No passado dia 31 de março, a Autoridade de Proteção de Dados Italiana (doravante, GPDP, na sigla italiana) impôs à OpenAI, empresa com sede nos EUA que desenvolve e gere a plataforma ChatGPT, uma limitação temporária ao tratamento de dados dos utilizadores italianos, prevista na alínea f), do número 2, do artigo 58.º do Regulamento Geral de Proteção de Dados (doravante, RGPD).
Em linha com o relato de 20 de março de 2023 relativo a uma violação de dados, através da partilha de conversas e de informações dos pagamentos dos utilizadores do ChatGPT, a GPDP emitiu um Comunicado, a 31 de março, no qual acusou a OpenAI de violar os artigos 5.º, 6.º, 8.º, 13.º e 25.º do RGPD.
Entre os fundamentos dessa violação, encontram-se: i) o não fornecimento de qualquer informação aos usuários e aos titulares de dados sobre a recolha e tratamento dos seus dados pelo ChatGPT, ii) a falta de base legal que legitime a recolha e o tratamento em massa dos dados pessoais para fins de “treino dos algoritmos” subjacentes ao funcionamento do ChatGPT, iii) o tratamento impreciso de informações e dados pessoais dos usuários, e iv) a ausência de qualquer ferramenta para verificação da idade dos utilizadores do ChatGPT que, segundo os termos da OpenAI, é reservado a indivíduos com pelo menos treze anos de idade.
A OpenAI, não estabelecida na União Europeia, nomeou um representante no Espaço Económico Europeu encarregue de notificar a GPDP, no prazo de 20 dias, das medidas implementadas para cumprir as recomendações feitas pela Autoridade de Proteção de Dados Italiana (obrigação que deve ser cumprida, sob pena de uma coima, nos termos da alínea e), do número 5, do artigo 83.º do RGPD).
A OpenAI enviou duas cartas a 6 e 7 de abril de 2023, em que afirmou estar disposta a cooperar com a GPDP, a fim de cumprir o RGPD, e solicitou o levantamento da medida de limitação temporária do tratamento de dados.
Através do Comunicado de 12 de abril, a GPDP concordou com o solicitado pela OpenAI, desde que esta implementasse as medidas previstas no artigo 58.º do RGPD até dia 30 de abril de 2023. Entre as medidas, conta-se a elaboração e a publicação no seu site de um aviso informativo descrevendo a lógica do processamento de dados necessários para a operação do ChatGPT, e os direitos concedidos aos titulares de dados, utilizadores e não utilizadores.
Além destas medidas, a OpenAI deve, ainda, apresentar um plano para a implementação de ferramentas de verificação de idade até 31 de maio de 2023 (e implementá-lo até 30 de setembro de 2023), bem como promover uma campanha de informação até 15 de maio de 2023, para dar nota aos indivíduos da possibilidade de os seus dados terem sido recolhidos pelo ChatGPT, bem como informar das ferramentas às quais os utilizadores podem recorrer para solicitar a retificação ou exclusão dos seus dados pessoais.
Em razão destes acontecimentos, o Conselho Europeu de Proteção de Dados (EDPB, na sigla inglesa), que reúne as Autoridades Nacionais de Proteção de Dados, decidiu criar uma task-force europeia dedicada à plataforma ChatGPT, com o objetivo de promover a cooperação e o intercâmbio de informações nos Estados Membros da União Europeia nesta matéria. Nesse sentido, vários Estados, entre os quais França, Alemanha, Irlanda e Espanha, estão já a investigar possíveis violações do RGPD. Quem será o próximo?
- Ver aqui Procedimento de 30 de março e Comunicado de 31 de março
- Ver aqui RGPD
- Ver aqui Procedimento de 11 de abril e Comunicado de 12 de abril
- Ver aqui Comunicado da EDPB
* FONTE: POLITICO, 31.03.2023 (https://www.politico.eu/article/italian-privacy-regulator-bans-chatgpt/).
Artigo Redigido por Diana Godinho, Revisto por Martina Pereira Gonçalves e Joana Dias