g-docweb-display Portlet

Provvedimento dell'11 aprile 2023 [9874702]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

 

VEDI ANCHE

- Comunicato del 13 aprile 2023

- Comunicato del 12 aprile 2023

- Comunicato dell'8 aprile 2023

- Comunicato del 6 aprile 2023

- Comunicato del 4 aprile 2023

- Comunicato del 31 marzo 2023

- Provvedimento del 30 marzo 2023


- English version

 

[doc. web n. 9874702]

Provvedimento dell'11 aprile 2023

Registro dei provvedimenti
n. 114 dell'11 aprile 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il provvedimento n. 112 del 30 marzo 2023 di limitazione provvisoria di cui all’art. 58, par. 2, lett. f), del Regolamento, adottato nei confronti OpenAI L.L.C. (di seguito anche “Società”) dal Presidente in via d’urgenza, ai sensi dell’art. 5, comma 8, del Regolamento n. 1/2000 sull’organizzazione e il funzionamento dell’Ufficio del Garante, che è stato ratificato nella adunanza dell’8 aprile 2023;

VISTA l’e-mail del 3 aprile 2023 con la quale la Società ha espresso la disponibilità a un incontro con il Garante;

PRESO ATTO degli esiti della riunione svoltasi in teleconferenza tra il Collegio e i vertici della Società il giorno 5 aprile 2023;

VISTE le informazioni acquisite da OpenAI che, con le note del 6 e 7 aprile 2023, ha manifestato, tra l’altro, la disponibilità a collaborare con il Garante, chiedendo, altresì, la revoca del provvedimento di limitazione provvisoria del trattamento;

RITENUTO, a fronte delle informazioni acquisite e della disponibilità manifestata dalla Società a porre in essere una serie di misure concrete a tutela dei diritti e delle libertà degli interessati, i cui dati sono stati trattati per l’addestramento degli algoritmi strumentali all’erogazione del servizio ChatGPT, e degli utenti del servizio medesimo, fermo restando il naturale proseguimento dell’attività istruttoria avviata, di poter procedere a rivalutare la sussistenza dei presupposti del provvedimento di limitazione provvisoria, adottando le conseguenti determinazioni,  a condizione che OpenAI provveda ad attuare concretamente una serie di misure e prescrizioni di seguito specificamente individuate, che vengono ingiunte alla Società ai sensi dell’art. 58, par. 2, lett. d), del Regolamento:

1. predisporre e pubblicare sul proprio sito internet un’informativa che, nei termini e con le modalità di cui all’art. 12 del Regolamento, spieghi agli interessati anche diversi dagli utenti del servizio ChatGPT, i cui dati sono stati raccolti e trattati ai fini dell’addestramento degli algoritmi, le modalità del trattamento, la logica alla base del trattamento necessario al funzionamento del servizio, i diritti loro spettanti in qualità di interessati e ogni altra informazione prevista dal Regolamento;

2. mettere a disposizione, sul proprio sito Internet, almeno agli interessati, anche diversi dagli utenti del servizio, che si collegano dall’Italia, uno strumento attraverso il quale possano esercitare il diritto di opposizione rispetto ai trattamenti dei propri dati personali, ottenuti da terzi, svolti dalla società ai fini dell’addestramento degli algoritmi e dell’erogazione del servizio;

3. mettere a disposizione, sul proprio sito Internet, almeno agli interessati, anche diversi dagli utenti del servizio, che si collegano dall’Italia, uno strumento attraverso il quale chiedere e ottenere la correzione di eventuali dati personali che li riguardano trattati in maniera inesatta nella generazione dei contenuti o, qualora ciò risulti impossibile allo stato della tecnica, la cancellazione dei propri dati personali;

4. inserire un link all’informativa rivolta agli utenti dei propri servizi nel flusso di registrazione in una posizione che ne consenta la lettura prima di procedere alla registrazione, attraverso modalità tali da consentire a tutti gli utenti che si collegano dall’Italia, ivi inclusi quelli già registrati, al primo accesso successivo all’eventuale riattivazione del servizio, di prendere visione di tale informativa;

5. modificare la base giuridica del trattamento dei dati personali degli utenti ai fini dell’addestramento degli algoritmi, eliminando ogni riferimento al contratto e assumendo come base giuridica del trattamento il consenso o il legittimo interesse in relazione alle valutazioni di competenza della società in una logica di accountability;

