L’implementazione di sistemi efficaci di verifica dell’età rappresenta una sfida cruciale per le piattaforme digitali che utilizzano intelligenza artificiale.
Il recente provvedimento del Garante della Privacy contro il chatbot Replika evidenzia come carenze in questo ambito possano comportare sanzioni milionarie e gravi violazioni normative, rendendo necessario un approccio più rigoroso nella protezione dei dati dei minori.
Indice degli argomenti
Il provvedimento del Garante e le violazioni accertate nella verifica età
Con il recente Provvedimento del 10 aprile 2025 dell’Autorità Garante per la protezione dei dati personali ha sanzionato per 5milioni di euro la società statunitense Luka Inc. che gestisce il chatbot “Replika” e ha avviato una autonoma istruttoria per verificare il corretto trattamento dei dati personali effettuato dal sistema di intelligenza artificiale generativa alla base del servizio.
Al termine dell’istruttoria, il Garante ha ritenuto che la società statunitense abbia violato gli artt. 5, par. 1, lett. a) (con riferimento sia al principio di liceità che di trasparenza) e lett. c), 6, 12,13, 24, 25, par. 1 GDPR.
In breve, l’Autorità ha rilevato delle violazioni, da parte della Società, relativamente all’individuazione della base giuridica (art. 5 par. 1 lett. a) e art. 6 GDPR), ai sistemi di verifica dell’età dei minori (art. 5 par. 1 lett. c) e artt. 24 e 25 GDPR) e agli obblighi informativi nei confronti degli interessati (artt. 5 par. 1 lett. a) GDPR, 12 e 13 GDPR).
Carenze informative che compromettono la trasparenza nella verifica dell’età
Il Garante ha emesso, tra le altre cose, delle importanti osservazioni sul tema del corretto adempimento agli obblighi informativi previsti dalla normativa che si indicano di seguito.
L’Ufficio ha contestato alla Società la violazione degli artt. 5, par. 1, lett. a), 12 e 13 GDPR per aver fornito, alla data del 2 febbraio 2023, una privacy policy relativa al servizio Replika con contenuti non conformi agli obblighi ed ai principi generali in materia di trasparenza previsti dalla normativa.
Dagli atti istruttori è emerso che, alla data del 2 febbraio 2023, la privacy policy era disponibile solamente in lingua inglese, non considerando la lingua del paese in cui il servizio era offerto, ossia la lingua italiana.
Inoltre, al 2 febbraio 2023, la privacy policy non rispondeva ai principi di correttezza e trasparenza in quanto incompleta e non corretta, poiché:
- non indicava in modo granulare la base giuridica relativa ad ognuna delle attività di trattamento svolte, né la tipologia dei dati trattati;
- non indicava le finalità delle due distinte tipologie di attività di trattamento, cioè il trattamento dei dati tramite il “Chatbot Interaction”, finalizzato a consentire l’iscrizione degli utenti al servizio e la loro interazione con la piattaforma, ed il trattamento dei dati nell’ambito dello “Sviluppo del Modello”, finalizzato al miglioramento della sicurezza e delle performance del Large Language Model (LLM) sotteso al servizio offerto (“Model Development”);
- non chiariva che il servizio fosse offerto esclusivamente a soggetti maggiorenni, pur invitando i minori di 13 anni a non utilizzare il servizio. Il paragrafo 8 della citata privacy policy recitava: “We do not knowingly collect Personal Data from children under the age of 13. If you are under the age of 13, please do not submit any Personal Data through the Services […]”;
- non forniva alcuna puntuale indicazione in merito al periodo di conservazione dei dati personali ovvero ai criteri utilizzati per determinare tale periodo;
- non chiariva se vi fosse un trasferimento dei dati personali al di fuori dello SEE e, nel caso, quali fossero la base giuridica del trattamento e le garanzie di adeguatezza adottate di cui al Capo V GDPR. In particolare, le informazioni fornite dalla Società risultavano idonee ad ingenerare nell’interessato un errato convincimento in merito al trasferimento dei suoi dati personali verso gli USA. Tuttavia, l’assenza di un trasferimento di dati verso Paesi terzi è stata confermata dalla stessa Società nell’ambito della nota dell’8 maggio 2023 (prot. 74173/23). Il Garante ha quindi rilevato la resa di informazioni fuorvianti da parte della Società;
- la sezione 6 “Your data protection rights”, pur non richiamando espressamente l’articolo 22 GDPR, forniva specifiche informazioni in ordine a tale diritto, ingenerando nell’utente l’infondata convinzione che i suoi dati personali fossero oggetto di un processo decisionale automatizzato. La Società ha poi confermato l’assenza di un trattamento automatizzato ex art. 22 GDPR nella nota di riscontro (prot.74173/23). Dunque, anche in questo caso le informazioni inizialmente rese sono risultate fuorvianti e poco chiare.
Aggiornamenti parziali del sistema di verifica dell’età e persistenti criticità
Pertanto, l’Autorità ha ritenuto che la Società abbia violato, alla data del 2 febbraio 2023, gli artt. 5, par. 1, lett. a), 12 e 13 GDPR.
