Garante per la protezione dei dati personali (Garante) har upphävt sitt förbud mot ChatGPT under förutsättning att OpenAI LLC genomför en lista över lämpliga åtgärder som tillsynsmyndigheten har föreslagit.
Av beslutet framgår att Garante beslutat att införa en tillfällig begränsning av OpenAI:s behandling av ChatGPT. Efter beslutet kontaktade OpenAI Garante för att uttrycka sin vilja att samarbeta och begära att den tillfälliga begränsningen skulle upphävas.
Garante hävdade att myndigheten skulle ompröva sitt beslut på villkor att OpenAI införde konkreta åtgärder för att skydda rättigheterna och friheterna för dem vars uppgifter användes för att träna ChatGPT:s algoritmer och för dem som är användare av tjänsten. Dessa åtgärder omfattar följande:
1) Utarbeta och offentliggöra ett informationsmeddelande på OpenAI:s webbplats som förklarar att de uppgifter som samlas in från de registrerade (användare och icke-användare av tjänsten) används för att träna ChatGPT:s algoritmer, och som också innehåller information om hur behandlingen utförs, logiken bakom behandlingen som är nödvändig för tjänstens funktion, de registrerades rättigheter och all annan information som krävs enligt GDPR.
2) Införande av ett verktyg, som kan vara tillgängligt på OpenAI:s webbplats, genom vilket registrerade personer som loggar in från Italien kan utöva sin rätt att motsätta sig behandling av sina personuppgifter som erhållits från tredje part, när behandlingen utförs i syfte att träna algoritmer och tillhandahålla tjänsten.
3) Tillhandahålla på OpenAI:s webbplats ett verktyg genom vilket registrerade personer kan begära och få rättelse av sina uppgifter som behandlats felaktigt vid generering av innehåll eller, om detta inte är möjligt enligt den senaste tekniken, radering av sådana personuppgifter.
4) Inkludera en länk till integritetspolicyn som ska visas innan man går vidare till registrering. Denna länk ska också visas innan tjänsten återaktiveras.
5) Ändring av den rättsliga grunden för behandling av personuppgifter för algoritmutbildning. I synnerhet ska OpenAI inte åberopa fullgörandet av ett avtal som en lämplig rättslig grund utan i stället grunda behandlingen på samtycke eller berättigat intresse.
6) Implementera ett verktyg på OpenAI:s webbplats som gör det möjligt för registrerade personer att invända mot behandlingen av deras personuppgifter som samlas in under deras användning av Chat GPT, när uppgifterna behandlas för att träna algoritmerna på grundval av OpenAI:s berättigade intresse. Detta verktyg ska vara lättillgängligt.
7) Införande av ett system för åldersgräns för att filtrera bort minderåriga på grundval av den ålder som den registrerade uppger.
8) Lämna in en plan till Garante senast den 31 maj 2023 för genomförandet av verktyg för ålderskontroll som kommer förhindra att registrerade personer under 13 år använder ChatGPT tillsammans med registrerade personer under 18 år i avsaknad av en tydlig bekräftande handling av samtycke från den person som har föräldraansvaret för den senare.
9) Lansering av en informationskampanj, utan att marknadsföra sina tjänster, på de viktigaste italienska masskommunikationskanalerna för att informera de registrerade om att det finns en hög sannolikhet för att deras personuppgifter har samlats in i syfte att träna algoritmer och att OpenAI har publicerat ett informationsmeddelande och tillhandahållit ett verktyg genom vilket de registrerade kan begära och erhålla radering av sina personuppgifter.
I enlighet med artikel 58.1 dataskyddsförordningen beslutade Garante dessutom att OpenAI senast den 30 april 2023 meddelar vilka initiativ bolaget har tagit för att införa åtgärderna 1-7. Garante beslutade också att OpenAI ska ange vilka åtgärder bolaget vidtagit för att genomföra åtgärderna 8 och 9.
Har ni frågor är ni välkomna att kontakta Carina Berg, partner och jurist specialiserad inom dataskydd och affärsjuridik i teknikintensiva verksamheter.
Källa: Garante.