[doc. web n. 10013893]

Provvedimento del 22 giugno 2203

Registro dei provvedimenti
n. 280 del 22 giugno 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il dott. Claudio Filippi, vice segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il provvedimento n. 39 del 2 febbraio 2023 (in www.gpdp.it, doc. web n. 9852214) di limitazione provvisoria di cui all’art. 58, par. 2, lett. f), del Regolamento, adottato nei confronti Luka Inc. (di seguito anche “Società”) dal Presidente in via d’urgenza, ai sensi dell’art. 5, comma 8, del Regolamento n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante, che è stato ratificato nella adunanza del 9 febbraio 2023;

VISTE le informazioni fornite da Luka Inc. con le note del 3 e 31 marzo 2023, con cui la Società, nel comunicare di aver immediatamente bloccato l’accesso al chatbot Replika dall’Italia, ha illustrato alcune misure intraprese per soddisfare l’ordine di cui all’art. 58, par. 2, lett. f), del Regolamento imposto dall’Autorità nel provvedimento sopra menzionato ed ha manifestato la disponibilità a collaborare con il Garante chiedendo, altresì, la revoca del provvedimento di limitazione provvisoria del trattamento;

VISTA la nota del 26 aprile 2023 con cui la Società ha rinnovato l’istanza di revoca del citato provvedimento in considerazione del provvedimento n. 114 dell’11 aprile 2023 (doc. web n. 9874702) adottato dal Collegio nei confronti OpenAI Inc., società destinataria di analogo provvedimento di limitazione provvisoria nonché in considerazione delle misure medio tempore adottate dalla Società ritenute idonee a soddisfare condizioni analoghe a quelle imposte dal Garante ad OpenAI Inc.;

VISTA la richiesta della Società espressa nella stessa nota del 26 aprile 2023 ad un incontro con il Garante, poi tenutosi il 31 maggio 2023;

VISTA la nota del 14 giugno 2023 con cui la Società ha comunicato, in esito all’incontro del 31 maggio, i tempi per l’attuazione delle misure indicate nella nota del 26 aprile;

PRESO ATTO che la Società ha aggiornato la propria privacy policy nell’ottica risolvere le criticità sulla trasparenza individuate nel provvedimento d’urgenza;

VERIFICATO che la Società ha predisposto una pagina informativa del proprio approccio all’etica, alla sicurezza e alla correttezza pubblicata sul blog del sito web;

PRESO ATTO delle dichiarazioni della Società, fornite per iscritto e durante il predetto incontro, in merito al fatto che il servizio Replika non è destinato all’utilizzo da parte di soggetti minorenni e che, a tal fine, sono stati aggiornati i termini di servizio con l’introduzione di un espresso divieto di utilizzo del servizio Replika da parte di persone minori di 18 anni;

PRESO ATTO della disponibilità della Società di adottare, all’atto del ripristino del servizio dall’Italia, una serie di misure atte a prevenirne l’accesso a soggetti minori di anni 18;

PRESO ATTO altresì della proposta della Società di interrompere la possibilità per gli utenti in Italia di intraprendere conversazioni a sfondo sessuale a che, tal fine, all’atto del ripristino dell’accesso dall’Italia, il servizio presenterà una versione gratuita ed una a pagamento e che quest’ultima includerà contenuti romantici, ma non sessuali;

RITENUTO, a fronte delle informazioni acquisite e della disponibilità manifestata dalla Società a porre in essere una serie di misure concrete a tutela dei diritti e delle libertà degli interessati, fermo restando il naturale proseguimento dell’attività istruttoria avviata, di poter procedere a rivalutare la sussistenza dei presupposti del provvedimento di limitazione provvisoria, adottando le conseguenti determinazioni, a condizione che Luka Inc. provveda ad attuare concretamente una serie di misure e prescrizioni di seguito specificamente individuate, che vengono ingiunte alla Società ai sensi dell’art. 58, par. 2, lett. d), del Regolamento:

1. presentare, a tutti gli utenti in Italia, prima della registrazione e prima dell’accesso al servizio Replika (di seguito anche “servizio”), l’informativa sulla privacy aggiornata;

2. implementare un meccanismo di age gate in tutte le pagine di registrazione al servizio;

3. implementare un “periodo di raffreddamento” (cooling-off period) volto ad evitare che i minorenni inseriscano una data di nascita diversa quando viene loro negato l’accesso al servizio;

4. predisporre a favore degli utenti in Italia la possibilità di esercitare in modo semplice ed efficace i propri diritti in materia di protezione dei dati personali, tra cui quello di opporsi al trattamento dei dati personali e di richiedere l’accesso, la rettifica e la cancellazione dei dati;

