Chatbot e privacy: multa da 5 milioni per Replika, indagine del GPDP sull’addestramento dell’IA

Il Garante per la Protezione dei Dati Personali ha inflitto una sanzione di 5 milioni di euro alla società statunitense Luka Inc., responsabile del chatbot “Replika”, e ha avviato una nuova indagine sulle modalità di addestramento del modello di intelligenza artificiale generativa alla base del servizio. Il provvedimento arriva a seguito delle gravi irregolarità riscontrate durante l’istruttoria aperta in seguito al blocco dell’app imposto nel febbraio 2023.

Replika è un’applicazione che consente agli utenti di creare un “amico virtuale” con il quale interagire tramite interfaccia scritta o vocale. Questo assistente digitale può assumere diversi ruoli, come confidente, terapeuta, partner romantico o mentore. Tuttavia, secondo quanto accertato dal Garante, la società non aveva definito in modo adeguato le basi giuridiche per il trattamento dei dati personali al momento del blocco del servizio. Inoltre, la privacy policy fornita risultava carente sotto diversi profili, sia in termini di chiarezza sia di completezza.

Uno degli aspetti più critici riguarda la totale assenza, alla data del 2 febbraio 2023, di sistemi efficaci per la verifica dell’età degli utenti, nonostante l’esplicita esclusione dei minori dai destinatari del servizio. Anche le verifiche tecniche successive hanno confermato che i meccanismi oggi in uso per impedire l’accesso dei minori risultano ancora inadeguati.

Oltre alla sanzione, il Garante ha imposto a Luka Inc. di adeguare i trattamenti dei dati personali alle disposizioni del Regolamento generale sulla protezione dei dati (GDPR). Parallelamente, l’Autorità ha avviato una nuova istruttoria, chiedendo alla società informazioni dettagliate sulle modalità con cui vengono trattati i dati personali durante tutte le fasi del ciclo di vita del sistema di intelligenza artificiale generativa: dalla raccolta e selezione dei dati, all’addestramento del modello linguistico, fino all’interazione con l’utente finale.

Tra i punti al centro dell’indagine figurano anche la valutazione dei rischi, le misure di sicurezza adottate, e l’eventuale uso di tecniche di anonimizzazione o pseudonimizzazione dei dati. L’attenzione del Garante conferma l’urgenza di una maggiore trasparenza e responsabilità da parte dei fornitori di servizi basati sull’intelligenza artificiale, soprattutto quando si tratta di applicazioni che possono coinvolgere soggetti vulnerabili e dati sensibili.