La vicenda che oppone ChatGPT di OpenAI al Garante per la Privacy in Italia, continua, si sposta nelle aule di Tribunale a Roma e si arricchisce di nuovi elementi anche se si è in attesa degli ulteriori capitoli.
Indice degli argomenti
La genesi della controversia tra OpenAI e il Garante privacy
Nel 2023 Il Garante avvia una istruttoria contestando a ChatGPT di non fornire informazioni agli utenti e agli interessati sulle modalità in cui i dati vengono raccolti e trattati, di non verificare l’età dei soggetti accedenti, l’assenza di filtri per i minori di 13 anni, e plurime violazioni delle norme sul trattamento dei dati personali, tali da determinare la temporanea sospensione del trattamento degli aventi diritto collocato nel nostro Stato.
La sanzione da 15 milioni di euro contro OpenAI
Avviata l’istruttoria e dopo diversi step, a dicembre 2024 il Garante riteneva conclamata la violazione delle norme sul trattamento dei dati, e comminava a OpenAI 15 milioni di euro di sanzione.
La posizione del Garante si allineava, esplicitamente, al parere del Comitato Europeo per la protezione dei dati in materia di trattamento nel contesto della progettazione, sviluppo e distribuzione di servizi basati sull’intelligenza artificiale e contestava una lacuna nella base giuridica che avrebbe dovuto essere posta a fondamento ed essere guida per l’uso dei dati degli utenti ai fini di addestramento di ChatGPT.
Ancor più rilevante il mancato accertamento dell’età dell’utente con conseguente non applicazione dei filtri per gli under 13 che verrebbero esposti così a rischi non commisurati alla loro giovane età.
Altro elemento di particolare gravità era individuato nella scarsa trasparenza, per l’assenza di corrette informative. Sotto questo profilo per la prima volta il Garante applicò i nuovi poteri di cui all’articolo 166 comma 7 del Codice Privacy “nell’adozione dei provvedimenti sanzionatori.
Può essere applicata la sanzione amministrativa accessoria della pubblicazione dell’ordinanza ingiunzione, per intero o per estratto sul sito internet del Garante o dell’ingiunzione a realizzare campagne di comunicazione istituzionale volte alla consapevolezza del diritto di protezione dei dati personali sulla base di progetti previamente approvati dal Garante e che tengano conto della gravità della violazione.”
Pertanto OpenAI era chiamato a dare seguito a una attività informativa di adeguata portata volta ad aumentare la consapevolezza dell’utente.
In ragione della collaborazione di OpenAI il Garante limitava a 15 milioni di euro la sanzione.
Il ricorso di OpenAI e la sospensiva del tribunale
A valle del provvedimento OpenAI manifestava la propria volontà di ricorso, giudicando in primo luogo sproporzionata la sanzione. Tale ricorso è stato proposto avanti il Tribunale di Roma con contestale richiesta, in via anticipatoria, di sospensiva dell’esecutività del provvedimento.
In data 21 marzo 2025 il Tribunale di Roma, subordinatamente alla prestazione di cauzione, sospendeva il provvedimento sino al giudizio finale.
E’ di tutta evidenza che la concessione della sospensiva ha reso ancora più “atteso” il provvedimento finale che sarà chiamato a considerare numerosi aspetti e a prendere in considerazione l’allineamento tra la posizione del Giudice nazionale italiano con l’interpretazione dell’EDPB che detta le linee guida a livello comunitario per una applicazione quanto più possibile uniforme dei principi portati dal GDPR.
La protezione dei minori come fulcro del dibattito
Molti gli argomenti sul tappeto che il Tribunale dovrà esaminare.
Sicuramente il primo aspetto riguarda la tutela dei minori, la necessità di prevenire accessi per minori di 13 non controllati, Questi soggetti, la cui personalità non è totalmente formata e pertanto maggiormente sensibile a sollecitazioni non adatte al loro stato evolutivo.
