De Italiaanse evenknie van de Autoriteit Persoonsgegevens (AP), Garante per la Protezione dei Dati Personali:
[…] ha notificato a OpenAI, società che gestisce la piattaforma di intelligenza artificiale ChatGPT, l’atto di contestazione per aver violato la normativa in materia di protezione dei dati personali.
Omdat ik er vanuit ga dat niet iedereen de Italiaanse taal machtig is, hier even de Nederlandse vertaling:
[…] heeft OpenAI, het bedrijf dat het kunstmatige-intelligentieplatform ChatGPT beheert, op de hoogte gebracht van de klacht wegens overtreding van de wetgeving inzake de bescherming van persoonsgegevens [GDPR].
Na het tijdelijke verwerkingsverbod dat Garante op 30 maart 2023 aan OpenAI had opgelegd, en op basis van de resultaten van haar onderzoek, concludeerde Garante dat het beschikbare bewijsmateriaal wees op het bestaan van inbreuken op de bepalingen in de Europese GDPR.
Als ik het goed begrijp, zijn de antwoorden van Open AI in reactie op de klachten van Garente als niet afdoend beschouwd.
Garante heeft OpenAI een termijn van 30 dagen gegeven waarbinnen het bedrijf kan reageren. Wat er gebeurt in geval van non-compliance is niet aangegeven.
Als achtergrondinformatie, dit is bekend ten aanzien van de eerdere klacht in het voorjaar van 2023 is er nog de volgende informatie te vinden:
ChatGPT, […] heeft afgelopen 20 maart een dataverlies (datalek) geleden met betrekking tot gebruikersgesprekken en informatie met betrekking tot de betaling van abonnees op de betaalde dienst.
In de bepaling wijst de Garante op het gebrek aan informatie voor gebruikers en alle geïnteresseerde partijen wier gegevens door OpenAI worden verzameld, maar vooral op het ontbreken van een wettelijke basis die de massale verzameling en opslag van persoonlijke gegevens rechtvaardigt, met als doel algoritmen te trainen die ten grondslag liggen aan de werking van het platform.
Zoals uit de uitgevoerde controles blijkt, komt de door ChatGPT verstrekte informatie niet altijd overeen met de werkelijke gegevens, wat resulteert in een onnauwkeurige verwerking van persoonsgegevens.
Hoewel de dienst – volgens de door OpenAI gepubliceerde voorwaarden – gericht is op mensen ouder dan 13 jaar, benadrukt Gatante tenslotte hoe het ontbreken van een filter voor het verifiëren van de leeftijd van gebruikers minderjarigen blootstelt aan absoluut ongepaste antwoorden in vergelijking met hun ontwikkelingsniveau en zelfbewustzijn.
OpenAI […] moet binnen 20 dagen de maatregelen meedelen die zijn genomen om uitvoering te geven aan wat door de Garante wordt gevraagd, op straffe van een boete van maximaal 20 miljoen euro of tot 4% van de jaarlijkse wereldwijde omzet.
De soep is duidelijk niet zo heet gegeten, maar nu (bijna een jaar later…) is er dus wel een nieuwe iteratie van dit conflict tussen Garante en OpenAI. En is hiermee niet tegelijktijdig de volledige EU betrokken? Eens kijken of staatsecretaris van Huffelen hier nog iets over kan melden.