Tutto è partito nel marzo del 2023, quando il Garante Privacy ordinò il blocco di ChatGPT in Italia

Quali sono le contestazioni contro OpenAI e come si è arrivati a una multa da 15 milioni di euro

Era il mese di marzo del 2023 quando il Garante Privacy italiano si mosse per mettere in evidenza tutti i problemi – partendo da quelli legati alla scarsa (praticamente assente) trasparenza – di ChatGPT in termini di protezione dei dati personali degli utenti. Un’azione che portò anche le altre Autorità europee ad aprire diversi fronti nei confronti del prodotto sviluppato dall’azienda di San Francisco. E ora, oltre un anno e mezzo dopo, quell’istruttoria è stata chiusa con una multa comminata a OpenAI pari a 15 milioni di euro. Una somma che è frutto di molteplici violazioni del GDPR.

LEGGI ANCHE > Alla fine, OpenAI è stata multata dal Garante Privacy italiano

All’epoca dei fatti – quando fu aperta l’istruttoria – il Garante Privacy italiano ordinò a OpenAI di sospendere il suo servizio di chatbot conversazionale basato sull’intelligenza artificiale per diverse settimane. Da quel momento si aprì un tavolo di confronto tra l’Autorità nostrana e l’azienda di Sam Altman, al fine di trovare delle soluzioni affinché quel prodotto – all’epoca sulla “cresta dell’onda”, rappresentando un unicum nel settore – potesse tornare a essere operativo nel nostro Paese. E non si parlava solamente di assenza di un’informativa sul trattamento dei dati personali degli utenti, ma anche di mancata verifica dell’età per accedere al servizio e di un data breach – senza comunicazione al Garante stesso – che risale proprio al mese di marzo del 2023.

Multa a OpenAI, quali sono le contestazioni del Garante Privacy

Dunque, sono moltissime le contestazioni che sono state confermate dalla chiusura dell’istruttoria e che hanno portato a questa multa a OpenAI:

L’assenza di un’informativa sul trattamento dei dati personali degli utenti. Ne esisteva solamente una, esclusivamente in lingua inglese, che veniva fornita all’utente solo dopo essersi iscritto.

L’utilizzo dei dati degli utenti da parte di ChatGPT senza alcuna base legittima (giuridica) e senza la possibilità – all’inizio – di potersi opporre a questo trattamento.

L’assenza di un reale limite d’età per l’utilizzo, con la piattaforma che dichiarava come il servizio fosse utilizzabile solamente dai maggiori di 13 anni, senza però avere uno strumento di age verification.

Il data breach, relativo al mese di marzo del 2023, subìto da OpenAI senza averlo comunicato all’Autorità Garante per la Protezione dei dati personali.

Dunque, parliamo di una marea di contestazioni a cui si aggiunge la mancata campagna informativa – in direzione del pubblico – che era stata concordata con il Garante Privacy prima del ritorno online di ChatGPT in Italia a cui OpenAI non ha mai dato seguito.

Come si è arrivati a 15 milioni di sanzione

Una valanga di problemi che hanno portato a un calcolo finale pari a 15 milioni di euro di multa a OpenAI. Nel provvedimento con cui è stata chiusa l’istruttoria nei confronti dell’azienda di Sam Altman, il Garante Privacy ha spiegato come si è arrivati a questa cifra:

9 milioni di euro per l’assenza di un’informativa, la mancata trasparenza nelle comunicazioni agli utenti, la mancata presenza di uno strumento funzionante per l’age verification e l’assenza di una base giuridica per la legittimazione del trattamento dei dati degli utenti.

320mila euro per la mancata comunicazione in merito al data breach del 20 marzo 2023.

5.680.000 euro per aver fatto “orecchie da mercante” in merito alla campagna informativa da concordare con l’Autorità per la protezione dei dati personali.

Dunque, la somma finale è una sanzione pari a 15 milioni di euro.