Włoski organ ochrony danych nałożył na producenta ChatGPT, czyli korporację OpenAI, grzywnę w wysokości 15 mln euro za sposób, w jaki generatywna aplikacja sztucznej inteligencji przetwarza dane osobowe.
Grzywna została nałożona prawie rok po stwierdzeniu przez Garante, iż ChatGPT przetwarzał informacje użytkowników w celu uczenia maszynowego z naruszeniem ogólnego rozporządzenia o ochronie danych (RODO) Unii Europejskiej.
Organ Italian DPA uważa, iż OpenAI nie powiadomiło o naruszeniu bezpieczeństwa, które miało miejsce w marcu 2023 r., i iż przetwarzało dane osobowe użytkowników w celu szkolenia swojej AI bez odpowiedniej podstawy prawnej. Oskarżył również firmę o naruszenie zasady przejrzystości i powiązanych obowiązków informacyjnych wobec użytkowników.
Ponadto OpenAI nie przewidziało mechanizmów weryfikacji wieku użytkowników, co mogło prowadzić do narażenia dzieci poniżej 13 roku życia na niewłaściwe treści.
Oprócz nałożenia grzywny w wysokości 15 milionów euro firma została zobowiązana do przeprowadzenia sześciomiesięcznej kampanii komunikacyjnej w radiu, telewizji, gazetach i Internecie w celu promowania publicznego zrozumienia sposobu działania ChatGPT – bardzo interesująca kara, to się chwali.
Reklamy miałyby mówić o charakterze zbieranych danych, w tym informacji o użytkownikach, oraz praw, z których użytkownicy mogą korzystać, aby sprzeciwić się profilowaniu. Dodatkowo powinny informować, w jaki sposób użytkownik może zmodyfikować lub usunąć zebrane na jego temat dane.
Włochy były pierwszym krajem, który nałożył tymczasowy zakaz na ChatGPT (pod koniec marca 2023 r.), powołując się na obawy dotyczące ochrony danych. Prawie miesiąc później dostęp do ChatGPT został przywrócony po tym, jak firma zajęła się kwestiami podniesionymi przez Garante.
W oświadczeniu udostępnionym Associated Press OpenAI nazwało decyzję niewspółmierną do zarzutów. Firma zamierza się od niej odwołać, twierdząc, iż grzywna jest prawie 20 razy większa od przychodów, jakie firma osiągnęła we Włoszech w tamtym okresie. Ponadto twórcy OpenAI zadeklarowali, iż ich sztuczna inteligencja będzie działała w zgodzie z wymogami Unii Europejskiej, która naciska na przestrzeganie praw użytkowników co do prywatności. Warto w tym miejscu zauważyć, iż według Europejskiej Rady Ochrony Danych (EDPB) model AI, który bezprawnie przetwarza dane osobowe, ale następnie anonimizuje je przed użyciem w kodzie aplikacji, nie narusza RODO.
„Jeśli można wykazać, iż późniejsze działanie modelu AI nie wiąże się z przetwarzaniem danych osobowych, EDPB uważa, iż dyrektywa RODO nie będzie miała tutaj mocy” – stwierdziła Rada Europejska. Działa to też analogicznie od drugiej strony. Gdy administratorzy przetwarzają dane osobowe zebrane w fazie wrzucania ich do kodu źródłowego, RODO będzie miało zastosowanie w odniesieniu do takich operacji.
Na początku tego miesiąca Rada opublikowała również wytyczne dotyczące obsługi transferów danych poza kraje spoza Europy w sposób zgodny z RODO. Wytyczne podlegają konsultacjom publicznym do 27 stycznia 2025 r. Jak widać, rozpędzona sztuczna inteligencja ponownie spowodowała zainteresowanie tematem przetwarzania danych osobowych w cyfrowym świecie. Pytanie tylko, czy pojawiające się przepisy i nakładane kary to dowód na rzeczywiste łamanie prawa przez organizacje zajmujące się AI, czy głównie strach rządów państw przed nieznanym i próby odzyskania kontroli.
