Decyzja ta została podjęta niemal rok po tym, jak włoski regulator stwierdził, że ChatGPT przetwarza informacje użytkowników w celu szkolenia swojego modelu, naruszając przepisy Rozporządzenia Ogólnego o Ochronie Danych (RODO) obowiązującego w Unii Europejskiej. Wynika to z braku odpowiednich podstaw prawnych do wykorzystywania tych danych, co stanowi poważne naruszenie europejskiego prawa ochrony danych.
Regulator wskazał również na brak powiadomienia o naruszeniu bezpieczeństwa danych, które miało miejsce w marcu 2023 roku. Ponadto, zarzuty dotyczyły zasad przejrzystości i obowiązków informacyjnych wobec użytkowników, których OpenAI miało zignorować. To kolejny sygnał, jak istotna jest ochrona danych w rosnącej branży sztucznej inteligencji.
Problemy te obejmują także brak mechanizmów weryfikacji wieku użytkowników, co może prowadzić do ryzyka nieodpowiednich odpowiedzi serwisu skierowanych do dzieci poniżej 13. roku życia. Włoski urząd ds. ochrony danych podkreślił, że brak takich zabezpieczeń jest szczególnie szkodliwy dla dzieci, które mogą nie być świadome konsekwencji udostępniania swoich danych lub korzystania z platformy.
Poza grzywną w wysokości 15 milionów euro, OpenAI zostało zobligowane do przeprowadzenia sześciomiesięcznej kampanii informacyjnej w mediach – w radiu, telewizji, gazetach oraz w internecie. Celem tej inicjatywy jest zwiększenie świadomości publicznej w kwestii działania ChatGPT. Kampania ma wyjaśnić, jakie dane są zbierane, zarówno od użytkowników, jak i osób niekorzystających z usługi, na potrzeby szkolenia modeli AI. Użytkownicy muszą być także poinformowani o przysługujących im prawach, takich jak sprzeciw, sprostowanie czy usunięcie danych.
Według włoskiego regulatora, kampania ta ma na celu umożliwienie ludziom skutecznego korzystania z przysługujących im praw wynikających z RODO. Zarówno użytkownicy, jak i osoby niekorzystające z ChatGPT muszą mieć prawo do wyrażenia sprzeciwu wobec wykorzystywania ich danych przez sztuczną inteligencję na etapie treningu modelu.
Warto przypomnieć, że Włochy były pierwszym krajem, który w marcu 2023 roku wprowadził tymczasowy zakaz korzystania z ChatGPT, powołując się na obawy związane z ochroną danych. Zaledwie miesiąc później dostęp do ChatGPT został przywrócony, po tym jak firma wdrożyła wymagane poprawki, mające na celu rozwiązanie problemów wskazanych przez regulatora.
OpenAI wyraziło swoje niezadowolenie z decyzji włoskiego urzędu, określając ją jako „nieproporcjonalną”. Według firmy, kwota grzywny jest niemal 20 razy większa od przychodów osiągniętych przez firmę we Włoszech w tym okresie. OpenAI zapowiedziało złożenie odwołania, jednocześnie zapewniając, że dąży do tworzenia produktów AI, które respektują prawa użytkowników do prywatności.
Decyzja włoskiego regulatora zbiegła się z opinią Europejskiej Rady Ochrony Danych (EDPB). Rada uznała, że jeżeli model AI, który początkowo naruszył ochronę danych, zostaje później zanonimizowany przed wdrożeniem, to jego późniejsze działanie nie narusza przepisów RODO. Tym samym, nielegalność początkowego procesu przetwarzania danych nie musi oznaczać nielegalności przyszłych operacji modelu, o ile nie przetwarza on później danych osobowych.
Rada zaznaczyła również, że jeśli na etapie wdrożenia przechowywane dane są przetwarzane w sposób naruszający przepisy RODO, odpowiedzialność za te działania nadal obowiązuje. Ponadto, w listopadzie Rada opublikowała wytyczne dotyczące przesyłania danych do krajów spoza Unii Europejskiej, zgodnie z zasadami zgodnymi z prawem unijnym. Wytyczne te stanowią, że współpraca lub przekazywanie danych władzom zewnętrznym musi być zgodne z RODO, a organizacje mają obowiązek spełnienia określonych standardów bezpieczeństwa.
Nie ma wątpliwości, że decyzja włoskiego regulatora stanowi ważny moment w debacie na temat ochrony danych w kontekście coraz bardziej zaawansowanych narzędzi sztucznej inteligencji.