supersqualo
Privacy & Sicurezza

I provvedimenti Garante Privacy 2024 sull'IA: cosa devi sapere

Il Garante italiano nel 2023-2024 ha emesso provvedimenti pesanti su IA: ChatGPT (15 milioni), Replika, Worldcoin, vari chatbot. Ti riassumo i principi consolidati e cosa ti dicono operativamente per i tuoi progetti.

Di Super Squalo·6 min lettura
Nota. Premessa onesta: tengo le guide aggiornate quando ho tempo, ma l'IA cambia in modo così rapido che è impossibile garantire ogni dettaglio sempre attuale. Se qualcosa qui ti sembra strano o vecchio, scrivimi.

Sei il DPO, ti chiamano dalla direzione e ti chiedono «quindi il Garante cosa pensa dell'IA?». Tu sai che il Garante ha emesso una serie di provvedimenti tra il 2023 e il 2024 che hanno tracciato la rotta. ChatGPT 15 milioni, Replika sospesa, Worldcoin bloccata, e poi una serie di pronunce su scuola, lavoro, sanita'. Te li metto in fila, perche' i principi che emergono valgono per ogni progetto IA che ti capita di valutare.

Provvedimento ChatGPT del 30 marzo 2023 (limitazione provvisoria)

Il Garante sospende temporaneamente ChatGPT in Italia. Quattro contestazioni:

  • Mancanza di informativa adeguata agli utenti (art. 13 GDPR).
  • Assenza di base giuridica per il trattamento massivo di dati per training.
  • Inesattezza dei dati personali generati (allucinazioni con dati identificativi).
  • Mancanza di sistemi verifica eta' minori.

OpenAI si e' adeguata a fine aprile 2023, il servizio e' tornato. Ma il caso ha tracciato un principio: non basta dire «e' un LLM, mica decide». Se tratta dati personali, GDPR si applica integralmente.

Provvedimento ChatGPT del 30 marzo 2024 (sanzione 15 milioni)

Provv. 112/2024. Sanzione di 15 milioni di euro a OpenAI. Motivazioni rilevanti:

  • Base giuridica per il training non sufficientemente dimostrata (legittimo interesse contestato).
  • Trasparenza inadeguata sull'uso dei dati per addestramento.
  • Diritto di rettifica art. 16 GDPR praticamente non esercitabile sui dati appresi dal modello.
  • Verifica eta' insufficiente per minori sotto i 13 anni.

Implicazione operativa per te: se usi un LLM che apprende dai tuoi dati, devi dimostrare la base giuridica del training, non solo dell'inferenza. La distinzione e' fondamentale.

Provvedimento Replika del febbraio 2023

Replika (chatbot «amico virtuale») sospesa in Italia. Motivi: rischi specifici per minori e soggetti vulnerabili (l'app generava contenuti emotivamente manipolativi, anche sessualizzati), assenza di basi giuridiche adeguate, mancata DPIA. Il principio: per categorie vulnerabili, la valutazione di necessita' e proporzionalita' e' molto piu' stringente. Un chatbot «empatico» che risponde a problemi psicologici di un minore non e' giocattolo, e' trattamento ad alto rischio.

Provvedimento Worldcoin del 2023-2024

Worldcoin (sistema di identita' digitale basato su scansione iride). Limitazione del trattamento. Motivi: dati biometrici trattati su base giuridica (consenso) ritenuta non valida per asimmetria informativa e dipendenza economica (incentivi crypto offerti per la scansione). Implicazione: il consenso ex art. 6.1.a GDPR per dati biometrici (art. 9) richiede liberta' reale del consenso. Se ci sono incentivi economici significativi, il consenso non e' libero.

I principi consolidati che devi conoscere

  • Base giuridica differenziata. Per training e inferenza serve base giuridica autonoma, documentata. Il legittimo interesse va valutato con LIA (Legitimate Interest Assessment) seria.
  • Informativa stratificata. Non basta una privacy policy generica. Serve informazione specifica sul funzionamento IA, comprensibile per l'utente medio.
  • DPIA rigorosa. Per qualunque sistema IA che tratti dati personali su scala significativa, la DPIA e' obbligatoria.
  • Diritti degli interessati. Accesso, rettifica, cancellazione, opposizione devono essere esercitabili. Se tecnicamente complesso (es. cancellazione da modello addestrato), devi documentare le misure di mitigazione.
  • Minori e vulnerabili. Verifica eta' efficace, controlli rafforzati, evitare manipolazione emotiva.
  • Trasferimento extra-UE. Se il fornitore IA e' negli USA o altrove, devi avere meccanismi adeguati (clausole tipo, decisioni di adeguatezza, valutazione paese terzo).

Cosa devi fare nel tuo progetto IA

  • LIA scritta se base giuridica e' legittimo interesse.
  • Informativa specifica IA in pagina dedicata.
  • DPIA con sezione su rischi IA-specifici.
  • Procedure documentate per esercizio diritti, anche con limitazioni tecniche dichiarate.
  • Mappatura flussi dati, inclusi sub-processor del fornitore IA.
  • Sistema di verifica eta' se servizio aperto al pubblico.
  • Audit log delle interazioni per dimostrare conformita'.

Sanzioni: il Garante non scherza

Le multe del 2023-2024 dimostrano che il Garante italiano e' tra i piu' attivi in UE sull'IA. Range tipico per violazioni medie su sistemi IA: 50.000 - 500.000 euro per PMI italiane, milioni per multinazionali. Aggiungi: ordini di sospensione del trattamento (che possono di fatto bloccare il servizio), pubblicazione sul sito del Garante (danno reputazionale enorme).

Il Garante italiano ha gia' detto chiaramente cosa pensa dell'IA: nessun via libera, ma nemmeno divieto totale. Vuole conformita' rigorosa al GDPR, applicato con la consapevolezza delle specificita' tecnologiche. Tu, come DPO o titolare, leggi i provvedimenti integrali (sono pubblici sul sito del Garante), studia le motivazioni, e usali come tracce per costruire i tuoi progetti. La giurisprudenza c'e' gia', basta seguirla.

Hai un dubbio? Vieni a parlarne.

Gruppo Telegram aperto. Domande, opinioni, casi vissuti. Senza venditori e senza spam. Per consulenza personale o caso aziendale, usa il pulsante consulenza.

Entra nel gruppo TelegramRichiedi consulenza