Il Garante ha sanzionato Luka Inc., titolare del chatbot “Replika”, per violazioni del GDPR, tra cui assenza di base giuridica, informativa inadeguata e mancata verifica dell’età degli utenti. Avviata anche un’istruttoria sull’addestramento del modello di AI generativa alla base del servizio.
Il Garante per la protezione dei dati personali ha inflitto una sanzione amministrativa di 5 milioni di euro alla società statunitense Luka Inc., titolare del trattamento e sviluppatrice del chatbot di intelligenza artificiale generativa “Replika”. Parallelamente, l'Autorità ha avviato una nuova istruttoria volta a verificare in dettaglio le modalità con cui i dati vengono trattati durante le fasi di sviluppo e addestramento del modello linguistico sottostante al servizio. “Replika” offre agli utenti la possibilità di interagire con un “amico virtuale” personalizzabile tramite interfaccia scritta e vocale, attribuendo al chatbot ruoli relazionali e affettivi quali confidente, partner o mentore. L'azione del Garante si collega a precedenti indagini del 2023, sfociate nel blocco dell'applicazione sul territorio nazionale a seguito della mancata individuazione, da parte di Luka Inc., di una base giuridica idonea per il trattamento dei dati ai sensi del Regolamento UE 2016/679 (GDPR) e della presenza di una privacy policy ritenuta insufficiente sotto molteplici profili. Tra le ulteriori criticità rilevate figura l'assenza, alla data del 2 febbraio 2023, di efficaci meccanismi di verifica dell'età degli utenti, nonostante la dichiarazione della società di escludere i minori dall'utilizzo del servizio. Successivi controlli tecnici hanno evidenziato che anche il sistema di age verification attualmente implementato presenta notevoli carenze. Alla luce di tali violazioni, il Garante ha imposto a Luka Inc. l'adozione di misure correttive per assicurare la conformità dei trattamenti alle disposizioni del GDPR e ha avviato una nuova istruttoria per acquisire informazioni dettagliate sulle pratiche di gestione dei dati lungo tutto il ciclo di vita del sistema di AI generativa. L'attenzione dell'Autorità si concentra in particolare sulla valutazione dei rischi, sulle misure di anonimizzazione e pseudonimizzazione adottate, nonché sulle tipologie di dati utilizzate nell'addestramento del modello.