Questo è stato un periodo ricco di attività per il Garante per la Protezione dei Dati Personali, con interventi significativi che toccano da vicino l’innovazione tecnologica, le pratiche commerciali e la tutela dei diritti dei cittadini.
L’intelligenza artificiale continua a essere un’area di grande attenzione per il Garante della Privacy. Il Garante ha infatti recentemente inflitto una sanzione di 5 milioni di euro alla società statunitense Luka Inc., gestore del chatbot Replika, evidenziando la necessità di trasparenza e correttezza nel trattamento dei dati in questo settore emergente.
Luka è una chatbot che permette agli utenti di creare un “amico virtuale” con ruoli che vanno da confidente a terapista, quindi con una raccolta di dati molto delicati dal punto di vista della privacy. Senza entrare nello specifico al funzionamento di Luka sono state contestate violazioni del principio di granularità (art. 6 del GDPR), del principio di trasparenza e di quello sulla modalità di verifica dell’età degli utenti
Quest’ultimo aspetto è particolarmente importante perché è evidente come il non sussistere di una adeguata modalità della verifica effettiva dell’età dell’utente che si iscrive all’applicazione, può esporre soggetti vulnerabili come i minori a contenuti inadatti, anche di tipo sessualmente esplicito.
Sono stati inoltre inviati avvertimenti a DeepSeek e Meta, richiamando l’attenzione sull’utilizzo dei dati personali per l’addestramento degli algoritmi di IA e sottolineando l’importanza del diritto di opposizione degli utenti, in particolare per Meta a partire dalla fine del mese di maggio.
La linea dura del Garante contro le pratiche commerciali invasive e l’uso illecito di strumenti di controllo è stata ribadita dalle pesanti sanzioni per milioni di euro e dalle stringenti misure correttive imposte ad Acea Energia Spa e ad un network di agenzie e società coinvolte in un massivo sistema di procacciamento di contratti per l’attivazione di forniture di luce e gas basato su pratiche di telemarketing aggressivo e trattamento illecito di dati personali.
Dagli accertamenti effettuati dal Nucleo speciale Tutela privacy e Frodi tecnologiche della Guardia di Finanza sono emerse prove rilevanti delle attività illecite poste in essere tramite l’utilizzo di liste di utenti che avevano di recente cambiato gestore energetico. Gli operatori di call-center contattavano questi utenti prospettando inesistenti disguidi tecnici nel passaggio tra gestori e, paventando rischi di danni economici, li inducevano ad attivare una nuova fornitura.
Questo sistema prevedeva l’utilizzo di liste di dati personali acquisite da altre società aderenti al network in assenza di uno specifico consenso e senza fornire un’informativa preventiva agli interessati, liste che contenevano informazioni dettagliate sugli utenti (numero di telefono, codice fiscale, POD, PDR, matricola del contatore e modalità di pagamento).
Avv. Annalisa Barbaglia