LEGGI ALTRI ARTICOLI SUL SITO GIOVANIREPORTER.ORG
|
LEGGI OUTLOOK GIOVANI SU TERZO MILLENNIO
|
LEGGI LA RUBRICA LAVORIAMOCI IN COLLABORAZIONE CON UIL E TERZO MILLENNIO
|
Giulia CavallariGiovane Avanti! Bologna Il Garante Privacy è intervenuto aprendo un’indagine su ChatGPT per raccolta illecita dei dati personali degli utenti che la utilizzano e bloccando ChatGPT e aprendo un’istruttoria. Perché si è arrivati a ciò? Perché il 20 marzo ChatGPT ha subito una perdita di dati, cioè si è verificato un data breach relativamente alle conversazioni degli utenti e le informazioni relative al pagamento di coloro che sono abbonati al servizio. ChatGPT lo conosciamo tutti come il software di intelligenza artificiale che sta spopolando in tutto il mondo e anche in Italia e che è in grado di simulare, elaborare vere e proprie conversazioni. È stata rilevata l’assenza di una informativa da rendere agli utenti e agli interessati i cui dati vengono raccolti da OpenAI di fatto violando quelle che sono le disposizioni degli articoli 13 e 14 GDPR. OpenAI è una società statunitense che non ha un rappresentante nel territorio comunitario, quindi i dati degli utenti italiani (ed europei) venivano traferiti in territorio extra UE dove non può essere applicato lo “scudo” del GDPR. È OpenAI ad essere titolare del trattamento dei dati personali.
È stata rilevata anche l’assenza di una base giuridica che possa ‘giustificare’ la raccolta e di fatto la conservazione dei dati degli utenti. Quando si parla di violazione della base si giuridica si intende la mancata individuazione di una basa giuridica che autorizzi legalmente il trattamento dei dati personali nel rispetto del principio di liceità. Se manca la base giuridica il trattamento dati è illecito. Chi è titolare del trattamento, stando al GDPR, ha l’obbligo di valutare e individuare la base giuridica prima di iniziare il trattamento. La base giuridica deve essere indicata obbligatoriamente nell’informativa che nel caso di ChatGPT manca. Ancor più grave è l’assenza di sistemi che possano consentire la verifica dell’età si soggetti minorenni. Stando ai termini pubblicati su OpenAI il servizio è rivolto ai maggiori di 13 anni, ma non vi sono sistemi che fungano da filtro per la verifica dell’età degli utenti. Stando alla normativa del GDPR e considerato, ci dice il Garante, “che l’assenza di filtri peri minori di 13 anni espone gli stessi a risposte assolutamente inidonee rispetto al grado di sviluppo e autoconsapevolezza degli stessi”. La normativa comunitaria (GDPR) prevede che all’articolo 8 che il trattamento è lecito laddove il minore abbia compiuto almeno 16 anni, ma gli stati membri possono stabilire una età inferiore, purché non sia inferiore a 13 anni. L’Italia ha stabilito l’età di 14 anni come età minima quando è stata chiamata ad adeguare, con il D.Lgs. 101/2018, la normativa introducendo l’articolo 2 quinquies D.Lgs. 196/2003 rubricato proprio “Consenso del minore in relazione ai servizi della società dell’informazione” ed è stato previsto che “il minore che ha compiuto i 14 anni può esprimere il consenso al trattamento dei propri dati personali in relazione all’offerta diretta di servizi della società dell’informazione. Con riguardo a tali servizi, il trattamento dei dati personali del minore di età inferiore a quattordici anni, fondato sull’articolo 6 paragrafo 1 lettera a) [1. Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni: a) l'interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;]del Regolamento è lecito a condizione che sia prestato da chi esercita la responsabilità genitoriale”. Sono stati individuati gli articoli del GDPR che sono stati violati da OpenAI con il software ChatGPT: articoli 5,6,8,13 e 25. Anche la violazione dell’articolo 25 GDPR è significativa perché è relativo alla protezione dei dati fin dalla progettazione e protezione dei dati per impostazione predefinita. Significa che il titolare del trattamento deve mettere in atto misure tecniche e organizzative adeguate proprio a garantire che i dati siano trattati, “per impostazione predefinita, solo i dati personali strettamente necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l'accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l'intervento della persona fisica.” È la c.d. privacy by design. Lo stop da parte del Garante fa parte della costante azione di monitoraggio che l’Autorità è chiamata a condurre per consentire un corretto e adeguato rispetto della normativa privacy e quindi di tutela dei dati degli utenti. OpenAi ha 20 giorni di tempo, dalla data di ricezione del provvedimento, per comunicare che iniziative ha intrapreso o che intende intraprendere per attuare quanto prescritto dal Garante Privacy italiano e per fornire elementi utili a giustificare le violazioni contestate dal Garante. Qualora OpenAi non dovesse seguire il provvedimento del Garante, scatterà la sanzione amministrativa prevista dal GDPR all’articolo 85 paragrafo 5 che prevede “la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore: a) i principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9”. Il Garante “al momento di decidere se infliggere una sanzione amministrativa pecuniaria e di fissare l'ammontare della stessa in ogni singolo caso si tiene debito conto dei seguenti elementi: a) la natura, la gravità e la durata della violazione tenendo in considerazione la natura, l'oggetto o a finalità del trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito”, ma si deve tenere conto anche del carattere doloso o colposo della violazione, le misure adottate dal titolare del trattamento per attenuare il danno arrecato agli interessati, il grado di responsabilità del titolare del trattamento, le categorie di dati personali interessate dalla violazione. Il Comunicato stampa del Garante Privacy è chiaro, lapidario: “Stop a ChatGPT finchè non rispetterà la disciplina privacy. Il Garante per la protezione dei dati personali ha disposto con effetto immediato, la limitazione provvisoria del trattamento dei dati degli utenti italiani nei confronti di OpenAI, la società statunitense che ha sviluppato e gestisce la piattaforma. L’Autorità ha contestualmente aperto un’istruttoria.”
0 Commenti
Lascia una Risposta. |