Vendita di dati personali a OpenAI: il Garante Privacy avverte il Gruppo GEDI

Il Garante per la protezione dei dati personali ha inviato un avvertimento formale al Gruppo GEDI e alle sue società affiliate, segnalando possibili violazioni del Regolamento UE 2016/679 (GDPR) legate all’accordo siglato con OpenAI. L’intesa, firmata il 24 settembre 2024, prevede la condivisione di contenuti editoriali delle testate del Gruppo GEDI con la piattaforma ChatGPT.

Secondo l’accordo, i contenuti editoriali di GEDI — tra cui articoli, notizie e approfondimenti — verranno utilizzati da OpenAI per offrire agli utenti la possibilità di ricercare in tempo reale le notizie di attualità. La piattaforma di intelligenza artificiale fornirà anche un riassunto automatizzato della notizia, con il relativo link diretto al contenuto originale. Tuttavia, i dati non saranno impiegati solo per l’accesso ai contenuti, ma anche per addestrare gli algoritmi di OpenAI, sollevando preoccupazioni sulla gestione dei dati personali contenuti negli archivi editoriali.

Dati personali e rischi per la privacy

L’Autorità ha evidenziato come negli archivi digitali dei giornali siano presenti milioni di storie personali con dettagli di natura anche particolarmente delicata, come informazioni sanitarie, giudiziarie e riservate, che non possono essere trasferite a terzi senza un’adeguata base giuridica e senza il rispetto degli obblighi di trasparenza. Il Garante Privacy ha infatti sottolineato che, se l’accordo venisse attuato senza ulteriori garanzie, il Gruppo GEDI potrebbe violare le disposizioni degli articoli 9, 10, 13, 14 e del Capo III del GDPR, con il rischio di incorrere in pesanti sanzioni economiche.

Il comunicato del Garante: “Mancano trasparenza e diritti per gli interessati”

Il 29 novembre 2024, il Garante ha pubblicato un comunicato stampa per chiarire le ragioni dell’avvertimento. Secondo l’Autorità, la valutazione d’impatto sulla protezione dei dati (DPIA) trasmessa dal Gruppo GEDI non è risultata sufficiente. In particolare, la valutazione non ha chiarito in modo adeguato la base giuridica che consentirebbe al gruppo editoriale di “cedere o licenziare in uso a terzi” i dati personali contenuti nel proprio archivio, né ha dimostrato come il Gruppo possa garantire ai soggetti interessati il rispetto dei loro diritti, in particolare il diritto di opposizione al trattamento dei propri dati.

Il provvedimento di avvertimento è stato indirizzato non solo al Gruppo GEDI, ma anche a tutte le società coinvolte nell’accordo con OpenAI, tra cui:

• Gedi News Network S.p.A.
• Gedi Periodici e Servizi S.p.A.
• Gedi Digital S.r.l.
• Monet S.r.l.
• AlFemminile S.r.l.

Cosa rischia il Gruppo GEDI?

Se le contestazioni del Garante venissero confermate, il Gruppo GEDI potrebbe essere sottoposto a sanzioni pecuniarie rilevanti, in linea con le severe disposizioni del GDPR, che prevedono multe fino al 4% del fatturato globale annuo per violazioni gravi.

L’episodio solleva un tema cruciale nel dibattito sull’uso dei dati personali per addestrare l’intelligenza artificiale, evidenziando la necessità di garantire la tutela della privacy anche nell’era dell’IA. La vicenda si inserisce nel più ampio contesto di attenzione dei regolatori europei verso le big tech e le loro pratiche di gestione dei dati personali.

Il Garante Privacy ha ribadito che il trattamento dei dati deve rispettare i principi di minimizzazione, trasparenza e liceità, e ha chiesto al Gruppo GEDI di fornire ulteriori chiarimenti e adottare misure correttive per garantire il rispetto dei diritti dei soggetti interessati.

---

LEGGI ANCHE