6. mettere a disposizione, sul proprio sito Internet, almeno agli utenti del servizio, che si collegano dall’Italia, uno strumento facilmente accessibile attraverso il quale esercitare il diritto di opposizione al trattamento dei propri dati acquisiti in sede di utilizzo del servizio per l’addestramento degli algoritmi qualora la base giuridica prescelta ai sensi del punto 5 che precede sia il legittimo interesse;

7. in sede di eventuale riattivazione del servizio dall’Italia, inserire la richiesta, a tutti gli utenti che si collegano dall’Italia, ivi inclusi quelli già registrati, di superare, in sede di primo accesso, un age gate che escluda, sulla base dell’età dichiarata, gli utenti minorenni;

8. sottoporre al Garante, entro il 31 maggio 2023, un piano per l’adozione di strumenti di age verification idoneo a escludere l’accesso al servizio agli utenti infratredicenni e a quelli minorenni in assenza di un’espressa manifestazione di volontà da parte di chi esercita sugli stessi la responsabilità genitoriale. L’implementazione di tale piano dovrà decorrere, al più tardi, dal 30 settembre 2023;

9. promuovere, entro il 15 maggio 2023, una campagna di informazione, di natura non promozionale, su tutti i principali mezzi di comunicazione di massa italiani (radio, televisione, giornali e Internet) i cui contenuti andranno concordati con il Garante, allo scopo di informare le persone dell’avvenuta probabile raccolta dei loro dati personali ai fini dell’addestramento degli algoritmi, dell’avvenuta pubblicazione sul sito internet della Società di un’apposita informativa di dettaglio e della messa a disposizione, sempre sul sito internet della Società, di uno strumento attraverso il quale tutti gli interessati possono chiedere e ottenere la cancellazione dei propri dati personali;

RITENUTO che le prescrizioni di cui ai punti da 1 a 7 debbano essere integralmente adempiute non oltre il 30 aprile 2023;

RITENUTO, alle predette condizioni, di poter sospendere l’efficacia del proprio provvedimento di limitazione provvisoria a far data dall’adempimento delle prescrizioni da 1 a 7, con salvezza di ogni ulteriore intervento, anche di carattere urgente e temporaneo, nel caso di inidonea o insufficiente attuazione delle prescrizioni sopra indicate;

PRECISATO che le odierne decisioni vengono comunque assunte con salvezza di ogni ulteriore misura che si rendesse necessaria a conclusione della formale istruttoria in corso;

VISTA la documentazione in atti;

RELATORE il prof. Pasquale Stanzione;

TUTTO CIÒ PREMESSO IL GARANTE

a) ai sensi dell’art. 58, par. 2, lett. d), del Regolamento ingiunge ad OpenAI L.L.C., società statunitense sviluppatrice e gestrice di ChatGPT, in qualità di titolare del trattamento dei dati personali effettuato attraverso tale applicazione, entro i termini di cui alle premesse:

1. la predisposizione e pubblicazione sul proprio sito internet di un’informativa che, nei termini e con le modalità di cui all’art. 12 del Regolamento, spieghi agli interessati anche diversi dagli utenti del servizio ChatGPT, i cui dati sono stati raccolti e trattati ai fini dell’addestramento degli algoritmi, le modalità del trattamento, la logica alla base del trattamento necessario al funzionamento del servizio in tutte le diverse declinazioni (ChatGPT, API ecc.), i diritti loro spettanti in qualità di interessati e ogni altra informazione prevista dal Regolamento;

2. la messa a disposizione, sul proprio sito Internet, almeno agli interessati, anche diversi dagli utenti del servizio, che si collegano dall’Italia, di uno strumento attraverso il quale possano esercitare il diritto di opposizione rispetto ai trattamenti svolti dalla società ai fini dell’addestramento degli algoritmi e dell’erogazione del servizio;

3. la messa a disposizione, sul proprio sito Internet, almeno agli interessati, anche diversi dagli utenti del servizio, che si collegano dall’Italia, di uno strumento attraverso il quale chiedere e ottenere la correzione di eventuali dati personali che li riguardano trattati in maniera inesatta nella generazione dei contenuti o, qualora ciò risulti impossibile allo stato della tecnica, la cancellazione dei propri dati personali;

