Lo Stop del Garante Privacy al chatbox “Replika”

A cura di Chiana Giannella e Federica Pezza

Ultimamente la questione dell’intelligenza artificiale e del delicato equilibrio tra la promozione di soluzioni innovative e il necessario rispetto del quadro normativo vigente è uno degli argomenti maggiormente dibattuti.

In particolare, per quanto riguarda la normativa sulla privacy, il Garante italiano per la protezione dei dati personali (“Garante“) ha recentemente disposto una limitazione provvisoria al trattamento dei dati nei confronti della società statunitense che sviluppa e gestisce il chatboxReplika“, che dovrà quindi astenersi da qualsiasi trattamento dei dati personali degli utenti italiani.

Un po’ di background: che cos’è Replika, il chatbox “dell’amicizia virtuale”

Replika è un chatbot alimentato dall’intelligenza artificiale, ideato dallo sviluppatore statunitense Luka Inc. che genera un “amico virtuale” utilizzando interfacce testuali e video.

Più nel dettaglio, secondo la descrizione fornita sui due principali App Store, Replika si presenta come un chatboxper chiunque voglia un amico senza giudizi, drammi o ansia sociale“. Inoltre, in base a tale descrizione, si tratta di un chatbox personalizzabile: Replika può essere un amico o un partner romantico o addirittura un mentore, in quanto cresce (e sviluppa la propria personalità e i propri ricordi) insieme ai propri utenti.

Il provvedimento del Garante: ragioni del divieto

Con il provvedimento del 2 febbraio 2023, il Garante ha ritenuto che Replika non fosse in linea con il quadro normativo italiano in materia di privacy, ordinando a Luka Inc. di interrompere immediatamente il trattamento dei dati relativi agli utenti italiani e di  comunicare entro 20 giorni le misure intraprese in attuazione di quanto richiesto dal Garante.

In particolare, il provvedimento del Garante si basa su quattro motivi principali:

  • Non è previsto alcun meccanismo di verifica dell’età. Infatti, il chatbox si limita a richiede agli utenti di fornire il proprio nome, genere e account di posta elettronica. Tuttavia, non sono previsti né meccanismi di controllo per i minori né sistemi di blocco nel caso in cui un utente dichiari esplicitamente di essere minorenne.
  • Il contenuto delle risposte del chatbox è spesso in contrasto con la tutela dei minori e delle persone vulnerabili. Svariate recensioni sui due principali App Store includono commenti di utenti che segnalano contenuti sessualmente inopportuni. Inoltre, per il modo in cui viene presentato (i.e. un chatbot in grado di migliorare l’umore e il benessere emotivo degli utenti), Replika è idoneo ad avere un impatto sull’umore degli individui e, per questa via, aumentare i rischi per le persone vulnerabili interessate.
  • Mancanza di trasparenza. Ai sensi del Regolamento generale sulla protezione dei dati (2016/679, “GDPR“), la trasparenza è uno dei principi chiave del trattamento dei dati. Tuttavia, tale principio non sembra essere preso adeguatamente in considerazione dal chatbox, che non rivela alcuna informazione sugli elementi chiave del trattamento in questione, con particolare riguardo all’utilizzo dei dati personali dei minori.
  • Impossibilità di individuare la base giuridica del trattamento. In linea con l’articolo 6 del GDPR, è sempre necessario individuare una base giuridica per il trattamento dei dati personali. Tuttavia, nel caso di specie, Replika tratta i dati personali in modo illegittimo, dovendosi in ogni caso escludere che, con riguardo in particolare ai minori, la base giuridica possa – anche solo implicitamente – essere rinvenuta nella disciplina contrattuale, attesa la riconosciuta incapacità dei minori nell’ordinamento italiano a concludere contratti validi.
Conclusioni e takeaways

Il presente provvedimento conferma che il giusto equilibrio tra la promozione di soluzioni innovative e il rispetto del quadro normativo vigente in materia di privacy è senz’altro difficile da stabilire. Tuttavia, allo stesso tempo, il provvedimento è utile nella misura in cui fornisce alcune linee guida per tutti coloro che intendono sviluppare o utilizzare soluzioni basate sull’intelligenza artificiale nel proprio business.

In particolare, in linea con le indicazioni del Garante, questi ultimi dovranno (quantomeno): (i) adottare adeguati meccanismi di verifica dell’età; (ii) assicurarsi che i propri modelli di intelligenza artificiale interagiscano “in modo opportuno” con gli utenti (compresi i minori e le persone vulnerabili); (iii) rivelare tutte le informazioni necessarie sul trattamento, in linea con l’articolo 13 del GDPR; e (iv) identificare una base giuridica adeguata per il trattamento, in linea con l’articolo 6 del GDPR.

Let’s Talk

Per una discussione più approfondita ti preghiamo di contattare:

Andrea Lensi Orlandi

PwC TLS Avvocati e Commercialisti

Partner

Chiara Giannella

PwC TLS Avvocati e Commercialisti

Director