Campagna informativa di sei mesi e multa di 15 milioni di euro queste le misure adottate dal Garante per sanzionare la nota società statunitense OpenAI per la violazione dei dati personali da parte di ChatGPT.
Il Garante Privacy, in seguito all'esito di una lunga istruttoria avviata nel marzo 2023 e dopo il parere dell'EDPB, ha adottato un provvedimento correttivo e sanzionatorio nei confronti di OpenAI per la gestione di ChatGPT, un software di conversazione basato sull'intelligenza artificiale. Nello specifico, il Garante ha comminato a OpenAI una sanzione di quindici milioni di euro calcolata anche in base all'atteggiamento collaborativo della società. Per l'Autorità, OpenAI «oltre a non aver notificato all'Autorità la violazione dei dati subita nel marzo 2023, ha trattato i dati personali degli utenti per addestrare ChatGPT senza aver prima individuato un'adeguata base giuridica e ha violato il principio di trasparenza e i relativi obblighi informativi nei confronti degli utenti. Per di più, OpenAI non ha previsto meccanismi per la verifica dell'età, con il conseguente rischio di esporre i minori di 13 anni a risposte inidonee rispetto al loro grado di sviluppo e autoconsapevolezza». Il Garante ha, dunque, ordinato alla società statunitense - utilizzando per la prima volta i nuovi poteri previsti dall'articolo 166 del Codice Privacy - di realizzare una campagna di comunicazione istituzionale di 6 mesi su radio, televisione, giornali e Internet al fine di garantire, innanzitutto, un'effettiva trasparenza del trattamento dei dati personali. Attraverso questa iniziativa di sensibilizzazione, sia gli utenti che i non utenti di ChatGPT verranno istruiti su come contrastare l'uso dei propri dati personali nell'addestramento dell'intelligenza artificiale generativa. Questo permetterà loro di esercitare pienamente i propri diritti in conformità al GDPR. Infine, nel Comunicato Stampa è stato sottolineato che, poiché la società ha stabilito il suo quartier generale europeo in Irlanda, il Garante ha trasmesso gli atti del procedimento all'Autorità irlandese DPC in conformità al principio del c.d. one stop shop. Questo passaggio è stato effettuato in base al Regolamento europeo sulla protezione dei dati personali, rendendo il DPC irlandese l'autorità di controllo principale per procedere con l'istruttoria in relazione ad eventuali violazioni di natura continuativa non esauritesi prima dell'apertura dello stabilimento europeo.