Sanzione di 5 milioni di euro per la società statunitense Luka Inc., che gestisce il controverso chatbot Replika: poca chiarezza sulla tutela dei dati personali degli iscritti.
Il Garante della Protezione dei Dati Personali (GPDP), oltre a confermare le violazioni contestate nel febbraio del 2023, ha avviato un’indagine sulle modalità di addestramento del modello di Intelligenza Artificiale (IA) generativa alla base di Replika.
Un amico virtuale
Il chatbot, sviluppato nel 2017, è stato presentato come un amico virtuale che consente un’interazione utente-IA scritta o vocale. L’utente può personalizzare il chatbot, attribuendogli il ruolo di confidente, terapista o partner. Attraverso queste funzioni, secondo l’azienda, Replika sarebbe in grado di migliorare l’umore e il benessere emotivo di chi la utilizza, aiutandolo a gestire ansia e stress.
Gli utenti, chattando e interagendo con Replika, permettono al sistema di conoscerli meglio, di conseguenza la personalità e le risposte del chatbot risulteranno più spontanee e naturali.
Minori esposti e privacy violata
La società era già finita nell’occhio del ciclone quando nel febbraio 2023 il Garante aveva disposto il blocco dell’applicazione: l’azienda non controllava l’età degli utenti, esponendo i minori al rischio di accedere a contenuti inadatti e mancava un presupposto giuridico che legittimasse un trattamento dei dati così invasivo.
Il Garante ha quindi accertato le violazioni, aggiungendo che Luka aveva fornito una privacy policy inadeguata sotto vari profili e che, a seguito di accertamenti tecnici, il sistema di verifica dell’età rimane ancora oggi carente.
Ancora sotto esame: nuova indagine sui dati
Oltre alla sanzione multimilionaria, Replika è ora chiamata a conformarsi alle disposizioni del Regolamento europeo e il Garante ha già avviato una nuova indagine. L’istruttoria mira a chiarire le procedure di trattamento dei dati utilizzati per l’addestramento dei modelli linguistici del chatbot. In particolare, al centro dell’indagine ci sono le misure di sicurezza adottate, la trasparenza nella comunicazione con gli utenti e l’eventuale pseudonimizzazione o anonimizzazione dei dati.
Articolo di A.G.
