Il Garante Privacy, con provvedimento n. 755 del 2 novembre 2024, ha sanzionato una nota società sviluppatrice di un sistema di intelligenza artificiale, relativamente al trattamento illecito di dati personali nel contesto della progettazione, sviluppo e distribuzione di servizi basati sull’IA.
Secondo il Garante la società, che ha creato e gestisce il chatbot di intelligenza artificiale generativa, in sintesi:
- Non ha notificato all’Autorità Garante privacy italiana la violazione dei dati subita nel marzo 2023Il Garante ha rilevato che non è pervenuta all’autorità alcuna notifica del data breach occorso, nonostante il coinvolgimento di interessati italiani e la sussistenza della propria competenza ai sensi dell’art. 55 del Regolamento, considerata l’inapplicabilità degli artt. 56 e ss. del Regolamento non esistendo, all’epoca dei fatti, uno stabilimento unico o principale della Società nell’UE; peraltro, dalla comunicazione effettuata dalla Società, a norma dell’art. 34 del GDPR, agli interessati coinvolti nel data breach è possibile dedurre una ammissione della Società stessa in merito alla valutazione del rischio elevato legato all’evento; pertanto, nel caso di specie, l’Autorità ha contestato la violazione dell’art. 33 del Regolamento.
- Ha trattato i dati personali degli utenti per addestrare il proprio chatbot IA senza aver prima individuato un’adeguata base giuridica:
L’art. 6 del GDPR prescrive le condizioni di liceità del trattamento elencando le possibili basi giuridiche su cui il titolare deve fare affidamento per poter trattare lecitamente i dati personali necessari per lo svolgimento della propria attività: la base giuridica, come chiarito dall’EDPB (cfr. le Linea guida 2/2019 sul trattamento di dati personali ai sensi dell’art. 6, par. 1, lettera b), del Regolamento generale sulla protezione dei dati nel contesto della fornitura di servizi online agli interessati) deve essere individuata prima dell’attuazione del trattamento e deve essere specificata nelle informazioni fornite agli interessati conformemente agli artt. 13 e 14.
Nel caso di specie, il Garante ha rilevato che il trattamento dei dati personali da parte della società per le finalità di addestramento del modello linguistico sotteso al funzionamento del servizio di chatbot, è avvenuto ben prima che lo stesso servizio fosse reso disponibile al pubblico: quanto meno a tale data, ma ragionevolmente anche in un periodo precedente, dunque, la società avrebbe dovuto individuare una base giuridica su cui fondare il trattamento per l’addestramento del modello.
Il Garante ha osservato che la società, inoltre, non ha fornito neanche elementi tali da escludere l’esigenza del consenso (una delle due opzioni indicate dal Garante al punto 5 del provvedimento n. 114/2023) quale base giuridica del trattamento, indicando invece sovente, nei riscontri forniti dalla Società, la possibilità di ricorrere a forme di opt-out.
- Ha violato il principio di trasparenza e i relativi obblighi informativi nei confronti degli utenti
Il Garante ha rilevato che nella privacy policy non è presente alcuna informazione in merito alle operazioni di trattamento relative ai dati degli utenti durante l’utilizzo del servizio e finalizzate all’addestramento del modello di IA: infatti, le informazioni contenute nel par. 1 della privacy policy relative agli Usage Data, nonché il riferimento di cui al par. 2 ad una generica finalità di fornitura e miglioramento dei servizi, non appaiono idonee ad informare adeguatamente gli utenti del servizio che l’addestramento dell’algoritmo avviene anche sulla base dal trattamento dei dati che gli stessi condividono semplicemente utilizzando il servizio di chatbot
- Non ha previsto meccanismi per la verifica dell’età
Ai sensi dell’art. 25 del GDPR, il titolare deve adottare tali misure tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso.
Con le linee guida n. 4/2019 sull’art. 25 del GDPR, l’EDPB ha chiarito che il fulcro della disposizione è garantire una adeguata ed efficace protezione dei dati fin dalla progettazione e una protezione per impostazione predefinita, per cui i titolari dovrebbero essere in grado di dimostrare che incorporano nel trattamento le misure e le garanzie adeguate ad assicurare l’efficacia dei principi di protezione dei dati, dei diritti e delle libertà degli interessati: i titolari devono considerare, nell’ambito della progettazione e impostazione del trattamento in un’ottica privacy oriented, anche degli obblighi di fornire una tutela specifica ai minori e ad altri gruppi vulnerabili.
Nel corso dell’istruttoria l’Autorità ha accertato che la natura del servizio offerto dalla società è inquadrabile nella definizione fornita all’art. 4, par. 1, punto 25, del GDPR tra i servizi della società dell’informazione, che le attività di trattamento coinvolgono dati di minori e che, pertanto, la Società è tenuta ad assicurare una specifica protezione in favore dei minori, tenendo conto che i diritti e le libertà di questi ultimi debbono essere considerati prevalenti rispetto ad altri interessi coinvolti nelle attività di trattamento: l’Autorità ha rilevato che la società, ne primo periodo di attivazione del chatbot, non ha adottato alcuna misura tecnica ed organizzativa atta a garantire il rispetto dei principi generali del GDPR e la protezione dei diritti e delle libertà dei minori, esponendo pertanto i soggetti minorenni (ivi compresi quelli che, stando alle condizioni di servizio, non possono accedere e fruire dello stesso servizio perché minori di 13 anni) a rischi significativi per la loro persona, tra cui risposte inidonee rispetto ai loro gradi di sviluppo psicofisico e di autoconsapevolezza, che la normativa mira a tutelare; sino al 30 marzo 2023, in particolare, la Società non ha implementato alcun meccanismo per la verifica dell’età degli utenti all’atto dell’iscrizione al servizio; a tutela dei minori, la privacy policy della società, prevede solo un sistema di segnalazione (tramite posta elettronica) di eventuali conferimenti di dati personali da parte di soggetti minori di 13 anni attraverso il servizio.
L’Autorità, con l’obiettivo di garantire, innanzitutto, un’effettiva trasparenza del trattamento dei dati personali, oltre ad aver applicato una sanzione ridotta in ragione dell’atteggiamento collaborativo della società sviluppatrice dei servizi di IA, ha ordinato altresì, utilizzando per la prima volta i nuovi poteri previsti dall’art. 166, c. 7 del Codice Privacy, di realizzare una campagna di comunicazione istituzionale di 6 mesi su radio, televisione, giornali e Internet.
I contenuti, da concordare con l’Autorità, dovranno promuovere la comprensione e la consapevolezza del pubblico sul funzionamento del chatbot, in particolare sulla raccolta dei dati di utenti e non-utenti per l’addestramento dell’intelligenza artificiale generativa e i diritti esercitabili dagli interessati, inclusi quelli di opposizione, rettifica e cancellazione.
