Garante per la protezione dei dati personali (Garante) har utfärdat en sanktionsavgift på 5 miljoner euro mot Luka Inc. för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att det amerikanska företaget Luka står bakom Replika, en chattbot baserad på generativ AI. Replika är tänkt att fungera som en virtuell följeslagare som kan hjälpa användare att hålla koll på sitt humör, hantera stress och lösa känslomässiga och psykologiska problem. Replika kan konfigureras för att uppfylla olika roller, bland annat som vän, terapeut, romantisk partner eller mentor.
Replika uppmärksammades i internationella medier efter att den påståtts uppmuntra minderåriga att skada sig själva. Nyheten föranledde en utredning på eget initiativ från Garante. I början av 2023 förelade Garante Luka att som en försiktighetsåtgärd stoppa behandlingen av personuppgifter för alla användare i Italien. Några månader senare hävde Garante förbudet med villkoret att Luka skulle vidta åtgärder för att säkerställa att Replika uppfyller kraven i GDPR, bland annat genom att införa ett effektivt system för åldersverifiering för att förhindra att minderåriga fick tillgång till tjänsten. Luka gjorde Replika tillgängligt igen efter att förbudet hade hävts.
Garante konstaterade att Luka inte kunde visa att det fanns en giltig rättslig grund för den behandling av personuppgifter som utfördes genom AI-chattbotten och att företaget inte lämnat tillräcklig information om personuppgiftsbehandlingen i sin integritetspolicy. Dessutom konstaterade Garante att Luka inte vidtagit lämpliga åtgärder för att skydda personuppgifter som samlats in från barn i samband med användning av AI-chattbotten och att företaget inte infört en mekanism för åldersverifiering. Sammanfattningsvis konstaterade Garante överträdelser av artiklarna 5.1 (a), (c), 6, 12, 13, 24 och 25.1 GDPR.
Av dessa skäl utfärdade Garante Luka med 5 miljoner euro. Förutom att ålägga en sanktionsavgift, förelades Luka att se till att företagets behandling av personuppgifter överensstämmer med bestämmelserna i GDPR. Garante förbehåller sig även rätten att i ett separat och självständigt förfarande utreda och bedöma de aspekter som rör lagligheten i den behandling som Luka utför, med särskild hänvisning till de rättsliga grunderna för behandling som är tillämpliga under hela livscykeln för det generativa AI-system som ligger till grund för AI-chattbotten.
TechLaw bistår verksamheter i frågor som rör dataskydd, inbyggt dataskydd och behandling av personuppgifter i AI-tjänster. Läs mer om vår expertis inom dataskydd och integritet.
Har ni frågor är ni välkomna att kontakta Carina Berg, partner och jurist specialiserad inom dataskydd och affärsjuridik i teknikintensiva verksamheter.
Källa: Garante.