De Italiaanse gegevensbeschermingsautoriteit heeft ChatGPT-maker OpenAI een boete van 15 miljoen euro opgelegd vanwege de manier waarop de generatieve kunstmatige intelligentie-applicatie omgaat met persoonlijke gegevens.
De boete komt bijna een jaar nadat de Garante ontdekte dat ChatGPT de informatie van gebruikers verwerkte om zijn dienst te trainen in strijd met de Algemene Verordening Gegevensbescherming (AVG) van de Europese Unie.
De autoriteit zei dat OpenAI het niet op de hoogte heeft gesteld van een inbreuk op de beveiliging die plaatsvond in maart 2023, en dat het de persoonlijke informatie van gebruikers verwerkte om ChatGPT te trainen zonder daarvoor een adequate wettelijke basis te hebben. Het beschuldigde het bedrijf er ook van in strijd te zijn met het transparantiebeginsel en de daarmee samenhangende informatieverplichtingen tegenover gebruikers.
“Bovendien heeft OpenAI niet voorzien in mechanismen voor leeftijdsverificatie, wat zou kunnen leiden tot het risico dat kinderen onder de 13 jaar worden blootgesteld aan ongepaste reacties met betrekking tot hun mate van ontwikkeling en zelfbewustzijn”, aldus de Garante.
Naast het opleggen van een boete van € 15 miljoen, heeft het bedrijf de opdracht gekregen om een zes maanden durende communicatiecampagne uit te voeren op radio, televisie, kranten en internet om het publieke begrip van hoe ChatGPT werkt te bevorderen.
Dit omvat specifiek de aard van de verzamelde gegevens, zowel gebruikers- als niet-gebruikersinformatie, met het doel haar modellen te trainen, en de rechten die gebruikers kunnen uitoefenen om bezwaar te maken tegen die gegevens, deze te corrigeren of te verwijderen.
“Door deze communicatiecampagne zullen gebruikers en niet-gebruikers van ChatGPT bewust gemaakt moeten worden van hoe ze zich kunnen verzetten tegen het trainen van generatieve kunstmatige intelligentie met hun persoonlijke gegevens en zo effectief in staat worden gesteld hun rechten onder de AVG uit te oefenen”, voegde de Garante eraan toe.
Italië was het eerste land dat eind maart 2023 een tijdelijk verbod op ChatGPT oplegde, vanwege zorgen over gegevensbescherming. Bijna een maand later werd de toegang tot ChatGPT hersteld nadat het bedrijf de door de Garante opgeworpen problemen had aangepakt.
In een verklaring gedeeld met de Associated Press noemde OpenAI de beslissing onevenredig en dat zij van plan is in beroep te gaan, waarbij zij stelt dat de boete bijna 20 maal de omzet bedraagt die zij in Italië gedurende de periode heeft verdiend. Het zei verder dat het zich inzet voor het aanbieden van nuttige kunstmatige intelligentie die zich houdt aan de privacyrechten van gebruikers.
De uitspraak volgt ook op een advies van de European Data Protection Board (EDPB) dat een AI-model dat op onrechtmatige wijze persoonsgegevens verwerkt maar vervolgens voorafgaand aan de inzet wordt geanonimiseerd, geen schending van de AVG vormt.
“Als kan worden aangetoond dat de daaropvolgende werking van het AI-model niet de verwerking van persoonsgegevens met zich meebrengt, is de EDPB van mening dat de AVG niet van toepassing zou zijn”, aldus het bestuur. “Daarom mag de onwettigheid van de initiële verwerking geen invloed hebben op de daaropvolgende werking van het model.”
“Verder is de EDPB van mening dat, wanneer verwerkingsverantwoordelijken vervolgens persoonsgegevens verwerken die tijdens de implementatiefase zijn verzameld, nadat het model is geanonimiseerd, de AVG van toepassing zou zijn op deze verwerkingsactiviteiten.”
Eerder deze maand publiceerde het Bestuur ook richtlijnen voor het omgaan met gegevensoverdrachten buiten niet-Europese landen op een manier die voldoet aan de AVG. De richtlijnen zijn tot 27 januari 2025 onderworpen aan openbare raadpleging.
“Uitspraken of beslissingen van autoriteiten uit derde landen kunnen niet automatisch worden erkend of ten uitvoer gelegd in Europa”, aldus het rapport. “Als een organisatie antwoordt op een verzoek om persoonsgegevens van een autoriteit uit een derde land, vormt deze gegevensstroom een overdracht en is de AVG van toepassing.”