Garante per la protezione dei dati personali (Garante) har utfärdat en sanktionsavgift på 15 miljoner euro mot OpenAI LLC för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framfår att Garante inlett en utredning mot OpenAI efter att en teknisk bugg i tjänsten ChatGPT lett till att användare under en begränsad tid kunde se andra användares chatthistorik i stället för sin egen. OpenAI erkände offentligt händelsen och bekräftade att de exponerade uppgifterna omfattade förnamn, efternamn, e-postadresser samt de fyra sista siffrorna och utgångsdatum för kreditkort som använts för den betalda versionen av tjänsten ChatGPT Plus.
Utredningen visade ett antal överträdelser av GDPR, som att OpenAI inte meddelat myndigheten om den aktuella personuppgiftsincidenten vilket innebär en överträdelse av artikel 33.1 GPDR, behandlat användarnas personuppgifter för att träna ChatGPT utan att först identifiera en lämplig rättslig grund vilket innebar en överträdelse av artiklarna 5.1 (a), 12 och 13 GDPR, samt brutit mot principen om öppenhet och de relaterade informationsskyldigheterna gentemot användarna vilket innebar en överträdelse av artiklarna 5.1 (a), artikel 12 och artikel 13 GDPR. OpenAI har vidare inte tillhandahållit mekanismer för åldersverifiering, vilket kan leda till en risk för att barn under 13 år utsätts för olämpliga svar med hänsyn till deras utvecklingsnivå och självmedvetenhet. Detta innebar en överträdelse av artiklarna 24 och 25 GDPR.
I syfte att först och främst säkerställa en effektiv insyn i behandlingen av personuppgifter utfärdade Garante ett föreläggande som innebär att OpenAI ska genomföra en sex månader lång institutionell informationskampanj i radio, tv, tidningar och på Internet. Innehållet, som ska överenskommas med myndigheten, bör främja allmänhetens förståelse för och medvetenhet om hur ChatGPT fungerar, särskilt om insamlingen av uppgifter om användare och icke-användare för utbildning i generativ AI och de registrerades rättigheter, inbegripet rätten att invända mot, rätta och radera sina uppgifter. Genom denna informationskampanj måste användare och icke-användare av ChatGPT göras medvetna om hur de kan motsätta sig att generativ AI tränas med deras personuppgifter och därmed effektivt ges möjlighet att utöva sina rättigheter enligt GDPR.
Garante utfärdade även OpenAI med 15 miljoner euro, ett belopp som beräknats med hänsyn till företagets samarbetsvilliga attityd.
Mot bakgrund av att OpenAI etablerat sitt europeiska huvudkontor på Irland under utredningen har Garante, i enlighet med den så kallade one stop shop-mekanismen, överfört handlingarna i förfarandet till den irländska dataskyddsmyndigheten Data Protection Commission (DPC), som är ansvarig tillsynsmyndighet enligt GDPR, för att fortsätta utreda eventuella pågående överträdelser som inte utretts innan det europeiska huvudkontoret etablerades.