Quando si parla di intelligenza artificiale e dati personali, è facile pensare che il GDPR sia solo una questione che non ci riguarda o, peggio, un ostacolo burocratico. Ma il recente provvedimento del Garante per la Protezione dei Dati Personali nei confronti di OpenAI, con una sanzione da 15 milioni di euro, ci ricorda che il trattamento dei dati è prima di tutto una responsabilità.
E no, non è una storia che interessa solo i colossi del tech o gli addetti ai lavori. È una questione che riguarda chiunque sviluppi, utilizzi o promuova servizi basati su AI generativa, come chatbot, assistenti virtuali o tool automatizzati.
Vediamo insieme cosa è successo davvero, quali principi del GDPR sono stati violati e soprattutto cosa possiamo imparare da questo caso per evitare errori simili, anche su scala più piccola.
Cosa è successo con ChatGPT e perché il Garante è intervenuto
Nel marzo 2023, il Garante italiano ha avviato un’istruttoria nei confronti di OpenAI, società statunitense che sviluppa ChatGPT, uno dei chatbot più conosciuti al mondo basato su intelligenza artificiale generativa.
L’indagine è partita dopo una serie di segnalazioni, culminate con un data breach avvenuto nello stesso mese, che ha messo in evidenza una serie di criticità gravi nella gestione dei dati personali.
Al termine dell’istruttoria, il Garante ha riscontrato quattro violazioni sostanziali del GDPR:
-
Trattamento dei dati senza una base giuridica adeguata
OpenAI ha usato dati personali degli utenti (anche sensibili) per addestrare ChatGPT senza informare correttamente gli interessati né ottenere il loro consenso, violando i principi di liceità e trasparenza. - Assenza di un sistema efficace per verificare l’età degli utenti
Nonostante ChatGPT dichiari di essere riservato agli over 13, non erano presenti meccanismi affidabili per escludere i minori, esponendoli a contenuti potenzialmente inappropriati. - Informative agli utenti carenti e poco trasparenti
Le informazioni fornite da OpenAI agli utenti erano giudicate incomplete e poco chiare, non rispettando gli obblighi del GDPR in materia di trasparenza. - Mancata notifica di un data breach
Il data breach di marzo 2023 non è stato notificato tempestivamente all’autorità, come invece richiesto dal Regolamento.
Risultato? Una sanzione amministrativa di 15 milioni di euro e una serie di prescrizioni per correggere le violazioni.
Perché OpenAI è stata multata: una questione di responsabilità
Il Garante ha applicato la massima severità prevista dal GDPR, in particolare dall’art. 83, che consente sanzioni fino a 20 milioni di euro o al 4% del fatturato annuo globale.
La sanzione riflette la gravità e la pluralità delle violazioni, ma è stata comunque ridotta rispetto al massimo possibile, anche grazie all’atteggiamento collaborativo mostrato da OpenAI durante il procedimento.
Tuttavia, la multa non è stata l’unico intervento. OpenAI dovrà anche:
- Avviare una campagna di comunicazione istituzionale della durata di sei mesi su radio, TV, stampa e web, per spiegare in modo trasparente il funzionamento di ChatGPT e i diritti degli utenti.
- Adottare misure tecniche per rafforzare la verifica dell’età degli utenti.
- Fornire informative più chiare, comprensibili e accessibili.
Inoltre, vista la sede europea di OpenAI in Irlanda, gli atti sono stati trasmessi anche al Garante irlandese (DPC), competente per le questioni transfrontaliere.
La DPIA non è una formalità, è un salvagente
Ma in tutta questa complessa vicenda c'è stato un assente speciale, ovvero la Valutazione d’Impatto sulla Protezione dei Dati (DPIA).
Il GDPR prevede che ogni trattamento di dati che comporti rischi elevati per i diritti e le libertà delle persone fisiche sia accompagnato da una DPIA, soprattutto quando si parla di:
- Profilazione su larga scala
- Trattamento di categorie particolari di dati
- Sorveglianza sistematica
- Utilizzo di tecnologie innovative, come l’IA generativa
Nel caso di ChatGPT, l’assenza (o inadeguatezza) di una DPIA ha impedito a OpenAI di anticipare i rischi e adottare misure adeguate. Un errore che è costato caro.
Domanda per chi sviluppa soluzioni AI:
Hai già fatto una DPIA per il tuo prodotto o servizio? Visita la nostra pagina.
4 Lezioni da imparare (e applicare) subito
Il caso ChatGPT non è solo una storia da prima pagina, ma un vero manuale di prevenzione per chiunque lavori nel digitale.
Ecco cosa possiamo imparare:
1. La privacy non è un banale post-it da mostrare
Integrare la privacy by design e by default è un obbligo normativo, ma anche un investimento strategico. Progettare un prodotto che tutela i dati personali fin dall’inizio è più efficace (e meno costoso) che correre ai ripari dopo.
2. Controlla davvero l’età degli utenti
Se il tuo servizio può essere utilizzato da minorenni, implementa sistemi di verifica seri. Una semplice casella da spuntare non è sufficiente. Piattaforme come YouTube o Instagram adottano filtri, limitazioni e logiche di parental control. Anche tu puoi e devi farlo.
3. Scrivi informative chiare e accessibili
L’informativa privacy non deve essere scritta in legalese. Usa un linguaggio semplice, struttura il testo per punti, evidenzia i diritti degli utenti e spiega in modo concreto cosa succede ai loro dati. E soprattutto: rendila visibile e facilmente raggiungibile.
4. Preparati a gestire i data breach
Un incidente può sempre capitare. Ma se non sei pronto a notificarlo, tracciarlo e dimostrare cosa hai fatto per evitarlo, le conseguenze possono essere molto gravi. Avere una procedura interna chiara può fare la differenza tra una segnalazione e una sanzione.
L’AI è una rivoluzione, ma richiede regole e consapevolezza
Il caso OpenAI ci mostra quanto l’intelligenza artificiale generativa sia una tecnologia affascinante e potente, ma allo stesso tempo delicata da gestire sul piano etico e giuridico.
Non basta avere un prodotto innovativo: bisogna anche saperlo governare, soprattutto quando entra nella vita delle persone, analizza testi, suggerisce risposte e potenzialmente raccoglie dati sensibili.
Il GDPR non è un freno all’innovazione, ma uno strumento per costruire futuri digitali più sicuri e trasparenti. Il rispetto della normativa serve a guadagnare fiducia, non solo a evitare multe.
Meglio prevenire che pagare
Se c’è una cosa che il caso ChatGPT ci insegna è che nessuno è troppo grande per sbagliare. Ma, al tempo stesso, nessuno è troppo piccolo per imparare.
Che tu stia sviluppando un chatbot per un e-commerce, un’app per il fitness o una piattaforma di customer care, devi porti alcune domande fondamentali:
- Sto raccogliendo dati personali?
- Ho una base giuridica valida per farlo?
- Gli utenti capiscono davvero cosa succede ai loro dati?
- Sto proteggendo i minori?
- Sono pronto a gestire una violazione?
Se anche solo una di queste risposte è "non lo so", è il momento di fermarsi e fare chiarezza.
E se hai dubbi, non aspettare la prossima sanzione. Parla con un esperto, forma il tuo team, aggiorna i tuoi processi. La privacy non è un problema da evitare, ma un valore da costruire.
Hai bisogno di supporto per la conformità al GDPR o vuoi capire se il tuo servizio è a norma?
Contatta i nostri consulenti per una valutazione gratuita.