Tuttavia, da accertamenti tecnici ulteriori è emerso che il titolare ha nuovamente aggiornato la privacy policy relativa al servizio Replika in data 23 febbraio 2024. In tale versione risultano modificate talune delle informazioni imprecise e non corrette sopraindicate. Segnatamente la privacy policy, vigente alla data di adozione del presente provvedimento, riporta in modo granulare la base giuridica relativa ad ognuna delle attività di trattamento svolte dal titolare e la tipologia dei dati trattati; chiarisce espressamente che il servizio è offerto esclusivamente a soggetti maggiorenni e non presenta alcun richiamo, neanche implicito, alle decisioni automatizzate di cui all’articolo 22 GDPR. Cionondimeno, le informazioni rese ai sensi degli artt. 12 e 13 GDPR continuano ad essere disponibili solo in lingua inglese, a non fornire puntuali riferimenti in merito al periodo di conservazione dei dati personali ovvero ai criteri utilizzati per determinare tale periodo e ad essere potenzialmente idonee ad ingenerare nell’interessato un errato convincimento in merito al trasferimento dei suoi dati personali verso gli USA.
A seguito dell’intervento d’urgenza dell’Autorità, la Società ha adottato alcune misure per porre rimedio alle criticità emerse:
- sanando la violazione di cui agli articoli 5, par. 1, lett. a) e 6 GDPR modificando la privacy policy (cfr. ultima versione datata 23 febbraio 2024) e specificando dettagliatamente le basi giuridiche delle varie operazioni di trattamento effettuate attraverso il servizio Replika;
- mentrepermangono profili di non conformità rispetto al GDPRrispetto alle violazioni:
- degli artt. 5, par. 1, lett. a), 12 e 13 GDPR relativamente agli obblighi informativi
- ed alla violazione degli artt. 24 e 25, par. 1 e 5, par. 1, lett. c) GDPR relativamente al sistema di verifica dell’età.
Problematiche tecniche nel sistema di verifica dell’età implementato
Con riferimento agli obblighi informativi, l’Autorità ha accertato che, ad oggi, la privacy policy (ultima versione datata 23 febbraio 2024) di Luka continua a non essere conforme alla normativa in materia di protezione dei dati personali nella misura in cui:
- è disponibile solo in lingua inglese,
- non indica in modo puntuale i periodi di conservazione dei dati personali ovvero i criteri utilizzati per determinare tali periodi,
- è suscettibile di generare negli interessati un errato convincimento in merito al trasferimento dei loro dati personali verso gli USA.
Falle critiche nei controlli di verifica dell’età per i minori
Inoltre, alla data di adozione del presente provvedimento, da ulteriori accertamenti tecnici è emerso che il sistema di verifica dell’età attualmente implementato dal titolare continua ad essere carente sotto diversi aspetti.
L’Autorità ha constatato che:
- dopo la creazione del profilo utente, è possibile modificare la data di nascita nella sezione “My Profile” senza che a ciò segua alcuna verifica da parte del titolare del trattamento, con il risultato che un minore che si sia iscritto al servizio indicando una età anagrafica falsa potrebbe prontamente modificarla inserendo quella corretta senza alcuna conseguenza, continuando a poter accedere al servizio;
- il cooling off period (di 24 ore) non opera laddove la creazione del profilo avvenga tramite navigazione in incognito, infatti, da quanto risulta, una volta fallito il primo controllo dell’età, è possibile completare con successo la registrazione al servizio modificando l’indirizzo e-mail inserito con un nuovo indirizzo (inclusi indirizzi di posta elettronica non esistenti e non funzionanti);
- non sono stati predisposti meccanismi di analisi linguistica che richiedono agli utenti di riconfermare la propria età attraverso il processo di age gate quando gli stessi si identificano come minori di 18 anni, con la sola eccezione del caso in cui l’utente stesso dia particolari input (ad es. si dichiari in modo inequivocabile minori di 18 anni). In presenza di tali casi l’applicazione risponde chiedendo conferma della maggiore età.
Oobblighi di conformità per sistemi di verifica dell’età efficaci
Alla luce di quanto rappresentato nei paragrafi precedenti, l’Autorità ha ingiunto al titolare:
- di conformare la privacy policy agli articoli 5, par. 1, lett. a), 12 e 13 GDPR ponendo rimedio alle lacune sopra indicate;
- e anche di conformare il sistema di verifica dell’età agli articoli 5, par. 1, lett. c), 24 e 25, par. 1 GDPR.
Lezioni per le aziende nell’implementazione della verifica dell’età
Il presente articolo, analizzando alcune e specifiche violazioni riscontrate dal Garante, attestate nel provvedimento analizzato, si sofferma sull’importanza di garantire agli interessati una corretta e completa informazione sul trattamento dei propri dati personali, nonché sulla necessità di tutelare i minori (in quanto soggetti vulnerabili) tramite un efficiente sistema di verifica dell’età che, tuttavia, presenta ancora delle evidenti falle da eliminare.
Questo provvedimento rappresenta, dunque, un punto di riferimento (o anche di partenza) importante per quelle aziende che intendano usufruire di sistemi di intelligenza artificiale i quali, purtroppo, possono essere forieri di rischi e pericoli per i diritti e le libertà degli interessati.
