misura della limitazione provvisoria del trattamento.

La limitazione provvisoria del trattamento dei dati personali è una delle misure previste nel Regolamento generale sulla protezione dei dati (GDPR) per proteggere i diritti degli interessati. Può essere decisa allorquando un’impresa o un’organizzazione stessero trattando i dati personali degli interessati in modo illegittimo o non conforme al GDPR. In questo modo, il destinatario del provvedimento deve astenersi dall’usare i dati personali degli interessati fino a quando non verranno risolte le criticità che hanno portato all’imposizione della limitazione.

Il Garante rileva la mancanza di un’informativa agli utenti e a tutti gli interessati i cui dati vengono raccolti da OpenAI e l’assenza di una base giuridica che giustifichi la raccolta e la conservazione massiccia di dati personali.
Inoltre, viene contestata la mancanza di un sistema per la verifica dell’età degli utenti: il rischio è che i minori possano risultare esposti a risposte assolutamente inidonee rispetto al loro grado di sviluppo e autoconsapevolezza.

Il Garante per la protezione dei dati personali ha quindi prescritto a OpenAI di astenersi dal trattamento dei dati dei soggetti stabiliti nel territorio italiano; inoltre, entro 20 giorni dalla ricezione della notifica del provvedimento, OpenAI stessa è chiamata a risolvere le criticità evidenziate comunicando le iniziative intraprese al fine di dare attuazione a quanto indicato e fornendo ogni elemento ritenuto utile a giustificare le violazioni evidenziate.
OpenAI non ha sede nell’Unione Europea ma ha designato un rappresentante nello Spazio economico europeo che dovrà farsi carico delle comunicazioni con il Garante.
Nel caso in cui il comportamento tenuto dall’azienda o gli interventi applicati venissero ritenuti inidonei, può essere disposta una sanzione fino a 20 milioni di euro o fino al 4% del fatturato globale annuo come previsto nel GDPR.