GARANTE ITALIANO BLOCCA CHATGPT CHE RISCHIA MULTE SALATE
Il Garante italiano ha bloccato l’intelligenza artificiale generativa ChatGpt in quanto manca di una informativa agli utenti e agli interessati, non viene monitorato l’accesso ai minori di 14 anni come da legge italiana e non è chiara la base giuridica per la raccolta e conservazione dei dati. Il provvedimento di limitazione provvisoria (n. 112 del 30 marzo) blocca l’utilizzo della AI sul territorio italiano e ingiunge dei chiarimenti entro 20 giorni da parte dell’azienda OpenAI L.L.C. che, in caso non riesca a produrre correttivi, rischia una sanzione amministrativa del 4 per cento del fatturato annuo e sino a 20 milioni di euro, oltre a una sanzione penale da 3 mesi ai 2 anni per i responsabili dell’azienda. In sostanza secondo il Garante gli utenti sono chiamati ad addestrare l’algoritmo per istruirlo e aumentare le sue conoscenze, ma siccome molte risposte dell’AI non sono corrette, secondo il nostro Garante, ci sono particolari profili di rischio per i minorenni che potrebbero non avere gli strumenti per capire la veridicità o meno della risposta. Ha fatto scalpore la foto del Papa con un piumino bianco creata dalla chat e non corrispondente al vero. Da notare che il provvedimento di blocco dell’Authority arriva dopo un pesante data breach subito dall’azienda il 20 marzo che ha divulgato nome, cognome, mail e ultime quattro cifre della carta di credito dei clienti abbonati a un servizio a pagamento di ChatGpt. Sempre il 30 marzo negli Usa il Center for AI and Digital Policy (CAIDP) ha detto che la Federal Trade Commission dovrebbe bloccare l’uso di ChatGpt per altro già vietata nelle scuole in alcuni stati.
DPO SOTTO LA LENTE DEI GARANTI UE
Ha fatto storia una multa per 18 mila euro dell’Authorità privacy lussemburghese contro una società che non faceva lavorare bene il proprio DPO, Data Protection Officer, obbligatorio per chi tratta dati sanitari, da marketing e profilazione o ha oltre 250 dipendenti. Adesso i 26 garanti compreso il board europeo hanno lanciato una campagna del Coordinated Enforcement Framework – CEF per il 2023, che è un’azione coordinata per verificare se i DPO hanno le risorse necessarie e sono messi in grado di lavorare liberamente come previsto dal GDPR. Il lavoro del CEF per il 2022 era incentrato sui cloud utilizzati dalla pubblica amministrazione. Si prevede che nell’arco dell’anno in corso, oltre alle domande dirette ai DPO, ci saranno anche sopralluoghi e verifiche ispettive.
INCHIESTA SU APP CINESE DI E-COMMERCE RIVELA UN MALWARE
Google da alcuni giorni impedisce di scaricare su Google Play l’app di shopping Pingduoduo che ha grande successo in Cina e anche negli Usa. Da un’inchiesta della CNN è emerso grazie anche alle interviste a dipendenti dell’app, che l’utente ritenendo di utilizzare l’app per fare shopping online si trova invece spiato da un malware che si introduce specie negli smartphone Android. Lo spionaggio ha fini sopratutto commerciali anche per prevedere i consumi dell’utente. Pingduoduo che raccoglie 750 milioni di utenti al mese e vende abbigliamento, cibo e altro, è di proprietà di PDD una multinazionale con base in Cina. Pingduoduo e un’altra app di shopping vanno per la maggiore negli Usa.
