Garante per la protezione dei dati personali (Garante) har med omedelbar verkan beordrat en tillfällig begränsning av behandlingen av personuppgifter mot det amerikanska företaget Luka Inc som utvecklar och förvaltar chatbotten Replika då appen bryter mot dataskyddsförordningen (GDPR).
Av beslutet framgår att chatbotten Replika, som har ett skriv- och röstgränssnitt och som bygger på artificiell intelligens (AI) för att skapa en virtuell vän, tills vidare inte får använda italienska användares personuppgifter. Den virtuella vännen, som presenteras som en person som kan förbättra användarens känslomässiga välbefinnande, hjälper användaren att förstå sina egna tankar och lugna sin ångest genom stresshantering, socialisering och kärlekssökande, samt har egenskaper som, genom att den påverkar personens humör, kan öka riskerna för personer som fortfarande befinner sig i ett utvecklingsstadium eller i ett tillstånd av känslomässig sårbarhet.
Enligt Garante saknar Replika en mekanism för ålderskontroll, som filter för minderåriga, men även blockering av appen vid uttalanden där användaren anger sin ålder explicit. När kontot skapas frågar plattformen bara efter namn, e-post och kön. Vidare strider chatbotens förslag till svar ofta mot det förstärkta skydd som måste garanteras för minderåriga och alla känsliga personer. Flera recensioner som publicerats i de två största App Stores innehåller dessutom enligt myndigheten kommentarer från användare som klagar på sexuellt olämpligt innehåll.
Mot bakgrund av den senaste tidens pressrapporter och kontroller som Garante har gjort av Replika innebär appen i själva verket konkreta risker för minderåriga, till att börja med genom att de får svar som är helt olämpliga för deras utvecklingsnivå. Replika bryter enligt Garante mot kraven i dataskyddsförordningen, då appen inte respekterar principen om öppenhet och behandlar personuppgifter på ett olagligt sätt, eftersom det inte kan baseras, ens implicit, på ett avtal som den minderårige inte kan ingå.
Garante beslut innebär att Luka inte bara måste upphöra med behandlingen av italienska användares uppgifter, utan också inom 20 dagar måste meddela vilka åtgärder företaget har vidtagit för att genomföra myndighetens krav, med risk för böter på upp till 20 miljoner euro eller upp till 4 procent av den globala årsomsättningen.
Har ni frågor är ni välkomna att kontakta Carina Berg, partner och jurist specialiserad inom dataskydd och affärsjuridik i teknikintensiva verksamheter.
Källa: Garante.