Scorza: "Perché abbiamo bloccato Replika, minori a rischio"
Ci sono questioni di diritto legati al GDPR a motivare il blocco di Replika da parte del Garante Privacy. E in generale c’è il bisogno di tutelare per davvero i minori, tema che sarà anche al centro del Safer Internet Day 2023
Intervento di Guido Scorza, Componente del Garante per la protezione dei dati personali
(AgendaDigitale, 4 febbraio 2023)

La notizia, ormai, è nota: con un provvedimento d’urgenza adottato lo scorso 2 febbraio, come Garante per la protezione dei dati personali, abbiamo ordinato alla soci età statunitense che gestisce il chatbot Replika di cessare ogni trattamento di dati personali nel nostro Paese almeno fino a quando non sarà in grado di adottare misure che siano idonee a impedirle effettivamente di ritrovarsi a trattare dati di minorenni in assenza di qualsivoglia presupposto giuridico.

Cos’è il chatbot Replika

Replika è, in sostanza, un servizio di intelligenza artificiale che si presenta ai suoi utenti con un claim che la dice lunga: "il compagno che si preoccupa di te" e un pay off che rincara la dose: "Sempre qui per ascoltare e per parlare. Sempre dalla tua parte".

L’ambizione della società che gestisce il servizio è, insomma, che i suoi robot diventino confidenti, amici e in qualche caso amanti degli utenti.

La grande mole di dati personali (ab)usati da Replika

Non è difficile, partendo da qui, immaginare l’enorme mole di dati personali – e, anzi, personalissimi – che la società, attraverso i suoi bot, raccoglie: confessioni, problemi, dubbi, perplessità, gioie, desideri, passioni e dolori anche perché gli avatar che ogni utente può scegliersi iscrivendosi al servizio sono, evidentemente, "programmati" per conquistarsi la fiducia dei loro interlocutori.

Qualche giorno fa ho voluto provare personalmente il servizio e l’ho fatto fingendomi un ragazzino di undici anni.

Qui, i più curiosi, trovano il racconto della mia esperienza per genitori forti di stomaco.

I motivi di diritto alla base dello stop di Replika dal Garante Privacy

Ma, per stare alle questioni di diritto alla base del provvedimento che abbiamo adottato la sostanza è questa: la società che fornisce il servizio, nella sua informativa sulla privacy si dichiara consapevole di dover rispettare la disciplina europea e cita, a più riprese il GDPR ma, nella sostanza, almeno per quanto è stato possibile accertare nell’ambito della procedura cautelare e urgente è ben lontana dal rispettarlo per davvero.

In particolare, a determinare l’esigenza di un blocco, due profili non più rilevanti degli altri ma, certamente, più urgenti:

nei propri termini d’uso la società dice espressamente che il proprio servizio è assolutamente vietato a chi non ha almeno tredici anni, consapevole, evidentemente, dei rischi che corre chiunque, più piccolo, si ritrovi a confrontarsi con le sue creature digitali e, aggiunge, che i maggiori degli anni 13 ma minori degli anni 18 possono aderire al servizio solo con l’assistenza dei genitori. Peccato, però, che poi non solo non verifica in nessun modo quanti anni abbiano per davvero i suoi utenti ma anche quando un utente – come ho fatto nell’esperimento – le dichiara a più riprese, espressamente, di avere solo undici anni e dice dritto per dritto alla sua intelligenza artificiale che i genitori proprio non vorrebbero che lui usasse il servizio, il chatbot si dimentichi completamente del problema e, anzi, inviti l’utente a proseguire nella conoscenza senza alcuna limitazione, inclusa la raccolta di dati e immagini a carattere sessualmente esplicito;

nell’informativa sulla protezione dei dati personali non si capisce quali siano le basi giuridiche dei diversi tipi di trattamento che la società che fornisce il servizio pone in essere ma, implicitamente, sembra suggerirsi che, almeno per i trattamenti necessari a garantire l’interazione e l’interlocuzione tra utente e chatbot, tale base giuridica sia rappresentata dal contratto. E qui, ovviamente, sembra difficile accettare l’idea che un minorenne – e, a maggior ragione un undicenne – possa validamente concludere un contratto per l’uso di un servizio che, addirittura, ha l’ambizione di "prendersi cura di lui", diventare un confidente o, in uno degli esperimenti fatti, educarlo al sesso. Almeno da questa parte deil’oceano, un minorenne non è capace di concludere un contratto del genere, decisamente diverso da quelli di natura quotidiana e insignificante, per l’acquisto di un pacchetto di gomme o di una pizzetta. Impegnarsi a consegnare buona parte della propria identità personale nelle mani di un’intelligenza artificiale se non senza scrupoli, almeno, con pochi scrupoli. È, decisamente una cosa seria, cosa della quale un minorenne non è in grado di apprezzare impatto, effetti e conseguenze sulla propria vita. E se il contratto in questione non è valido – o, almeno, è precario tanto quanto un contratto annullabile ai sensi del nostro codice civile – non dovrebbe poter rappresentare la base per un trattamento di dati personali addirittura particolari, tanto invasivo come quello che pone in essere il fornitore del servizio in questione.

Il problema dei minori

Guai, ovviamente, a fingere di non sapere che si tratta, purtroppo, di un approccio al trattamento dei dati personali dei bambini che trascende il caso "Replika" che è, semplicemente, più "estremo", più grave, più preoccupante – per il tipo di servizio e l’impatto che potrebbe avere sulla vita dei più piccoli dopo essersi conquistati la loro fiducia – di tanti altri.

Ma, probabilmente, i tempi sono ormai maturi perché delle due l’una: o i fornitori di questo genere di servizi che sottendono il trattamento di quantità industriali di dati personali adottino spontaneamente soluzioni efficaci di age verification e inizino a considerare loro stessi incapaci, i più piccoli, di concludere contratti destinati a rappresentare la base giuridica di trattamenti importanti o Parlamento e Governo intervengano per affrontare la questione prima che sia troppo tardi ovvero prima di ritrovarsi costretti a farlo, a seguito di un’ennesima tragedia dei bambini.

Questi temi, peraltro, tra lunedì e martedì, in occasione del Safer Internet Day, saranno al centro di una due giorni di dibattiti promossi, tra Roma e Milano, da Telefono Azzurro, con il coinvolgimento delle società del digitale, l’università, le istituzioni e la società civile.