Media & Regime

Il Garante della privacy boccia ChatGpt ma la domanda è: può farlo? Le norme dicono di no

La notizia è oramai nota. Il Garante per la protezione dei dati personali ha aperto un procedimento nei confronti di OpenAI, la startup che ha elaborato il chatbot conversazionale ChatGpt, e disposto un blocco temporaneo al trattamento dei dati dei cittadini italiani. La società che gestisce il progetto ha risposto con il blocco immediato del trattamento. La domanda è: il Garante per la protezione dei dati personali – al di là della collaborazione di chi gestisce il servizio – ha il potere di impedire autonomamente l’accesso a ChatGpt attraverso un ordine di inibizione all’accesso rivolto ai provider italiani? In altre parole se OpenAI non avesse adempiuto spontaneamente – o non dovesse decidere di adempiere alle prescrizioni delineate – il Garante avrebbe potuto disporre il blocco all’accesso dei servizi?

Non sembra in realtà che tale potere sia sussistente.

Il Garante per la protezione dei dati personali, infatti, diversamente da quello che può fare l’Autorità per le garanzie per le comunicazioni in materia di diritto d’autore, l’Autorità garante per la concorrenza e il mercato per quanto attiene le pratiche commerciali scorrette o anche la Consob, in materia di abusivismo finanziario, non ha il potere di inibire l’accesso ad un sito o ad un servizio attraverso un ordine impartito a coloro che ci danno accesso ad Internet, ovvero gli Internet service provider.

Queste autorità, infatti, seppur in maniera alquanto contrastata come nel caso dell’Agcom, dispongono di poteri derivanti dall’approvazione di una legge ordinaria dello Stato che si somma alla norma fondante in materia di inibizione all’accesso ad un servizio della società dell’informazione, ovvero il decreto di recepimento della direttiva sul commercio elettronico.

Poteri non previsti dal Regolamento generale sulla protezione dei dati (Gdpr) né dalla norma di attuazione del regolamento generale Privacy che tra i poteri correttivi (ossia quelli non sanzionatori pecuniari), previsti dall’art. 58, ha solo quello di poter disporre la limitazione, o anche il blocco del trattamento nei confronti del titolare del trattamento, ma non ha alcun potere coercitivo nei confronti dei provider.

Certo, il Garante avrebbe il potere di emettere le sanzioni pecuniarie previste dall’art 83 del Gdpr nei confronti di ChatGpt ma in quel caso ci troveremmo di fronte ad una possibile problematica regolamentare dal momento che OpenAI ha designato il proprio rappresentante nel territorio dell’Unione Europea in Irlanda. I titolari o responsabili del trattamento non stabiliti nell’Unione Europea sono, infatti, obbligati a designare per iscritto un rappresentante nel territorio dell’Unione.

Tale obbligo è sancito dall’art. 27 del Gdpr, il quale prevede che, nel caso in cui il titolare offra beni e servizi (art. 3, par. 2, lett. a) Gdpr) a soggetti presenti nel territorio dell’Unione, e quindi operi dei trattamenti su cittadini dell’Unione europea, ma non è stabilito nell’Ue, poiché comunque si applica a lui il regolamento europeo, il titolare debba designare un rappresentante nel territorio dell’Unione (in uno degli Stati dell’Unione).

Non risulta allo stato che l’Autorità Irlandese per la protezione dei dati personali abbia aperto un procedimento nei confronti di ChatGpt, pur essendo i servizi forniti da OpenAI identici nei due paesi e identica è la norma di riferimento, ovvero il Gdpr, per cui bisognerà vedere come si realizzeranno i poteri di cooperazione e coordinamento da parte delle Autorità Europee previsto dal Gdpr o se l’Autorità irlandese sarà di diverso avviso.