4. l’inserimento di un link all’informativa rivolta agli utenti dei propri servizi nel flusso di registrazione in una posizione che ne consenta la lettura prima di procedere alla registrazione facendo in modo che tutti gli utenti che si collegano dall’Italia, ivi inclusi quelli già registrati, al primo accesso successivo all’eventuale riattivazione del servizio, debbano prendere visione di tale informativa;

5. la modifica della base giuridica del trattamento dei dati personali degli utenti ai fini dell’addestramento algoritmico, eliminando ogni riferimento al contratto e assumendo come base giuridica del trattamento il consenso o il legittimo interesse in relazione alle valutazioni di competenza della società in una logica di accountability;

6. la messa a disposizione, sul proprio sito Internet, almeno agli utenti del servizio, che si collegano dall’Italia, di uno strumento facilmente accessibile attraverso il quale esercitare il diritto di opposizione al trattamento dei propri dati per l’addestramento degli algoritmi qualora la base giuridica prescelta ai sensi del punto 5 che precede sia il legittimo interesse;

7. in sede di eventuale riattivazione del servizio dall’Italia, la richiesta, a tutti gli utenti che si collegano dall’Italia, ivi inclusi quelli già registrati, di superare, in sede di primo accesso, un age gate che escluda, sulla base dell’età dichiarata, gli utenti minorenni;

8. la sottoposizione al Garante, entro il 31 maggio 2023, di un piano per l’adozione di strumenti di age verification idoneo a escludere l’accesso al servizio agli utenti infratredicenni e a quelli minorenni in assenza di un’espressa manifestazione di volontà da parte di chi esercita sugli stessi la responsabilità genitoriale. L’implementazione di tale piano dovrà decorrere, al più tardi, dal 30 settembre 2023;

9. la promozione, entro il 15 maggio 2023 di una campagna di informazione, di natura non promozionale, su tutti i principali mezzi di comunicazione di massa italiani (radio, televisione, giornali e Internet) i cui contenuti andranno concordati con il Garante allo scopo di informare le persone dell’avvenuta probabile raccolta dei loro dati personali ai fini dell’addestramento degli algoritmi, dell’avvenuta pubblicazione sul sito internet della società di un’apposita informativa di dettaglio e della messa a disposizione, sempre sul sito internet della società, di uno strumento attraverso il quale tutti gli interessati potranno chiedere e ottenere la cancellazione dei propri dati personali.

b) sospende il provvedimento di limitazione provvisoria adottato con deliberazione d’urgenza del Presidente n. 112 del 30 marzo 2023 e ratificato dal Collegio nell’adunanza dell’8 aprile 2023 a far data dall’adempimento delle prescrizioni di cui ai punti da 1 a 7 che precedono.

Le decisioni di cui ai punti precedenti sono assunte con piena salvezza di ogni attività di accertamento delle eventuali violazioni della disciplina vigente eventualmente poste in essere dal titolare del trattamento e di ogni ulteriore o diversa misura che si rendesse necessaria a conclusione della formale istruttoria in corso.

Il Garante, ai sensi dell’art. 58, par. 1, del Regolamento e dell’art. 157 del Codice invita il titolare del trattamento destinatario del provvedimento, altresì, a comunicare:

- entro il 30 aprile 2023, quali iniziative siano state intraprese al fine di dare attuazione a quanto prescritto ai punti da 1 a 7;

- entro le date previste per il loro adempimento quali iniziative siano state intraprese al fine di dare attuazione a quanto prescritto ai punti da 8 a 9.

- Si ricorda che il mancato riscontro alle richieste ai sensi dell’art. 58 del Regolamento è punito con la sanzione amministrativa di cui all'art. 83, par. 5, lett. e), del Regolamento medesimo.

Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del d. lg. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 11 aprile 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei

__________

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

At today’s meeting, with the participation of Pasquale Stanzione, President, Ginevra Cerrina Feroni, Vice-President, Agostino Ghiglia and Guido Scorza, members, and Fabio Mattei, Secretary-General;

Having regard to Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016, on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC, ‘General Data Protection Regulation’ (hereinafter ‘the Regulation’);

Having regard to Legislative Decree No 196 of 30 June 2003 laying down provisions for the adaptation of national law to Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016, on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (hereinafter ‘the Code’);

Having regard to Decision No 112 of 30 March 2023 on the temporary limitation referred to in Article 58(2)(f) of the Regulation, as adopted in respect of OpenAI LLC (hereinafter also ‘the Company’) by the President as a matter of urgency pursuant to Article 5 (8) of Regulation 1/2000 on the organisation and functioning of the Garante’s Office, which was ratified at the meeting of 8 April 2023;

