L’Autorità Garante per la protezione dei dati personali ha accertato, il 2 febbraio 2023, gravi violazioni del Regolamento UE 2016/679 (GDPR) da parte di una società americana che gestisce l’app di AI conversazionale chiamata Replika. Il problema principale riscontrato riguarda il modo in cui il chatbot forniva risposte che potevano essere confuse con informazioni reali o professionali, senza che fosse chiaramente specificato agli utenti che stavano interagendo con un’intelligenza artificiale. Questa mancanza di trasparenza ha indotto in errore gli utenti, inclusi i minori, riguardo alla natura dell’interlocutore e alla finalità del trattamento dei dati, violando così i principi di liceità, correttezza e trasparenza previsti dall’art. 5 del GDPR.
Inoltre, la società ha raccolto e trattato dati personali degli utenti, compresi quelli riferiti a minori, senza una base giuridica adeguata. Il consenso non era stato validamente acquisito e non erano state previste altre basi giuridiche che potessero giustificare il trattamento, come l’interesse pubblico o l’adempimento di obblighi contrattuali (art. 6 GDPR). Ancora più grave è stato il trattamento di dati personali sensibili senza rispettare le condizioni specifiche indicate dall’art. 9 del GDPR, cioè senza un consenso esplicito e senza le protezioni richieste per questo tipo di dati.
L’informativa fornita agli utenti risultava poi generica, ambigua e incompleta. Non venivano chiarite né le finalità del trattamento, né le modalità, né la natura automatizzata delle risposte generate dall’IA. A questo si aggiungeva l’assenza di una versione italiana dell’informativa, compromettendo il diritto degli utenti italiani a ricevere informazioni chiare e comprensibili, in violazione degli artt. 12, 13 e 14 del GDPR.
Un ulteriore elemento critico riguardava la mancata adozione di un sistema efficace di verifica dell’età. La Società non aveva predisposto alcuna misura per impedire l’accesso al chatbot da parte di soggetti minorenni, esponendo così utenti vulnerabili a contenuti potenzialmente inappropriati, anche sessualmente espliciti. Questa condotta ha violato il principio di minimizzazione dei dati (art. 5), trattando dati non necessari per un servizio dichiaratamente riservato ai maggiorenni. Inoltre, sono stati ignorati gli obblighi di protezione dei dati “by design” e “by default” previsti dall’art. 25, in quanto mancavano misure tecniche e organizzative efficaci per prevenire l’uso dell’app da parte di minori. Tutto ciò ha comportato una violazione anche degli obblighi generali del titolare del trattamento (art. 24).
Solo a seguito di un provvedimento urgente del Garante sono state introdotte misure di verifica dell’età, ma tali misure si sono rivelate insufficienti, perché i minori possono facilmente aggirarle modificando il profilo o usando la navigazione in incognito.
Nel complesso, il Garante ha riconosciuto l’illiceità di numerosi trattamenti effettuati dalla Società. tramite il servizio Replika, riscontrando violazioni degli articoli 5, 6, 12, 13, 24 e 25 del GDPR. Tra le irregolarità principali si evidenziano la mancanza di una base giuridica valida, la trasparenza informativa insufficiente e disponibile solo in inglese, un sistema di verifica dell’età non conforme ai principi di privacy by design e by default e la mancata indicazione dei tempi di conservazione dei dati, oltre ad ambiguità sul trasferimento dei dati verso gli Stati Uniti.
Nonostante la Società abbia apportato alcuni miglioramenti, come l’aggiornamento della privacy policy nel febbraio 2024 e l’introduzione di una funzione per segnalare contenuti inappropriati, permangono criticità significative che richiedono ulteriori interventi.
Per queste ragioni, il Garante ha imposto alla Società americana di adeguare entro 30 giorni la privacy policy, prevedendo una versione in italiano, criteri chiari per la conservazione dei dati e una maggiore trasparenza sui trasferimenti internazionali. È stato inoltre ordinato di rivedere il sistema di verifica dell’età, assicurando che l’accesso dei minori sia effettivamente bloccato e che i meccanismi di controllo siano rafforzati in caso di sospetti relativi all’età degli utenti.
In aggiunta, l’Autorità ha applicato una sanzione amministrativa pecuniaria di 5 milioni di euro, riducibile della metà in caso di pagamento entro 60 giorni, e ha disposto la pubblicazione del provvedimento sul proprio sito web come sanzione accessoria. La Società è inoltre tenuta a comunicare entro 60 giorni le misure adottate, con la minaccia di ulteriori sanzioni in caso di inadempimento.