Chiusa l’istruttoria del Garante sul caso ChatGPT
A seguito del provvedimento prescrittivo e correttivo del 2 novembre 2024, il Garante, in data odierna, 20 dicembre 2024, ha pubblicato un comunicato stampa in cui dichiara di avere concluso l’istruttoria avviata da tempo (fin da fine 2022 e inizio 2023) nei confronti di ChatGPT. Il provvedimento è stato indirizzato a OpenAI per la nota gestione illecita del servizio ChatGPT.
Il provvedimento, che accerta le violazioni a suo tempo contestate alla società californiana, arriva all’esito di un’istruttoria avviata nel marzo del 2023 e dopo che l’EDPB (European Data Protection Board – Comitato europeo per la protezione dei dati) ha pubblicato il parere con il quale identifica un approccio comune ad alcune delle più rilevanti questioni relative al trattamento dei dati personali nel contesto della progettazione, sviluppo e distribuzione di servizi basati sull’intelligenza artificiale. Secondo il Garante, la società statunitense, che ha creato e gestisce il chatbot di intelligenza artificiale generativa, oltre a non aver notificato all’autorità di controllo la violazione dei dati subita nel marzo 2023, ha trattato i dati personali degli utenti per addestrare ChatGPT senza aver prima individuato un’adeguata base giuridica e ha violato il principio di trasparenza e i relativi obblighi informativi nei confronti degli utenti. Per di più, OpenAI non ha previsto meccanismi per la verifica dell’età, con il conseguente rischio di esporre i minori di 13 anni a risposte inidonee rispetto al loro grado di sviluppo e autoconsapevolezza.
Il Garante, con l’obiettivo di garantire, innanzitutto, un’effettiva trasparenza del trattamento dei dati personali, ha ordinato a OpenAI, utilizzando per la prima volta i nuovi poteri previsti dall’articolo 166, comma 7 del Codice Privacy, di realizzare una campagna di comunicazione istituzionale di n. 6 (sei) mesi su radio, televisione, giornali e Internet.
I contenuti, da concordare con il Garante, dovranno promuovere la comprensione e la consapevolezza del pubblico sul funzionamento di ChatGPT, in particolare sulla raccolta dei dati di utenti e non-utenti per l’addestramento dell’intelligenza artificiale generativa e i diritti esercitabili dagli interessati, inclusi quelli di opposizione, rettifica e cancellazione.
Grazie a tale campagna di comunicazione, gli utenti e i non-utenti di ChatGPT dovranno essere sensibilizzati su come opporsi all’addestramento dell’intelligenza artificiale generativa con i propri dati personali e, quindi, essere effettivamente posti nelle condizioni di esercitare i propri diritti ai sensi del GDPR.
Il Garante ha comminato a OpenAI una sanzione di 15.000.000,00 (quindici milioni) di euro calcolata anche tenendo conto dell’atteggiamento collaborativo della società.
Infine, tenuto conto che la società, nel corso dell’istruttoria, ha stabilito in Irlanda il proprio quartier generale europeo, il Garante, in ottemperanza alla regola del cosiddetto “one stop shop”, ha trasmesso gli atti del procedimento all’autorità di protezione dati irlandese (DPC), divenuta autorità di controllo capofila ai sensi del GDPR, affinché prosegua l’istruttoria in relazione a eventuali violazioni di natura continuativa non esauritesi prima dell’apertura dello stabilimento europeo.
Parliamo di dati relativi alla salute: il diritto all’oblio oncologico
Informazioni di elevata confidenzialità, i dati relativi alla salute meritano un rigido approccio e un rigoroso sistema di tutele per gli interessati. Proprio per questo, numerosi sono stati gli interventi esplicativi e di indirizzo del Garante per tematiche di particolare attualità.
