IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Suggested text: Our website address is: https://www.bigstonestudio.it.
Provvedimento del 30 marzo 2023
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito, “Regolamento”);
VISTO altresì il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196);
PRESO ATTO dei numerosi interventi dei media relativamente al funzionamento del servizio di ChatGPT;
RILEVATO, da una verifica effettuata in merito, che non viene fornita alcuna informativa agli utenti, né agli interessati i cui dati sono stati raccolti da OpenAI, L.L.C. e trattati tramite il servizio di ChatGPT;
RILEVATA l’assenza di idonea base giuridica in relazione alla raccolta dei dati personali e al loro trattamento per scopo di addestramento degli algoritmi sottesi al funzionamento di ChatGPT;
RILEVATO che il trattamento di dati personali degli interessati risulta inesatto in quanto le informazioni fornite da ChatGPT non sempre corrispondono al dato reale;
RILEVATO, inoltre, l’assenza di qualsivoglia verifica dell’età degli utenti in relazione al servizio ChatGPT che, secondo i termini pubblicati da OpenAI L.L.C., è riservato a soggetti che abbiano compiuto almeno 13 anni;
CONSIDERATO che l’assenza di filtri per i minori di età di 13 anni espone gli stessi a risposte assolutamente inidonee rispetto al grado di sviluppo e autoconsapevolezza degli stessi;
RITENUTO pertanto che nella situazione sopra delineata, il trattamento dei dati personali degli utenti, compresi i minori, e degli interessati i cui dati sono utilizzati dal servizio si ponga in violazione degli artt. 5, 6, 8, 13 e 25 del Regolamento;
RAVVISATA, pertanto, la necessità di disporre, ai sensi dell’art. 58, par. 2, lett. f), del Regolamento – in via d’urgenza e nelle more del completamento della necessaria istruttoria rispetto a quanto sin qui emerso nei confronti di OpenAI L.L.C., società statunitense sviluppatrice e gestrice di ChatGPT, la misura della limitazione provvisoria del trattamento;
RITENUTO che, in assenza di qualsivoglia meccanismo di verifica dell’età degli utenti, nonché, comunque, del complesso delle violazioni rilevate, detta limitazione provvisoria debba estendersi a tutti i dati personali degli interessati stabiliti nel territorio italiano;
RITENUTO necessario disporre la predetta limitazione con effetto immediato a decorrere dalla data di ricezione del presente provvedimento, riservandosi ogni altra determinazione all’esito della definizione dell’istruttoria avviata sul caso;
RICORDATO che, in caso di inosservanza della misura disposta dal Garante, trova applicazione la sanzione penale di cui all’art. 170 del Codice e le sanzioni amministrative previste dall’art. 83, par. 5, lett. e), del Regolamento;
RITENUTO, in base a quanto sopra descritto, che ricorrano i presupposti per l’applicazione dell’art. 5, comma 8, del Regolamento n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante, il quale prevede che «Nei casi di particolare urgenza e di indifferibilità che non permettono la convocazione in tempo utile del Garante, il presidente può adottare i provvedimenti di competenza dell’organo, i quali cessano di avere efficacia sin dal momento della loro adozione se non sono ratificati dal Garante nella prima riunione utile, da convocarsi non oltre il trentesimo giorno»;
VISTA la documentazione in atti;
TUTTO CIÒ PREMESSO IL GARANTE:
a) ai sensi dell’art. 58, par. 2, lett. f), del Regolamento dispone, in via d’urgenza, nei confronti di OpenAI L.L.C., società statunitense sviluppatrice e gestrice di ChatGPT, in qualità di titolare del trattamento dei dati personali effettuato attraverso tale applicazione, la misura della limitazione provvisoria, del trattamento dei dati personali degli interessati stabiliti nel territorio italiano;
b) la predetta limitazione ha effetto immediato a decorrere dalla data di ricezione del presente provvedimento, con riserva di ogni altra determinazione all’esito della definizione dell’istruttoria avviata sul caso.
Il Garante, ai sensi dell’art. 58, par. 1, del Regolamento (UE) 2016/679, invita il titolare del trattamento destinatario del provvedimento, altresì, entro 20 giorni dalla data di ricezione dello stesso, a comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto prescritto e di fornire ogni elemento ritenuto utile a giustificare le violazioni sopra evidenziate. Si ricorda che il mancato riscontro alla richiesta ai sensi dell’art. 58 è punito con la sanzione amministrativa di cui all’art. 83, par. 5, lett. e), del Regolamento (UE) 2016/679.
Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del d. lg. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.
In Roma, 30 marzo 2023
IL PRESIDENTE
Stanzione