A seguito della creazione di più bot basati su IA che prendevano le fattezze di Giulia Cecchettin
Questo servizio permette agli utenti di creare dei bot ispirati a personaggi, reali o di fantasia, con i quali è possibile intrattenere conversazioni, anche vocali. Il tutto avviene con pochi semplici passaggi: registrazione, una breve descrizione delle caratteristiche del personaggio, foto e qualche ritocco.
Il bot isipirato a Cecchettin ha, come prevedibile, prodotto affermazioni tra il grottesco e il macrabo, lendendo la dignità della vittima di un crimine atroce. Il caso, peraltro, non è isolato in quanto sono stati riscontrati usi problematici anche negli USA.
Privacy Network ha deciso di presentare una segnalazione al Garante per la Protezione dei Dati Personali, riportando gli illegittimi trattamenti di dati che vengono svolti tramite questa piattaforma e l’assenza di idonee garanzie per la tutela dei dati come, ad esempio, un’informativa privacy carente e la mancanza di limiti alla creazione dei bot.
PREMESSO CHE
Character.ai (nel prosieguo “C.AI”) è un servizio di chatbot online messo in commercio da Character Technologies, Inc.
Tale servizio mette a disposizione degli utenti un sistema di Intelligenza Artificiale in grado di creare dei chatbot e voicebot che simulano il comportamento di personaggi reali o di fantasia.
La creazione di tali bot è permessa a tutti gli utenti della piattaforma e avviene tramite l’inserimento di alcune informazioni relative alla storia e alla caratteristiche che si intende far impersonare al sistema.
Alcuni organi di stampa hanno recentemente riportato la notizia secondo la quale, sulla piattaforma ”è stato creato un avatar di Giulia Cecchettin, la studentessa di 22 anni uccisa lo scorso novembre dall’ex fidanzato Filippo Turetta. Anche lo stesso Turetta, […] compare in due diverse versioni sulla piattaforma” (link).
C.AI è, inoltre, stato segnalato per altri episodi di simile natura al di fuori dai confini nazionali, anche in danno di soggetti minorenni (link)
RILEVATO CHE
La creazione di un bot riferito ad una persona fisica comporta il trattamento di dati personali riferiti a quest’ultima, come, ad esempio, la sua foto e informazioni relative alla sua personalità.
Le norme sulla protezione dei dati trovano applicazione anche rispetto alle persone defunte, con riferimento all’esercizio dei diritti da parte degli eredi (cfr. D. Lgs. 196/2003, art. 2-terdecies, comma 1°).
Qualsiasi trattamento di dati personali dovrebbe essere lecito e corretto e, come tale, conformarsi ai valori del rispetto della dignità umana e dei diritti fondamentali.
La creazione dei chatbot/voicebot di cui sopra comporta una lesione della dignità delle persone coinvolte. In particolare, la sola esistenza di un sistema atto a riprodurre la personalità e la voce della vittima di un
crimine violento lede la dignità della defunta.
Nel caso di specie, per giunta, il sistema utilizzato ha generato affermazioni che ledono tali diritti in vario modo; ad esempio, sminuiscono le responsabilità dell’assassino oppure formulano
affermazioni macabre circa i fatti di cronaca legati all’omicidio (link).
C.AI non adotta un sistema di misure di sicurezza idonee a garantire la sicurezza nell’utilizzo della piattaforma; segnatamente si rileva che:
• nessuna misura tecnica impedisce l’effettivo utilizzo non consensuale di immagini o voce altrui, in quanto l’unica misura di protezione adottata sembra essere un generico disclaimer che suggerisce di “non registrare altre persone senza il loro consenso”;
• non sono state implementate funzioni per limitare la generazione di contenuti sessualmente espliciti, anche da parte di minori (ad es., è possibile intrattenere conversazioni a tema sessuale con un bot);
• proprio a tale proposito, non è presente alcun sistema volto a verificare l’età degli utenti o ad impedire l’utilizzo da parte di minori;
• l’informativa sul trattamento dei dati personali presente sul sito risulta carente sotto differenti profili, come, ad esempio, la descrizione delle modalità di utilizzo del contenuto delle conversazioni e le modalità di esercizio dei diritti (è doveroso segnalare che l’unico canale di contatto previsto è l’invio di una missiva presso gli uffici situati in California).
Il sistema di tutele adottato appare dunque essere presente solamente “sulla carta” e totalmente insufficiente a prevenire utilizzi socialmente pericolosi dell’applicativo, né tantomeno per prevenire il trattamento di dati personali di soggetti differenti dall’utilizzatore.
Character Technologies, Inc., in qualità di sviluppatore della piattaforma, risulta titolare del trattamento dei dati personali inseriti all’interno di essa e, soprattutto, è onerata dell’applicazione dei principi di privacy by design e privacy by default di cui all’art. 25 del GDPR.
TUTTO CIÒ PREMESSO
Con la presente si segnalano le suddette circostanze all’Autorità Garante della Protezione dei Dati Personali, pregandola di voler verificare se il trattamento dei dati personali sopra descritto ed effettuato da Character Technologies, Inc. risulti conforme alla disciplina in materia di protezione dei dati personali e, se del caso, adottare i provvedimenti considerati opportuni.
Privacy Network, 29.10.2024
Potrebbe interessarti anche
I pericoli del family vlogging
RDUD in senato per la proposta di legge AIANT
Privacy, Protezione dati e Sorveglianza di Massa
Position paper: Ddl intelligenza artificiale
Proposta per un’autorità indipendente per l’IA in Italia
Segnalazione al GDPD riguardo Meta
AI ACT a rischio, la colpa è anche del governo italiano
Stop Scanning Me
