ChatGPT: Garante privacy, limitazione provvisoria sospesa se OpenAI adotterà le misure richieste.

Rispondi
Giancarlo Favero
Messaggi: 226
Iscritto il: dom gen 24, 2021 6:45 am

ChatGPT: Garante privacy, limitazione provvisoria sospesa se OpenAI adotterà le misure richieste.

Messaggio da Giancarlo Favero »

ChatGPT: Garante privacy, limitazione provvisoria sospesa se OpenAI adotterà le misure richieste
L’Autorità ha dato tempo alla società fino al 30 aprile per mettersi in regola

OpenAI avrà tempo fino al 30 aprile per adempiere alle prescrizioni imposte dal Garante per la protezione dei dati personali riguardo a informativa, diritti degli interessati, utenti e non utenti, base giuridica del trattamento dei dati personali per l’addestramento degli algoritmi con i dati degli utenti. Solo allora, venendo meno le ragioni di urgenza, l’Autorità sospenderà il provvedimento di limitazione provvisoria del trattamento dei dati degli utenti italiani preso nei confronti della società statunitense e ChatGPT potrà tornare accessibile dall’Italia.

Sulla base del provvedimento odierno dell’Autorità, entro fine aprile la società dovrà dunque adottare una serie di misure concrete.

Informativa

OpenAI dovrà predisporre e rendere disponibile sul proprio sito un’informativa trasparente, in cui siano illustrate modalità e logica alla base del trattamento dei dati necessari al funzionamento di ChatGPT nonché i diritti attribuiti agli utenti e agli interessati non utenti. L’informativa dovrà essere facilmente accessibile e collocata in una posizione che ne consenta la lettura prima di procedere all’eventuale registrazione al servizio.

Per gli utenti che si collegano dall’Italia, l’informativa dovrà essere presentata prima del completamento della registrazione e, sempre prima del completamento della registrazione dovrà essere loro richiesto di dichiarare di essere maggiorenni.

Agli utenti già registrati, l’informativa dovrà essere presentata al momento del primo accesso successivo alla riattivazione del servizio e, nella stessa occasione, dovrà essere loro richiesto di superare un age gate che escluda, sulla base dell’età dichiarata, gli utenti minorenni.

Base giuridica

Quanto alla base giuridica del trattamento dei dati personali degli utenti per l’addestramento degli algoritmi, il Garante privacy ha ordinato a OpenAI di eliminare ogni riferimento all’esecuzione di un contratto e di indicare, invece, in base al principio di accountability, il consenso o il legittimo interesse quale presupposto per utilizzare tali dati, fermo restando l’esercizio dei propri poteri di verifica e accertamento successivi a tale scelta.

Esercizio dei diritti

Ulteriori prescrizioni riguardano la messa a disposizione di strumenti utili per permettere agli interessati, anche non utenti, di chiedere la rettifica dei dati personali che li riguardano generati in modo inesatto dal servizio o la cancellazione degli stessi, nel caso la rettifica non fosse tecnicamente possibile.

OpenAI, inoltre, dovrà consentire agli interessati non utenti di esercitare, in modo semplice e accessibile, il diritto di opposizione rispetto al trattamento dei loro dati personali utilizzati per l’esercizio degli algoritmi e riconoscere analogo diritto agli utenti, qualora individui il legittimo interesse quale base giuridica del trattamento.

Tutela dei minori

Per quanto riguarda la verifica dell’età dei minori, oltre all’immediata implementazione di un sistema di richiesta dell’età ai fini della registrazione al servizio, l’Autorità ha ordinato a OpenAI di sottoporle entro il 31 maggio un piano di azione che preveda, al più tardi entro il 30 settembre 2023, l’implementazione di un sistema di age verification, in grado di escludere l’accesso agli utenti infratredicenni e ai minorenni per i quali manchi il consenso dei genitori.

Campagna di informazione

Di concerto col Garante, entro il 15 maggio, OpenAI dovrà infine promuovere una campagna di informazione su radio, televisione, giornali e web per informare le persone sull’uso dei loro dati personali ai fini dell’addestramento degli algoritmi.

L’Autorità proseguirà nell’accertamento delle violazioni della disciplina vigente eventualmente poste in essere dalla società e si riserva l’adozione di ogni ulteriore o diversa misura che si rendesse necessaria a conclusione della formale istruttoria tuttora in corso.

Roma, 12 aprile 2023



___________





ChatGPT: Italian SA to lift temporary limitation if OpenAI implements measures
30 April set as deadline for compliance

OpenAI will have to comply by 30 April with the measures set out by the Italian SA concerning transparency, the right of data subjects – including users and non-users -, and the legal basis of the processing for algorithmic training relying on users’ data. Only in that case will the Italian SA lift its order that placed a temporary limitation on the processing of Italian users’ data, there being no longer the urgency underpinning the order, so that ChatGPT will be available once again from Italy.

Therefore, several concrete measures will have to be implemented by the company in accordance with today’s decision by the SA.

Information

OpenAI will have to draft and make available, on its website, an information notice describing the arrangements and logic of the data processing required for the operation of ChatGPT along with the rights afforded to data subjects (users and non-users). The information notice will have to be easily accessible and placed in such a way as to be read before signing up to the service.

Users from Italy will have to be presented with the notice before completing their registration, when they will also be required to declare they are aged above 18.

Registered users will have to be presented with the notice at the time of accessing the service, once it is reactivated, when they will also be required to pass through an age gate filtering out underage users on the basis of the inputted age.

Legal basis

Regarding the legal basis of the processing of users’ personal data for training algorithms, the Italian SA ordered OpenAI to remove all references to contractual performance and to rely – in line with the accountability principle – on either consent or legitimate interest as the applicable legal basis. This will be without prejudice to the exercise the SA’s investigatory and enforcement powers in this respect.

Exercise of data subjects’ rights

A set of additional measures concern the availability of tools to enable data subjects, including non-users, to obtain rectification of their personal data as generated incorrectly by the service, or else to have those data erased if rectification was found to be technically unfeasible.

OpenAI will have to make available easily accessible tools to allow non-users to exercise their right to object to the processing of their personal data as relied upon for the operation of the algorithms. The same right will have to be afforded to users if legitimate interest is chosen as the legal basis for processing their data.

Protection of children

Regarding age verification measures, the Italian SA ordered OpenAI to immediately implement an age gating system for the purpose of signing up to the service and to submit, within the 31st of May, a plan for implementing, by 30 September 2023, an age verification system to filter out users aged below 13 as well as users aged 13 to 18 for whom no consent is available by the holders of parental authority.

Awareness-raising campaign

OpenAI will have to promote an information campaign in agreement with the Garante, by the 15th of May, through radio, TV, newspapers and the Internet in order to inform individuals on use of their personal data for training algorithms.

The Italian SA will carry on its inquiries to establish possible infringements of the legislation in force and may decide to take additional or different measures if this proves necessary upon completion of the fact-finding exercise under way.

Rome, 12 April 2023

Rispondi