Innanzitutto, il “diritto all’oblio oncologico” che è definito dalla legge 7 dicembre 2023, n. 193, come il diritto delle persone guarite da una patologia oncologica di non fornire informazioni né subire indagini in merito alla propria pregressa condizione patologica, nei limiti indicati dalla predetta legge, per l’accesso ai servizi bancari, finanziari, di investimento e assicurativi, in sede di indagini sulla salute dei richiedenti un’adozione e per l’accesso alle procedure concorsuali e selettive, al lavoro e alla formazione professionale.
L’interessato, già paziente oncologico, può presentare un’apposita istanza, debitamente documentata, usando il previsto modello ad una struttura sanitaria pubblica o privata accreditata, ad un medico dipendente del Servizio sanitario nazionale nella disciplina attinente alla patologia oncologica di cui si chiede l’oblio, al medico di medicina generale oppure al pediatra di libera scelta. La domanda può essere presentata decorsi n. 10 (dieci) anni dalla conclusione del trattamento attivo, senza episodi di recidiva. Possono essere previsti termini inferiori di guarigione per specifiche patologie oncologiche. Se la malattia è insorta prima del compimento dei 21 (ventuno) anni di età, la domanda può essere presentata decorsi 5 (cinque) anni dalla conclusione del trattamento attivo, senza episodi di recidiva. La conclusione del trattamento attivo è da intendersi, in mancanza di recidive, la data dell’ultimo trattamento farmacologico antitumorale, radioterapico o chirurgico. La domanda deve contenere i dati anagrafici e la documentazione medica relativa alla richiesta di oblio, utilizzando il modello appositamente previsto che è corredato anche dalle informazioni ex art. 13, GDPR sul trattamento dei dati personali.
Il certificato di oblio oncologico deve essere redatto usando il previsto modello e deve contenere l’indicazione del nome, del cognome, del luogo e della data di nascita, del codice fiscale e della residenza dell’interessato, senza ulteriori informazioni relative alla tipologia di patologia sofferta o ai trattamenti clinici effettuati. L’istanza di oblio oncologico deve essere conservata per n. 10 (dieci) anni dalla presentazione della stessa, mentre la certificazione per n. 10 (dieci) anni dalla ricezione. Pertanto, una volta decorso tale termine, il titolare del trattamento deve procedere alla cancellazione della predetta documentazione.
È importante sapere che il datore di lavoro nella fase preassuntiva, qualora sia previsto l’accertamento di requisiti psico-fisici o concernenti lo stato di salute dei candidati, non può richiedere dati concernenti patologie oncologiche da cui gli interessati siano stati precedentemente affetti e il cui trattamento attivo si sia concluso, senza episodi di recidiva, da più di n. (10) dieci anni alla data di richiesta. Tale periodo è ridotto della metà, ovvero n. 5 (cinque) anni, se la patologia è insorta prima del compimento di 21 anni. In ogni caso, sia nella fase preassuntiva che nella fase successiva all’instaurazione del rapporto di lavoro, resta salvo il principio che è posto divieto al datore di lavoro di acquisire, anche a mezzo di terzi, e trattare informazioni su fatti non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore. Quindi, il datore di lavoro non può conoscere né in fase di selezione né durante il rapporto di lavoro le specifiche patologie sofferte. In generale, nella ordinaria gestione del rapporto con il dipendente, il datore di lavoro è legittimato ad acquisire documentazione relativa all’́effettuazione di visite mediche, prestazioni specialistiche o accertamenti clinici, quando il dipendente richiede di usufruire di permessi per le assenze dal servizio correlate a tali esigenze o quando chieda il riconoscimento di benefici di legge legati a particolari condizioni di salute degli interessati (tra i quali, anche familiari e conviventi del lavoratore). Tale documentazione, che il dipendente, in base alla legge e nei casi previsti dalla contrattazione collettiva di settore, è tenuto a produrre, non deve comunque recare informazioni diagnostiche, né la specifica prestazione sanitaria effettuata o altri dettagli da cui sia possibile risalire alla patologia sofferta (es.: specifico reparto della struttura sanitaria che ha erogato la prestazione; specializzazione del medico, la terapia farmacologia).
