“Replika” è una chatbot dotata di una interfaccia scritta e vocale che - basandosi sull’intelligenza artificiale - genera un “amico virtuale” che l’utente può decidere di configurare come amico, partner romantico o mentore (“Replika” o l’”Applicazione”). Più dettagliatamente, sembrerebbe che Replika sia in grado di migliorare il benessere emotivo dell’utente, aiutandolo a comprendere i suoi pensieri e i suoi sentimenti, a tenere traccia del suo umore, ad apprendere capacità di coping (ossia, di controllo dello stress) a calmare l'ansia e a lavorare verso obiettivi come il pensiero positivo, la gestione dello stress, la socializzazione e la ricerca dell'amore. Tali caratteristiche, riconducibili principalmente ad interventi sull’umore della persona, sono state ritenute potenzialmente idonee ad accrescere i rischi per i minori d’età e, più in generale, per le persone in stato di fragilità emotiva, anche in considerazione della proposizione agli stessi di risposte assolutamente inidonee al loro grado di sviluppo (ad esempio, diverse recensioni pubblicate nei principali “App store” contengono commenti di utenti che lamentano contenuti sessualmente inopportuni forniti dalla stessa Applicazione). Per tale ragione, l’Autorità Garante per la protezione dei dati personali (“Garante Privacy” o l’“Autorità”) – con il provvedimento dello scorso 2 febbraio 2023 - ha disposto con effetto immediato, nei confronti della società statunitense Luka Inc. che sviluppa e gestisce Replika, la limitazione provvisoria del trattamento dei dati personali degli utenti italiani. Alla base della decisione del Garante Privacy sono poste problematiche connesse al trattamento dei dati personali dei minori. Infatti, come rilevato dall’Autorità, Replika – sebbene nella propria privacy policy dichiari di non raccogliere consapevolmente dati personali di minori di età inferiore ai 13 anni e incoraggi i genitori e i tutori legali a (i) monitorare l’utilizzo di Internet da parte dei propri figli, (ii) rispettare la privacy policy istruendo i minori a non fornire dati personali nell’ambito dell’utilizzo dell’applicazione senza la loro autorizzazione e (iii) a contattare la piattaforma nell’ipotesi in cui abbiano motivo di ritenere che un minore abbia fornito dati personali affinché questi possano essere eliminati dai database – tuttavia durante la fase di creazione di un account, l’Applicazione non prevede alcuna procedura di verifica e controllo dell’età dell’utente (di cui il sistema chiede unicamente nome, e-mail e genere), né tantomeno meccanismi di interdizione o blocco dell’utente stesso a fronte di dichiarazioni che esplicitino la sua minore età. Inoltre, il Garante Privacy ha ritenuto che la privacy policy dell’Applicazione non può ritenersi conforme ai principi e agli obblighi in tema di trasparenza previsti dal Regolamento UE 679/2016 (“GDPR”), in quanto non vengono identificati gli elementi essenziali del trattamento con particolare riguardo all’utilizzo dei dati personali dei minori, ponendosi quindi in contrasto con l’art. 13 del GDPR. Ne consegue quindi anche l’impossibilità di individuare la base giuridica delle varie operazioni di trattamento effettuate da Replika, dovendosi in ogni caso escludere che, con riguardo in particolare ai minori, questa possa – anche solo implicitamente – essere rinvenuta nella disciplina contrattuale, attesa la riconosciuta incapacità dei minori nell’ordinamento italiano di concludere contratti per la fruizione di servizi quale quello in esame. Dall’analisi condotta dall’Autorità, deriva una chiara violazione degli artt. artt. 5 (Principi applicabili al trattamento di dati personali), 6 (Liceità del trattamento), 8 (Condizioni applicabili al consenso dei minori in relazione ai servizi della società dell’informazione), 9 (Trattamento di categorie particolari di dati personali) e 25 (Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita) del GDPR. Alla luce delle violazioni sopra individuate, l’Autorità ha disposto nei confronti della società sviluppatrice dell’Applicazione, in via d’urgenza, la misura della limitazione provvisoria del trattamento di tutti i dati personali degli utenti stabiliti nel territorio italiano, invitando la predetta società a comunicare, entro 20 giorni, le misure intraprese in attuazione di quanto richiesto dal Garante Privacy, pena una sanzione fino a 20 milioni di euro o fino al 4% del fatturato globale annuo. Conclusioni L’intelligenza artificiale (“AI”) non è fantascienza, fa già parte delle nostre vite: che si tratti di utilizzare un assistente personale virtuale per organizzare la nostra giornata lavorativa, viaggiare in un veicolo a guida autonoma o avere un telefono che ci suggerisce le canzoni o i ristoranti che potrebbero piacerci, l’IA è una realtà che, in modo sempre più pervasivo, influenza la quotidianità di numerosi individui. Lo sviluppo tecnologico, le interazioni con tecnologie facenti uso di software di AI, la raccolta massiva di big data e la rielaborazione degli stessi attraverso tecniche e strumenti di machine learning, hanno rappresentato per il legislatore europeo un importante campanello di allarme per cominciare a strutturare un quadro normativo in grado di permettere lo sviluppo tecnologico senza mettere a repentaglio i diritti fondamentali dell’individuo e i valori europei. A tal fine, le istituzioni europee – già a partire dal 2018 – avevano manifestato la loro intenzione di ritagliarsi un ruolo proattivo in materia di intelligenza artificiale, stanziando investimenti consistenti sul relativo mercato, nonché implementando un quadro normativo solido volto a supportare lo sviluppo dell’AI attraverso la creazione di un ambiente improntato sulla fiducia e sulla responsabilità sia delle imprese che delle persone. In considerazione di questi intenti, la Commissione europea ha presentato, nell’aprile del 2021, l’Artificial Intelligence Act (“AI ACT”), una proposta di regolamento europeo che rappresenta il primo tentativo al mondo di regolamentazione di questo settore, volto a stabilire regole armonizzate sull’AI. Nello specifico, l’AI ACT classifica le applicazioni di AI in tre categorie di rischio di impatto negativo su diritti fondamentali quali la dignità umana, la libertà, l’uguaglianza, la democrazia, il diritto alla non discriminazione, la protezione dei dati, nonché la salute e la sicurezza. Infatti, tanto più le applicazioni sono in grado di minacciare questi diritti, quanto più severe saranno le misure adottate per eliminare o mitigare l'impatto negativo sui diritti fondamentali, fino al divieto assoluto di utilizzo di quei prodotti che sono completamente incompatibili con questi diritti. A dicembre 2022, il Consiglio dell’Unione Europea ha raggiunto una posizione comune sulla proposta di regolamento e si attende che anche il Parlamento europeo adotti la propria posizione prima del trilogo finale tra le tre principali istituzioni comunitarie che dovrà conciliare i testi che dovranno poi essere ratificati perché la proposta diventi legge. Si prospetta la chiusura di questo iter, e quindi l’adozione dell’AI ACT entro la fine dell’anno.
