Privacy, sanzione da 5 milioni a Replika: troppe falle nei controlli sull’età dei minori

L’intelligenza artificiale porta con sé opportunità, ma anche rischi che le autorità di controllo europee continuano a monitorare con attenzione. È quanto emerge dal recente provvedimento del Garante per la protezione dei dati personali, che ha inflitto una sanzione di 5 milioni di euro alla società statunitense Luka Inc., titolare del popolare chatbot Replika, per gravi violazioni del Regolamento Generale sulla Protezione dei Dati (GDPR).

L’istruttoria dell’Autorità ha rilevato criticità su più fronti, a partire da un sistema di verifica dell’età inefficace e facilmente eludibile, fino a informative sulla privacy incomplete, fuorvianti e disponibili esclusivamente in lingua inglese, nonostante il servizio fosse erogato anche in Italia.

Le violazioni accertate: privacy policy carente e controlli aggirabili

Dagli accertamenti è emerso che, alla data del 2 febbraio 2023, la privacy policy di Replika non rispettava i principi di trasparenza e correttezza imposti dal GDPR: mancava l’indicazione puntuale delle basi giuridiche per ogni trattamento, delle tipologie di dati trattati, delle finalità specifiche e del periodo di conservazione dei dati personali. La policy inoltre non chiariva in modo adeguato le modalità di trasferimento dei dati fuori dallo Spazio Economico Europeo, generando confusione tra gli utenti.

Quanto al sistema di verifica dell’età, il Garante ha rilevato falle tecniche significative. Era infatti possibile modificare liberamente la propria data di nascita nel profilo senza che ciò determinasse un nuovo controllo. Inoltre, il cosiddetto cooling off period di 24 ore per bloccare temporaneamente i tentativi di accesso dei minori non funzionava nella navigazione in incognito. Nessun meccanismo, poi, obbligava gli utenti a riconfermare la maggiore età in caso di dichiarazioni che facessero sospettare il contrario durante l’interazione.

Aggiornamenti parziali e criticità persistenti

A seguito delle contestazioni, Luka Inc. ha aggiornato la privacy policy il 23 febbraio 2024, correggendo alcune delle incongruenze rilevate. Tuttavia, il documento continua a essere disponibile solo in inglese e a non fornire informazioni chiare sulla durata di conservazione dei dati. Restano inoltre irrisolte le problematiche relative alla verifica dell’età, con il sistema che consente ancora di modificare i dati anagrafici senza controlli efficaci.

Le prescrizioni del Garante e le lezioni per il mercato digitale

Alla luce di queste gravi carenze, l’Autorità ha imposto alla società di conformare il proprio servizio alle norme del GDPR, intervenendo sia sulla privacy policy sia sul sistema di verifica dell’età per renderlo realmente efficace nella tutela dei minori.

Questo caso rappresenta un precedente importante per tutte le aziende che operano nel settore dell’intelligenza artificiale e dei servizi digitali rivolti al pubblico. La protezione dei dati personali e il rispetto dei diritti degli utenti, soprattutto dei soggetti vulnerabili come i minori, devono essere considerati aspetti centrali nella progettazione dei servizi, pena pesanti sanzioni e un grave danno reputazionale.

---

LEGGI ANCHE