Having regard to the e-mail of 3 April 2023 in which the Company expressed its willingness to meet the Garante;

Taking note of the outcome of the meeting held by videoconference between the Garante’s Panel of Commissioners and the Company’s top managers on 5 April 2023;

Having regard to the information gathered from OpenAI, which stated, inter alia, its willingness to cooperate with the Garante in its letters of 6 and 7 April 2023, and also requested the lifting of the temporary limitation decision;

Finding that it is possible to proceed with re-assessing the circumstances underpinning the temporary limitation decision by making the corresponding determinations, in the light of the information obtained and the willingness expressed by the Company to put in place concrete measures to protect the rights and freedoms both of the data subjects whose data have been processed to train the algorithms used to provide the ChatGPT service and of the users of that service, without prejudice to the continuation of the fact-finding activities initiated by the Garante, on condition that OpenAI factually implements the measures specified below which the Company is ordered to take pursuant to Article 58(2)(d) of the Regulation:

1. drafting and publishing, on the Company’s website, an information notice which provides  data subjects whose data have been collected and processed for the purpose of training algorithms – whether or not they are also users of the ChatGPT service -  with information on how the processing is carried out, the logic underlying the processing that is necessary for the operation of the service, the rights to which they are entitled as data subjects, and any other element provided for in the Regulation within the terms and in accordance with the arrangements laid down in Article 12 of the latter;

2. making available, on the Company’s website, at least to data subjects who are connected from Italy, whether or not they are also users of the service, a tool by which they can exercise their right to object to the Company’s processing of their personal data for the purpose of training algorithms and providing the service insofar as such data have been obtained from third parties;

3. making available, on the Company’s website, at least to data subjects who are connected from Italy, whether or not they are also users of the service, a tool by which to request and obtain rectification of any personal data relating to them which have been processed incorrectly in the generation of contents or, where this is not possible according to state-of-the-art technology, the erasure of their personal data;

4. including a link to the user information notice in the registration flow at such a location as can allow it to be read before continuing with the registration and in such a way as to enable all users connecting from Italy, including registered users, to view that information notice immediately they access the service following the possible reactivation of such service;

5. changing the legal basis of the processing of users’ personal data for the purpose of algorithmic training, by removing any reference to contract and relying on consent or legitimate interest as legal bases by having regard to the assessment the Company is required to make from an accountability perspective;

6. making available, on the Company’s website, at least to users who are connected from Italy, an easily accessible tool by which to exercise their right to object to the processing of their own data as acquired when using the service for the purpose of training algorithms, where the legal basis chosen under point 5 above is the Company’s legitimate interest;

7. including a request to all users connecting from Italy, whether already registered or not, to go through an age gate upon their initial access following the possible reactivation of the service for Italy so as to filter out underage users on the basis of the inputted age;

8. submitting a plan for the deployment of age verification tools to the Garante by 31 May 2023, whereby users aged under 13 should be prevented from accessing the service along with users aged under 18 in the absence of an express indication of consent by the person exercising parental authority over the latter; implementation of this plan shall start at the latest on 30 September 2023;

9. promoting a non-marketing oriented information campaign by 15 May 2023, on all the main Italian mass media (including radio, television, newspapers and the Internet), the content of which shall be agreed upon with the Garante, in order to inform individuals that their personal data are likely to have been collected for the purpose of training algorithms, that an ad-hoc detailed information notice has been published on the Company’s website, and that a tool has been made available, still on the Company’s website, by means of which all data subjects can request and obtain the erasure of their personal data;

Finding that the measures set out in points 1 to 7 above shall be complied with in full by 30 April 2023 at the latest;

Finding, if the foregoing conditions are fulfilled, that enforcement of its temporary limitation decision may be suspended as from compliance with the measures set out in points 1 to 7 above, whereby this shall be without prejudice to such further action, even of an urgent and temporary nature, as may be taken  in the event of inadequate or insufficient implementation of the above measures;

Whereas the current decisions shall be without prejudice to any further measures as may prove necessary following the conclusion of the fact-finding activities under way;

Having regard to the records on file;

Acting on the report submitted by Prof. Pasquale Stanzione;

