Multa per la società che gestisce il chatbot: illecito il trattamento dei dati personali
Riflettori puntati sulle modalità di addestramento del modello di intelligenza artificiale generativa
Multa da 5milioni di euro per la società statunitense ‘Luka Inc.’ che gestisce il chatbot ‘Replika’. Questo il succo del provvedimento del 10 aprile 2025 emesso dal ‘Garante per la privacy’, che ha anche aperto una nuova indagine sulle modalità di addestramento del modello di intelligenza artificiale generativa alla base del servizio e ha avviato una autonoma istruttoria per verificare il connesso trattamento dei dati personali. Il chatbot, dotato di un’interfaccia scritta e vocale, consente all’utente di generare un ‘amico virtuale’ a cui attribuire il ruolo di confidente, terapista, partner romantico o mentore. Nel corso dell’istruttoria il ‘Garante’ ha accertato la violazione delle disposizioni contestate nel febbraio 2023, quando aveva disposto il blocco dell’applicazione. Secondo il Garante, la società statunitense non aveva individuato, all’epoca, le basi giuridiche delle operazioni di trattamento dati effettuate attraverso ‘Replika’, mentre aveva fornito una ‘privacy policy’ inadeguata sotto vari profili. In particolare, si è accertato che la società non prevedeva alcun meccanismo per la verifica dell’età degli utenti né all’atto della registrazione al servizio, né durante il suo utilizzo, benché la società dichiarasse di escludere i minorenni tra i potenziali utenti. Il riferimento è, tra l’altro, alla valutazione dei rischi e alle misure adottate per tutelare i dati nelle varie fasi di sviluppo e addestramento del modello linguistico alla base di ‘Replika’, alle tipologie e categorie di dati utilizzati, all’eventuale implementazione di misure di anonimizzazione o pseudonimizzazione. Dagli accertamenti tecnici effettuati è emerso che il sistema di verifica dell’età attualmente implementato dalla società continua ad essere carente sotto molteplici aspetti. Perciò, oltre al provvedimento sanzionatorio, il ‘Garante’ ha ingiunto alla società statunitense di conformare i trattamenti dei dati alle disposizioni del regolamento europeo sulla privacy.