ATTENZIONE ALLE PIATTAFORME CHE RACCOLGONO DATI SANITARI
Un dato sanitario può valere oltre 250 dollari e negli Stati Uniti ci sono stati almeno tre episodi che hanno fatto preoccupare: è risultato infatti che l’app di telemedicina Cerebral specializzata nel trattamento di traumi e disagi psicologici condividesse i dati di 3,1 milioni di pazienti con Facebook, TikTok e altri social e così ha fatto BetterHelp, una piattaforma di supporto psicologico online che offre il servizio 24 ore su 24, multata con 7,8 milioni di dollari dalla Federale Trade Commission per aver condiviso i dati con Facebook e Snapchat tra il 2017 e la fine del 2020. Allo stesso modo è stata multata GoodRx per un milione e mezzo di dollari. Il rischio non è solo la raccolta dei nostri dati, ma il fatto che la conoscenza degli stati mentali più intimi possono regalare anche la capacità di influenzare le nostra scelte, conoscere le nostre debolezze e determinare persino che cosa votiamo. Ricordiamo che per quanto riguarda l’Europa, secondo il GDPR in vigore dal 2018, i dati sanitari sono particolari e possono essere raccolti solo col nostro consenso. Ovviamente non possono in alcun modo essere divulgati.
CAMPAGNA DEL GARANTE CONTRO IL VISHING
Se vi telefonata qualcuno dalla vostra banca e chiede dettagli sul numero di carta di credito o le password è meglio non fornire nessun dato e insospettirsi. Spesso i malintenzionati riescono a costruire numeri di telefono per cui chiamano (o sembra che chiamino) dallo stesso prefisso telefonico della vostra banca. Quasi sempre la telefonata riguarda una qualche anomalia e un pericolo che secondo il telefonista vanno risolti al telefono. Altre volte viene anche inviato un sms al nostro cellulare e viene chiesto di leggerlo ad alta voce. Tutti questi meccanismi servono per autorizzare delle spese sul vostro conto, di cui magari vi accorgete dopo un certo tempo. Quindi meglio diffidare di simili telefonate, chiamare direttamente la banca per controllare, non fornire alcun dato bancario. Tutte le informazioni che avete letto sono contenute nella nuova campagna del Garante che ha anche realizzato degli spot televisivi con l’impersonificazione dell’Authority in un giovane vestito di blu elettrico.
TELEMARKETING E TELESELLING: REGOLE PIU’ CHIARE COL NUOVO CODICE
Il telemarketing e il teleselling nonché il marketing telefonico automatizzato vanno verso una maggior regolamentazione dopo l’approvazione del Codice di condotta per queste attività da parte del Garante per la protezione dei dati personali. Il Codice deve essere ora accreditato dall’Organismo di monitoraggio ed essere pubblicato sulla Gazzetta Ufficiale. Il Codice nasce da un lungo percorso delle associazioni promotrici tra cui Confcommercio e Confindustria, call center, associazioni di consumatori e fissa delle regole sulla raccolta del consenso per attività di marketing e profilazione, informazioni chiare agli utenti sull’utilizzo dei loro dati e garanzie sui diritti degli interessati.
Il Notiziario, coperto da copyright, è stato realizzato dall’Avvocato Gianluca Amarù specializzato in privacy, l’avvocato Eleonora Maschio, il Dpo Marco Fossi consulente aziendale e Alessandra Fava giornalista e Dpo, riuniti nell’acronimo A2F Privacy&Compliance. Con Giuseppe Ferrante (responsabile Dpo Services per Grant Thornton) sono autori di ‘La privacy in azienda – Tutti gli errori da evitare per non incappare nelle sanzioni del Garante’ (Liberodiscrivere, 2019). Amarù, Fava e Fossi hanno pubblicato anche ‘Manuale di accoglienza enti e autorità’ (Liberodiscrivere, 2019) , ‘Howto – Come scrivere i documenti privacy’ (Liberodiscrivere 2020) e ‘Privacy in progress’ (editore FrancoAngeli, giugno 2021), acquistabile anche in digitale sul sito francoangeli.it. E’ in libreria il nostro nuovo volume, ‘La Privacy dei dati digitali’, un manuale pratico in aiuto alle aziende e ai Dpo, pubblicato sempre per FrancoAngeli editore.