In tale quadro, pertanto, il datore di lavoro, ai fini della giustificazione dell’assenza dal servizio del lavoratore per l’effettuazione di una qualunque prestazione specialistica (anche relativa a eventuali patologie oncologiche), è legittimato all’acquisizione del documento che attesta la sottoposizione a una prestazione sanitaria specialistica senza l’indicazione o riferimenti a informazioni da cui sia possibile risalire al tipo di prestazione sanitaria ricevuta e/o alla patologia sofferta.
Resta salvo che, ove dalla documentazione prodotta dal dipendente tali dettagli informativi risultino presenti, il datore di lavoro, salva la conservazione del documento in base agli obblighi di legge, dovrà astenersi dall’utilizzare tali informazioni per altre finalità, nel rispetto dei principi di protezione dei dati.
La ricerca scientifica: quali sono gli obblighi degli Istituti di ricovero e cura a carattere scientifico (IRCCS)?
A parte il trattamento di dati personali, ivi compresi quelli sulla salute, necessari per le prestazioni di cura agli assistiti, gli Istituti di ricovero e cura a carattere scientifico (IRCCS) possono perseguire finalità ulteriori di ricerca, sotto determinate condizioni.
Gli IRCCS sono enti del Servizio sanitario nazionale che, secondo standard di eccellenza, perseguono finalità di ricerca nel campo biomedico e in quello dell’organizzazione e gestione dei servizi sanitari ed effettuano prestazioni di ricovero e cura di alta specialità.
Il Garante ha chiarito che, per poter utilizzare i dati dei loro pazienti anche per l’attività di ricerca scientifica autorizzata dal Ministero della salute, devono individuare una base giuridica idonea a legittimare tale trattamento e una deroga adeguata al generale divieto di trattare i dati relativi alla salute e genetici. Quindi, gli IRCCS pubblici e privati possono fondare il trattamento dei dati personali raccolti a ulteriori fini di ricerca sull’art. 110-bis, comma 4, del d. lgs 196/2003 (Codice Privacy) come modificato dal d. lgs 101/2018, in base al quale non costituisce trattamento ulteriore dei dati raccolti per l’attività clinica, quello svolto a fini di ricerca. Questo disposto riguarda ogni tipo di ricerca medica, biomedica, epidemiologica, prospettica e retrospettiva, promossa da IRCCS, ivi inclusi gli studi multicentrici, sia svolti nell’ambito delle reti di ricerca degli IRCCS che in quelli promossi da tali istituti con la partecipazione di enti che non godono di tale riconoscimento. Nel caso in cui gli IRCCS si avvalgano di questa disposizione, hanno però l’obbligo di condurre l’impact assessment (valutazione d’impatto della protezione dei dati) ex art. 35, GDPR e pubblicare i risultati sul proprio sito Internet in forma integrale. Se la pubblicazione per intero dell’impact assessment può ledere diritti di proprietà intellettuale, segreti commerciali o altro, è possibile pubblicarla per estratto.
Le modalità con le quali si adempie agli obblighi informativi (informazioni ex art. 13, GDPR) variano necessariamente a seconda che i dati siano raccolti direttamente presso gli interessati, presso le banche dati interne dell’IRCCS ovvero presso terzi.
Infatti, nel caso in cui i dati siano raccolti direttamente presso gli interessati, l’IRCCS è tenuto a fornire preventivamente e direttamente in una forma chiara, concisa ed intelligibile, le informazioni, ai sensi dell’art. 13, GDPR, eventualmente limitandosi ad evidenziare quegli elementi informativi di cui l’interessato non dispone già, ai sensi dell’art. 13, comma 4, GDPR.
Nelle ipotesi in cui i dati siano raccolti presso banche dati interne ovvero presso terzi, le informazioni possono essere rese secondo le modalità di cui all’art. 14, comma 5, lettera b), GDPR che ne ammette la pubblicazione.
Per saperne di più, contattami.