Questa attenzione dell’EDPB si è concretizzata ancora a febbraio 2025 in una importante dichiarazione sulla garanzia dell’età sintetizzata da Presidente dell’EDPB “La garanzia dell’età è essenziale per garantire che i minori non accedano a contenuti non adeguati alla loro età. Allo stesso tempo, il metodo per verificare l’età deve essere il meno intrusivo possibile e i dati personali dei bambini devono essere protetti. I principi proposti dall’EDPB aiuteranno l’industria a valutare l’età di una persona in modo conforme ai principi di protezione dei dati, tutelando nel contempo il benessere dei minori!
Un’attenzione che sta rivelandosi centrale anche nel contesto del lavoro dei gruppi che stanno redigendo la normativa sui servizi digitali.
Dunque al Tribunale l’arduo compito di verificare, sotto questo profilo, la corrispondenza e adeguatezza dei sistemi implementati da OpenAI per garantire il divieto di accesso “libero” da parte dei minori ai servizi, la presenza o meno di filtri e le cautele implementate dall’azienda statunitense.Tenuto conto dell’importanza di questa contestazione, le motivazioni che il Tribunale addurrà alla base dell’accoglimento e/o del rigetto del ricorso costituiranno un precedente importante e di riferimento in un contesto relativamente nuovo come quello dell’uso dei sistemi di IA.
Il trattamento dei dati dei minori e le sue implicazioni
Accanto all’importanza dei filtri per l’accesso dei minori vi è il trattamento dei loro dati. La non individuazione dei minori all’accesso, di fatto non consentirebbe una discrimine tra dati dei soggetti maggiorenni o comunque dei maggiori di 13 anni e i minori. Qui il Tribunale sarà chiamato a verificare il dato di fatto – in altre parole la fondatezza o meno del rilievo del Garante – ma pure a considerare le modalità con cui i dati dei minori vengono trattati da OpenAi, le modalità di conservazione e l’uso per allenamento del sistema.
La trasparenza come obbligo normativo e strumento di tutela
Un secondo punto su cui si è basata la misura del Garante è quello della trasparenza. Questo concetto appare trasversale nelle norme comunitarie in materia di Data Privacy e di intelligenza artificiale. L’AI Act emanato nel 2024 e la cui entrata in vigore sarà da completarsi entro agosto 2026, la trasparenza è concetto evidenziato e considerato centrale. Dunque, all’attenzione che già di per sé EDPB e Garante hanno conferito al concetto di trasparenza e a quello di diritti degli interessati (a tacer d’altro con le linee guida sul puto del 2022), si aggiunge il focus della normativa in materia di IA con l’AI Act.
Anche sotto questo aspetto i nodi da dipanare saranno diversi. In primis quelli di natura fattuale, ossia la conformità o meno del comportamento di OpenAI alle norme sull’informativa degli interessati, ma in secondo grado, in caso negativo, anche quali strumenti debbano essere implementati e i rimedi per una effettiva conoscenza dei propri diritti da parte dell’utente. Si vedrà quindi se l’applicazione dei nuovi poteri conferiti al Garante dall’art. 166 comma 7 attraverso i quali e’ stata ordinata a OpenAI una campagna informativa siano stati applicati nel giusto contesto e in maniera proporzionata.
Trattandosi di poteri relativamente recenti (introdotti nel 2021) la casistica è ancora limitata e sicuramente il contesto di impatto come quello di OpenAI non è ricorrente. Stiamo parlando di un sistema tra i principali di intelligenza generativa al mondo, il cui rilievo in termini di numeri di utenti è più che importante; chiaramente l’applicazione della sanzione accessoria della campagna educativa sui numeri di OpenAI può costituire una pietra miliare sulla via dell’informativa o dell’imposizione dell’obbligo di informativa da parte del Garante.
L’impatto potenziale del caso sul futuro della regolamentazione
Come si vede quindi, al di là della certo non secondaria questione dell’importanza economica della sanzione e della proporzionalità della medesima, ci sono aspetti che il Tribunale è chiamato a chiarire che possono avere un impatto sul futuro della regolamentazione dell’uso dei dati anche con finalità di allenamento di sistemi di IA che vanno ben oltre questo caso
