Con provvedimento del 30 marzo 2023 il Garante Privacy ha bloccato ChatGPT – il più noto Software di intelligenza artificiale in grado di simulare ed elaborare le conversazioni umane – per mancato rispetto della normativa Privacy.

L’Autorità, con il proprio intervento, ha, infatti disposto, con effetto immediato, la limitazione provvisoria del trattamento dei dati degli utenti italiani nei confronti di OpenAI, la società statunitense che ha sviluppato e gestisce la piattaforma ChatGPT, aprendo contestualmente un’istruttoria.

La problematica è sorta allorquando, lo scorso 20 marzo, ChatGPT aveva subito una perdita di dati (data breach) riguardanti le conversazioni degli utenti e le informazioni relative al pagamento degli abbonati al servizio a pagamento.

Il Garante Privacy, dopo un’attenta analisi, ha rilevato la mancanza di una informativa agli utenti e a tutti gli interessati i cui dati vengono raccolti da OpenAI, ma soprattutto l’assenza di una base giuridica che giustifichi la raccolta e la conservazione massiccia di dati personali, allo scopo di “addestrare” gli algoritmi sottesi al funzionamento della piattaforma.

Come peraltro testimoniato dalle verifiche effettuate, le informazioni fornite da ChatGPT non sempre corrispondono al dato reale, determinando quindi un trattamento di dati personali inesatto.

Da ultimo, nonostante OpenAI affermi che il servizio sia rivolto agli utenti di età superiore a 13 anni, l’Autorità evidenzia l’assenza di qualsivoglia filtro per la verifica dell’età degli utenti, esponendo i minori a risposte assolutamente inidonee rispetto al loro grado di sviluppo e autoconsapevolezza.

Nel frattempo, la società OpenAi ha sospeso l’accesso al servizio in Italia dichiarando di aver disabilitato ChatGPT per gli utenti in Italia su richiesta del Garante.

Il sito internet risulta al momento irraggiungibile dal nostro Paese, è infatti presente un avviso che riporta quanto segue: “il proprietario del sito potrebbe aver impostato restrizioni che impediscono agli utenti di accedere”.

La Società OpenAI, dunque, che non ha una sede nell’Unione Europea, ma ha designato un rappresentante nello Spazio economico europeo, dovrà comunicare le misure intraprese in attuazione di quanto richiesto dal Garante (pena una sanzione fino a 20 milioni di euro o fino al 4% del fatturato globale annuo, come previsto dal GDPR).

Le parti stanno dialogando per attivare le più idonee misure volte a rafforzare la trasparenza nell’uso dei dati personali degli interessati e i meccanismi per l’esercizio dei diritti e garanzie per i minori.