Il 20 marzo 2023, OpenAI ha subito un data breach che ha esposto conversazioni private e dati di utenti premium, compresi i dettagli parziali delle carte di credito. Nonostante la notifica all'autorità irlandese, OpenAI non ha comunicato tempestivamente l'incidente a tutte le autorità europee, come richiesto dal GDPR. Questo ritardo ha impedito un intervento immediato.
Un altro aspetto critico è la mancanza di una base giuridica chiara per il trattamento dei dati personali da parte di OpenAI. L'azienda ha utilizzato i dati per addestrare i suoi modelli senza individuare previamente una base legale adeguata, come il consenso o il legittimo interesse. Gli interessati non sono stati informati adeguatamente e non hanno potuto esercitare i loro diritti.
La privacy policy di OpenAI è stata giudicata insufficiente, con informazioni incomplete sul trattamento dei dati dei non utenti e disponibile solo in inglese. Mancavano dettagli sui dati trattati e sulle finalità specifiche. Questo ha sollevato dubbi sulla trasparenza verso gli utenti e, soprattutto, i non utenti.
Un altro punto focale riguarda i minori. OpenAI non ha implementato sistemi efficaci per verificare l'età degli utenti, esponendo i minori di 13 anni a contenuti inappropriati. Sebbene siano stati introdotti meccanismi di autodichiarazione, questi risultano facilmente aggirabili e non garantiscono una protezione adeguata.
Infine, la generazione di dati inesatti da parte di ChatGPT rappresenta un problema significativo. Gli output possono includere informazioni personali inesatte o false, e i sistemi di segnalazione e correzione implementati da OpenAI sono stati giudicati inefficaci.
Il provvedimento del garante include una sanzione pecuniaria e l'imposizione di misure correttive, come l'implementazione di sistemi affidabili per la verifica dell'età e una campagna informativa sui diritti degli utenti e dei non utenti. Inoltre, la competenza è stata trasferita all'autorità irlandese, che continuerà l'istruttoria.
Il dialogo tra il garante e OpenAI ha dimostrato un atteggiamento collaborativo da parte dell'azienda, che ha cercato di migliorare le sue pratiche. Tuttavia, restano sfide significative, in particolare per quanto riguarda l'equilibrio tra innovazione e diritti degli utenti.
🎙️ Ospite: Guido Scorza, membro del garante per la protezione dei dati personali, esperto di diritto della privacy.
In questa Puntata
OpenAI ha ricevuto una sanzione dal garante per il trattamento dei dati personali in Europa, in particolare per un data breach non notificato correttamente e per l'assenza di una base giuridica chiara per il trattamento dei dati. Inoltre, sono stati evidenziati problemi di trasparenza nella privacy policy e nella verifica dell'età degli utenti, con implicazioni significative per la protezione dei minori e l'accuratezza dei dati generati.