Il Garante privacy ha sanzionato per 5milioni di euro la società statunitense Luka Inc. che gestisce la chatbot “Replika” e ha avviato una autonoma istruttoria per verificare il corretto trattamento dei dati personali effettuato dal sistema di intelligenza artificiale generativa alla base del servizio. Ma prima di procedere: cosa è “Replika”? “Replika” è una chatbot offre un’interfaccia sia testuale sia vocale, consentendo all’utente di generare un “amico virtuale” in grado di assumere le vesti di confidente, consulente, partner sentimentale o mentore. Nel corso dell’attività istruttoria, il Garante privacy ha confermato la sussistenza delle violazioni già oggetto di contestazione nel provvedimento del febbraio 2023, con il quale era stato disposto il blocco dell’applicazione. In particolare, è emerso che, alla data del 2 febbraio 2023, la società statunitense, oltre a non aver individuato una valida base giuridica per le operazioni di trattamento dei dati personali effettuate tramite il servizio “Replika”, aveva fornito agli interessati un’informativa sulla privacy lacunosa e non conforme ai requisiti stabiliti dalla normativa vigente in materia di protezione dei dati personali (i.e. Regolamento (UE) 2016/679, “GDPR”). Il Garante privacy ha altresì rilevato che la società non aveva predisposto alcun meccanismo idoneo alla verifica dell’età degli utenti, né in fase di registrazione al servizio né durante la sua fruizione, nonostante avesse precedentemente dichiarato di escludere espressamente i minori tra i potenziali utenti. Tuttavia, gli accertamenti tecnici successivamente svolti hanno evidenziato che il sistema di “age verification” attualmente adottato dal titolare del trattamento risulta tuttora inadeguato sotto molteplici profili. Alla luce di tali violazioni, oltre all’irrogazione della sanzione, l’Autorità ha ingiunto alla società di adottare misure correttive atte a conformare il trattamento dei dati personali GDPR. Con l’avvio di una nuova istruttoria, formalizzata mediante una specifica richiesta di informazioni, il Garante privacy ha quindi intimato a Luka Inc. di fornire dettagliate spiegazioni in merito al trattamento dei dati lungo l’intero ciclo di vita del sistema di intelligenza artificiale generativa alla base del servizio “Replika”. In particolare, è stato richiesto a “Replika” di fornire informazioni sulle valutazioni dei rischi effettuate, sulle misure di sicurezza implementate durante le fasi di sviluppo e addestramento del modello linguistico, sulle categorie e tipologie di dati personali trattati e sull’eventuale adozione di tecniche di anonimizzazione o pseudonimizzazione. Conclusioni Il caso Replika evidenzia ancora una volta le criticità legate all’utilizzo di sistemi di intelligenza artificiale generativa che trattano dati personali su larga scala, specialmente in assenza di solide garanzie giuridiche e tecniche. L’intervento del Garante privacy conferma la centralità della trasparenza, della liceità del trattamento e della tutela dei minori tra i principi fondamentali del GDPR. La nuova istruttoria avviata dall’Autorità mira quindi a fare piena luce sulle modalità di addestramento del modello sottostante al servizio e a verificare se le misure adottate dalla società siano effettivamente idonee a garantire il rispetto della normativa europea. Il procedimento in atto costituisce un rilevante momento di verifica sull’effettiva idoneità delle garanzie adottate nei sistemi di intelligenza artificiale, la cui diffusione e complessità sono in costante crescita. Esso richiama l’attenzione sull’esigenza di assicurare un equilibrio concreto tra lo sviluppo tecnologico e la tutela dei diritti fondamentali degli interessati.