BASED ON THE FOREGOING PREMISES, THE GARANTE

a) orders OpenAI LLC, the US-based developer and manager of ChatGPT, in its capacity as the controller of the processing of personal data carried out through the said application, pursuant to Article 58(2)(d) of the Regulation,

1. to draft and publish, on the Company’s website, an information notice which provides  data subjects whose data have been collected and processed for the purpose of training algorithms – whether or not they are also users of the ChatGPT service -  with information on how the processing is carried out, the logic underlying the processing that is necessary for the operation of the service including all the relevant features thereof (ChatGPT, APIs, etc), the rights to which they are entitled as data subjects, and any other element provided for in the Regulation within the terms and in accordance with the arrangements laid down in Article 12 of the latter;

2. to make available, on the Company’s website, at least to data subjects who are connected from Italy, whether or not they are also users of the service, a tool by which they can exercise their right to object to the Company’s processing of their personal data for the purpose of training algorithms and providing the service insofar as such data have been obtained from third parties;

3. to make available, on the Company’s website, at least to data subjects who are connected from Italy, whether or not they are also users of the service, a tool by which to request and obtain rectification of any personal data relating to them which have been processed incorrectly in the generation of contents or, where this is not possible according to state-of-the-art technology, the erasure of their personal data;

4. to include a link to the user information notice in the registration flow at such a location as can allow it to be read before continuing with the registration and in such a way as to require all users connecting from Italy, including registered users, to view that information notice immediately they access the service following the possible reactivation of such service;

5. to change the legal basis of the processing of users’ personal data for the purpose of algorithmic training, by removing any reference to contract and relying on consent or legitimate interest as legal bases by having regard to the assessment the Company is required to make from an accountability perspective;

6. to make available, on the Company’s website, at least to users who are connected from Italy, an easily accessible tool by which to exercise their right to object to the processing of their own data as acquired when using the service for the purpose of training algorithms, where the legal basis chosen under point 5 above is the Company’s legitimate interest;

7. to include a request to all users connecting from Italy, whether already registered or not, to go through an age gate upon their initial access following the possible reactivation of the service for Italy so as to filter out underage users on the basis of the inputted age;

8. to submit a plan for the deployment of age verification tools to the Garante by 31 May 2023, whereby users aged under 13 should be prevented from accessing the service along with users aged under 18 in the absence of an express indication of consent by the person exercising parental authority over the latter; implementation of this plan shall start at the latest on 30 September 2023; and

9. to promote a non-marketing oriented information campaign by 15 May 2023, on all the main Italian mass media (including radio, television, newspapers and the Internet), the content of which shall be agreed upon with the Garante, in order to inform individuals that their personal data are likely to have been collected for the purpose of training algorithms, that an ad-hoc detailed information notice has been published on the Company’s website, and that a tool has been made available, still on the Company’s website, by means of which all data subjects can request and obtain the erasure of their personal data,

within the time limits set out in the premises hereof;

b)  suspends enforcement of the temporary limitation decision that was adopted by way of an urgent determination of the President (No 112 of 30 March 2023) and ratified by the Garante’s Panel of Commissioners at its meeting of 8 April 2023 as from compliance with the measures set out in points 1 to 7 above.

The foregoing decisions are made without prejudice to such activities as may be carried out to establish any infringements of the legislation in force by the controller and to such further or different measures as may prove necessary upon completion of the fact-finding activities under way.

Pursuant to Article 58(1) of the Regulation and Section 157 of the Code, the Garante hereby requests the controller addressed by this decision to communicate the following:

-  what steps have been taken to implement the measures set out in points 1 to 7, by 30 April 2023;

-  what steps have been taken to implement the measures set out in points 8 to 9, by the dates referred to therein respectively.

It is recalled hereby that failure to comply with orders under Article 58 of the Regulation carries the administrative fine referred to in Article 83(5)(e) of the Regulation.

Under the terms of Article 78 of the Regulation as applied jointly with Section 152 of the Code and Section 10 of legislative decree No 150 of 1 September 2011, this decision may be challenged by lodging an appeal with the court of the place where the controller is resident by thirty days from notification hereof, or by sixty days if the appellant is resident abroad.

Rome, 11 April 2023

THE PRESIDENT
Stanzione

THE RAPPORTEUR
Stanzione

THE SECRETARY GENERAL
Mattei

Scheda

Doc-Web
9874702
Data
11/04/23

Argomenti


Tipologie

Prescrizioni del Garante