Італійський орган захисту даних оштрафувала OpenAI за порушення правил конфіденційності ChatGPT

20 грудня 2024 італійський орган із захисту даних, відомий як Garante (Garante per la protezione dei dati personali), оштрафував компанію OpenAI на 15 мільйонів євро за порушення правил конфіденційності, пов'язаних із використанням персональних даних у додатку ChatGPT. 

На думку італійського органу захисту даних Garante, американська компанія OpenAI, яка створила та керує генеративним чат-ботом зі штучним інтелектом, не повідомила орган про порушення даних, якого вона зазнала в березні 2023 року: вона обробляла персональні дані користувачів для навчання чат-бота ChatGPT без попереднього визначення відповідної правової основи та порушила принцип прозорості та пов'язані з ним інформаційні зобов'язання перед користувачами. Крім того, OpenAI не передбачила механізмів перевірки віку, що може призвести до ризику піддавати дітей віком до 13 років невідповідним реакціям з огляду на їхній рівень розвитку та самосвідомості.

Garante також зобов'язав OpenAI розпочати шестимісячну кампанію в італійських ЗМІ для підвищення обізнаності громадськості про те, як працює ChatGPT, зокрема, щодо збору даних користувачів і не-користувачів для навчання алгоритмів. Контент кампанії, який має бути узгоджений з Garante, повинен сприяти розумінню та обізнаності громадськості щодо функціонування ChatGPT, зокрема, щодо збору даних користувачів і не-користувачів для навчання генеративного штучного інтелекту та прав, якими користуються суб'єкти даних, включаючи права на заперечення, виправлення та видалення їхніх даних.

Регулятор заявив, що розмір штрафу в 15 мільйонів євро був розрахований з урахуванням «позиції співпраці» OpenAI, що свідчить про те, що штраф міг би бути ще більшим.

Розслідування, яке розпочалося у 2023 році, також дійшло висновку, що американська компанія не має адекватної системи перевірки віку, щоб запобігти впливу неприйнятного контенту, створеного штучним інтелектом, на дітей віком до 13 років, повідомили у відомстві.

З огляду на те що, що під час попереднього розслідування OpenAI відкрила свою європейську штаб-квартиру в Ірландії, Garante, відповідно до так званого механізму «єдиного вікна», передав процесуальні документи до Ірландського органу захисту даних (DPC), який став провідним наглядовим органом відповідно до GDPR, щоб продовжити розслідування будь-яких поточних порушень, які не були вичерпані до моменту відкриття європейської штаб-квартири.

У OpenAI заявили, що це рішення було «непропорційним» і що компанія подасть на нього апеляцію.

Garante є одним із найактивніших регуляторів у ЄС, що оцінює відповідність платформ штучного інтелекту нормам конфіденційності блоку. Минулого року італійський регулятор тимчасово заборонив використання ChatGPT в Італії через ймовірні порушення правил конфіденційності ЄС. Сервіс було відновлено після того, як OpenAI вирішила питання, зокрема надала користувачам право відмовитися від використання їхніх персональних даних для навчання алгоритмів. Цей кейс підкреслює зростаючу увагу європейських регуляторів до дотримання правил конфіденційності даних штучним інтелектом та іншими технологічними платформами.

Раніше, 29 листопада 2024 року, італійський регулятор попередив видавця GEDI про можливі порушення правил ЄС у разі передачі персональних даних з архівів своїх газет компанії OpenAI. GEDI, яка володіє такими виданнями, як la Repubblica та La Stampa, у вересні оголосила про стратегічне партнерство з OpenAI для надання користувачам ChatGPT доступу до італійськомовного контенту. Регулятор висловив занепокоєння, що передача таких даних може порушувати правила ЄС щодо захисту даних, що може призвести до санкцій. Представники GEDI та OpenAI не надали коментарів щодо цього попередження.

Ці події свідчать про посилення контролю за дотриманням правил конфіденційності в епоху швидкого розвитку технологій штучного інтелекту.