Sanzione del Garante per un chatbot basato sull’IA con privacy policy e verifica dell’età non conformi
Martedì, 20 maggio 2025
Con un comunicato stampa diffuso ieri, il Garante della privacy ha reso nota l’erogazione di una sanzione pari a 5 milioni di euro nei confronti di una società statunitense che gestisce un chatbot basato su un sistema di intelligenza artificiale generativa, a fronte di alcune violazioni in materia di privacy.
In particolare, la privacy policy della citata società, disponibile soltanto in lingua inglese, è risultata non conforme al GDPR, non indicando in modo puntuale i periodi di conservazione dei dati personali e generando un errato convincimento negli interessati in merito al trasferimento di tali dati verso gli Stati Uniti.
Il Garante Privacy ha inoltre bocciato il sistema di verifica dell’età impiegato dal titolare del trattamento, considerato che:
- dopo la creazione del profilo, l’utente può modificare la data di nascita, senza che a ciò segua alcuna verifica da parte del titolare del trattamento;
- il cooling off period (“periodo di raffreddamento”) di 24 ore non opera laddove l’utente crei il profilo utilizzando la navigazione in incognito; una volta fallito il primo controllo dell’età, è infatti possibile completare con successo la registrazione al servizio modificando l’indirizzo mail;
- non sono stati predisposti meccanismi di analisi linguistica che richiedano agli utenti di riconfermare la propria età in presenza di chiari segnali che identifichino un utente minorenne.
Vietata ogni riproduzione ed estrazione ex art. 70-quater della L. 633/41
