“Il Garante per la protezione dei dati personali ha notificato a OpenAI l’atto di contestazione per aver violato con ChatGPT la normativa in materia di protezione dei dati personali. A seguito del provvedimento di limitazione provvisoria del trattamento, adottato dal Garante nei confronti della società lo scorso 30 marzo, e all’esito dell’istruttoria svolta, l’Autorità ha ritenuto che gli elementi acquisiti possano configurare uno o più illeciti rispetto a quanto stabilito dal Regolamento UE. OpenAI avrà 30 giorni per comunicare le proprie memorie difensive in merito alle presunte violazioni contestate. Nella definizione del procedimento il Garante terrà conto dei lavori in corso nell’ambito della task force istituita dal Board che riunisce le Autorità di protezione dati dell’UE (Edpb)”.

È questo lo scarno comunicato stampa con cui ieri il Garante per la privacy ha contestato a OpenAI non meglio specificate violazioni di ChatGPT in materia di protezione dei dati personali. Come scritto anche nel comunicato, lo scorso 30 marzo il Garante aveva disposto a OpenAI una limitazione provvisoria del trattamento dei dati personali dei cittadini italiani.

Tra le principali motivazioni del provvedimento c’erano la mancanza di una informativa sulla gestione dei dati personali in linea con i requisiti del GDPR, il fatto che le informazioni personali contenute nelle conversazioni con ChatGPT potevano essere usate in modo incorretto e la mancanza di misure di verifica dell’identità degli utenti (i termini di servizio di ChatGPT indicano che è rivolto ai maggiori di 13 anni, ma OpenAI non effettuava alcuna verifica).

garante chatgpt

In risposta al provvedimento del Garante, OpenAI aveva bloccato l’accesso a ChatGPT agli utenti Italiani, dichiarando di avere intenzione di lavorare con il Garante per risolvere il prima possibile le questioni sollevate. Dopo un mese, pur la volontà del Garante di voler continuare le sue indagini, ChatGPT tornava in Italia grazie a un “escamotage” studiato da OpenAI per il quale le informazioni personali non venivano rimosse dal modello alla base di ChatGPT, ma solo dall’output di ChatGPT, cioè la risposta che viene data all’utente. Questo grazie a un filtro che intercetta le risposte contenenti informazioni personali delle persone che hanno richiesto la loro rimozione e ne impedisce la visualizzazione all’utente (ne abbiamo parlato più diffusamente qui).

Sta di fatto che oggi, a nove mesi esatti dal “ritorno” di ChatGPT in Italia, il Garante torna all’attacco dando a Open AI un nuovo ultimatum di 30 giorni per rispondere alle contestazioni mosse. E se a fine marzo 2023 ChatGPT non era ancora quel “colosso” dell’IA generativa che conosciamo oggi, un secondo blocco del servizio in Italia a inizio 2024 avrebbe conseguenze molto più importanti di quanto non ebbe nove mesi fa.