Oggetto: La documentazione privacy per i sistemi di IA generativa
Il numero di applicazioni che utilizzano sistemi di intelligenza artificiale generativa è in continua crescita ed impone l’adozione di adeguate misure organizzative per tutelare i dati personali trattati.
L’intelligenza artificiale generativa si caratterizza, infatti, per la creazione di contenuti nuovi e originali rispetto ai dati di input in risposta alle richieste (prompt) dell’utente, attraverso l’utilizzo di algoritmi prevalentemente di tipo neurale.
Quindi, i dati forniti dall’utente permettono al sistema di intelligenza artificiale di apprendere e migliorare le sue funzioni.
Il centrale ruolo dei dati personali nel suddetto sistema di apprendimento ha recentemente interessato il Garante per la protezione dei dati personali, che con il provv. n. 232 del 10 aprile 2025 ha sanzionato la società statunitense Luka Inc. per la commissione di plurime violazioni della normativa privacy, realizzate nella commercializzazione del chatbot Replika. Quest’ultimo sfrutta un sistema di intelligenza artificiale generativa ed è dotato di un’interfaccia scritta e vocale, che consente all’utente di “generare” un “amico virtuale” a cui attribuire il ruolo di confidente, terapista, partner romantico o mentore.
È utile analizzare quali contestazioni sono state sollevate dal Garante per la protezione dei dati personali per individuare le misure privacy che devono essere adottate da chi sviluppa e gestisce sistemi di intelligenza artificiale.
Ciò premesso, la prima contestazione sollevata dal Garante ha riguardato la violazione del principio di liceità di cui all’art. 5, lett. a) del GDPR per la mancata individuazione della base legale di ogni specifica finalità del trattamento.
Infatti, il titolare del trattamento deve individuare con precisione la base giuridica giustificativa di ogni operazione di trattamento effettuata (principio di granularità). Invece, la società statunitense aveva omesso di specificare la base giuridica delle principali attività svolte dal sistema di intelligenza artificiale generativa: “Chatbot Interaction” e “Sviluppo del Modello”.
È stato, altresì, reputato violato il principio di trasparenza di cui all’art. 5, lett. a) GDPR da parte della società statunitense perché la Privacy policy era accessibile ai cittadini italiana solo nella versione inglese in evidente contrasto con il principio per cui l’informativa deve essere redatta utilizzando un linguaggio semplice e chiaro.
La sola versione inglese dell’informativa rappresentava un ostacolo anche per la comprensione della procedura di esercizio dei diritti dell’interessato (es. accesso, opposizione, cancellazione, portabilità).
La violazione di tale principio è stata altresì aggravata dalla circostanza al servizio potevano accedere anche i minori, perché inizialmente non erano state adottate adeguate misure per limitare l’accesso a coloro che non avevano compito 18 anni. Il Considerando 58 del GDPR sancisce, in effetti, che quando il trattamento dei dati riguarda i minori, qualsiasi informazione e comunicazione dovrebbe utilizzare un linguaggio semplice e chiaro che un minore possa facilmente chiarire.
Rispetto ai minori, il Garante Privacy ha ritenuto ulteriormente violato il principio di correttezza e trasparenza perché nell’informativa non era ben specificato che il servizio era destinato solo ai maggiorenni, evidenziando altresì l’assenza di una procedura di verifica dell’età dell’utente e di meccanismi di blocco o interdizione anche a fronte di dichiarazioni dell’utente che rendessero evidente la minore età.
Il Garante Privacy ha, altresì, contestato la mancata determinazione del tempo di conservazione dei dati o l’individuazione dei criteri utilizzati per determinare tale periodo.
Sempre in violazione del principio di trasparenza è stato contestato alla società statunitense di non aver ben chiarito il luogo in cui avveniva il trattamento dei dati e se questi erano trasferiti negli Stati Uniti, presso la sede legale della medesima società, appurato che non era individuata nella Privacy Policy una sede in uno stato membro dell’UE.
Altresì, il Garante ha evidenziato che il trattamento di dati effettuato per mezzo del chatbot Replika, servendosi di una tecnologia innovativa, imponeva di effettuare una valutazione di impatto del trattamento ai sensi dell’art. 35 GDPR, avente ad oggetto l’analisi del trattamento dati effettuato allo scopo di appurare che le finalità perseguite dal titolare erano rispettose, per mezzi e modalità, dei diritti e delle libertà degli utenti.
Nel caso di specie la società statunitense aveva elaborato una Valutazione di impatto del trattamento, ma essa era priva di data certa, impedendo così di risalire al momento storico in cui era stata effettuata la relazione. La valutazione di impatto è stata, quindi, considerata priva di concretezza ed efficacia.
Quanto descritto permette di individuare alcuni aspetti che non possono mancare nella documentazione pivacy relativa al trattamento di dati per mezzo sistemi di intelligenza artificiale, soprattutto se appartenete alla categoria generativa:
• Completa determinazione dei trattamenti dati;
• Granulare individuazione delle finalità del trattamento dati per ogni operazione di trattamento, con specifica attenzione al trattamento di “sviluppo del modello”;
• Individuazione del tempo di conservazione dei dati o determinazione del principio utilizzato;
• Utilizzo di un linguaggio chiaro e semplice;
• Attenzione all’accesso dei minori alla piattaforma e adozione di adeguate misure per verificare l’età dichiarata;
• Elaborazione di una valutazione di impatto del trattamento completa e datata.