5. sottoporre al Garante, quindici giorni prima della prevista apertura del servizio all’utenza italiana, un piano per lo sviluppo di un processo volto ad impedire l’accesso a soggetti di età inferiore ai 18 anni, eventualmente corredato di un meccanismo di l’analisi del linguaggio avente efficacia successiva;

6. sottoporre al Garante, quindici giorni prima della prevista apertura del servizio all’utenza italiana, un piano per l’implementazione di funzioni che consentano agli utenti di segnalare i contenuti inappropriati per evitare che il chatbot Replika li riproponga, quali, ad esempio, la possibilità di contrassegnare specifiche risposte come inappropriate e di fornire un feedback sull’esperienza dell’utente durante la sessione;

RITENUTO che le prescrizioni di cui ai punti da 1 a 4 debbano essere integralmente adempiute non oltre il 28 luglio 2023;

RITENUTO, alle predette condizioni, di poter sospendere l’efficacia del proprio provvedimento di limitazione provvisoria a far data dall’adempimento delle prescrizioni da 1 a 5, con salvezza di ogni ulteriore intervento, anche di carattere urgente e temporaneo, nel caso di inidonea o insufficiente attuazione delle prescrizioni sopra indicate;

PRECISATO che le odierne decisioni vengono comunque assunte con salvezza di ogni ulteriore misura che si rendesse necessaria a conclusione della formale istruttoria in corso;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal vice segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Pasquale Stanzione;

TUTTO CIÒ PREMESSO IL GARANTE:

a) ai sensi dell’art. 58, par. 2, lett. d), del Regolamento ingiunge a Luka Inc., società statunitense sviluppatrice e gestrice di Replika, in qualità di titolare del trattamento dei dati personali effettuato attraverso tale applicazione, entro i termini di cui alle premesse:

1. presentare, a tutti gli utenti in Italia, prima della registrazione e prima dell’accesso al servizio Replika, l’informativa sulla privacy aggiornata;

2. implementare un meccanismo di age gate in tutte le pagine di registrazione ai servizi;

3. implementare un “periodo di raffreddamento” (cooling-off period) volto ad evitare che i minorenni inseriscano una data di nascita diversa quando viene loro negato l’accesso ai servizi;

4. predisporre a favore degli utenti in Italia la possibilità di esercitare in modo semplice ed efficace i propri diritti in materia di protezione dei dati personali, tra cui quello di opporsi al trattamento dei dati personali e di richiedere l’accesso, la rettifica e la cancellazione dei dati;

5. sottoporre al Garante, quindici giorni prima della prevista apertura del servizio all’utenza italiana, un piano per lo sviluppo di un processo volto ad impedire l’accesso al servizio a soggetti di età inferiore ai 18 anni, eventualmente corredato di un meccanismo di analisi del linguaggio avente efficacia interdittiva successiva;

6. sottoporre al Garante, quindici giorni prima della prevista apertura all’utenza italiana, un piano per l’implementazione di funzioni che consentano agli utenti di segnalare i contenuti inappropriati per evitare che il chatbot Replika li riproponga, quali, ad esempio, la possibilità di contrassegnare specifiche risposte come inappropriate e di fornire un feedback sull’esperienza dell’utente durante la sessione;

b) sospende il provvedimento di limitazione provvisoria adottato con deliberazione d’urgenza del Presidente n. 39 del 2 febbraio 2023 e ratificato dal Collegio nell’adunanza del 9 febbraio 2023 a far data dall’adempimento delle prescrizioni di cui ai punti da 1 a 6 che precedono.

Le decisioni di cui ai punti precedenti sono assunte con piena salvezza di ogni attività di accertamento delle eventuali violazioni della disciplina vigente eventualmente poste in essere dal titolare del trattamento e di ogni ulteriore o diversa misura che si rendesse necessaria a conclusione della formale istruttoria in corso.

Il Garante, ai sensi dell’art. 58, par. 1, del Regolamento e dell’art. 157 del Codice invita il titolare del trattamento destinatario del provvedimento, altresì, a comunicare:

-  entro il 28 luglio 2023, quali iniziative siano state intraprese al fine di dare attuazione a quanto prescritto ai punti da 1 a 6;

-  entro quindici giorni dalla prevista apertura del servizio all’utenza italiana quali iniziative siano state intraprese al fine di dare attuazione a quanto prescritto ai punti 6, 7 e 8.
Si ricorda che il mancato riscontro alle richieste ai sensi dell’art. 58 del Regolamento è punito con la sanzione amministrativa di cui all'art. 83, par. 5, lett. e), del Regolamento medesimo.

Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del d. lg. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 22 giugno 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL VICE SEGRETARIO GENERALE
Filippi