Il Garante per la Protezione dei Dati Personali (GPDP) ammonisce Gedi sulla vendita dei dati personali contenuti negli archivi a OpenAI.
L’avvertimento formale si riferisce all’accordo tra Gedi e OpenAI del 24 settembre scorso con il quale OpenAI avrebbe accesso a citazioni attribuite, contenuti, link e alle pubblicazioni di Gedi. L’accordo potrebbe violare le disposizioni del Regolamento Ue e potrebbe causare l’applicazione di sanzioni previste dalla normativa vigente.
Ammonimento alle società coinvolte
Le storie personali, contenenti informazioni, dettagli e dati sensibili, non possono essere condivise con terzi senza che vengano prese le opportune precauzioni. Questo è il messaggio che il Garante per la Privacy ha formalmente inviato a Gedi.
L’avvertimento è rivolto a tutte le società affiliate coinvolte nell’accordo relativo alla cessione dei contenuti editoriali a OpenAI: Gedi News Network Spa, Gedi Periodici e Servizi Spa, Gedi Digital Srl, Monet Srl e Alfemminile Srl.
Termini dell’accordo OpenAI
L’accordo prevede che OpenAI diventi titolare autonomo del trattamento e in quanto tale possa utilizzare i contenuti forniti da Gedi per il training dei propri sistemi di IA e dei propri servizi.
Dunque, il GPDP ritiene che la Società non sia attualmente in grado di garantire agli utenti i diritti previsti dal Regolamento europeo sulla privacy, in particolare il diritto di opposizione.
Trattamento dei dati di natura particolare
Secondo l’Autorità, le attività di trattamento previste dall’accordo coinvolgono una quantità significativa di dati personali, inclusi quelli di natura sensibile e giudiziaria.
Inoltre, la valutazione d’impatto presentata da Gedi non fornisce un’analisi adeguata delle basi giuridiche che consentirebbero al gruppo di cedere o concedere in licenza i dati personali a OpenAI per l’addestramento dei suoi algoritmi.
Rischi e responsabilità del gruppo
Di conseguenza, a seguito di un’istruttoria avviata dal GPDP dopo i primi riscontri forniti dal gruppo, è arrivato l’avvertimento che sottolinea l’insufficienza degli obblighi informativi e di trasparenza verso gli interessati.
In sintesi, il gruppo Gedi rischia di commettere una violazione al Regolamento (Ue) 2016/679 del Parlamento europeo e del Consiglio, relativo alla protezione di persone fisiche con riguardo al trattamento dei dati personali.
Articolo di D.C.G.
