Włochy: Treść decyzji w sprawie chatbota „wirtualnego przyjaciela”
03/04/2023
Z uwagi na duże zainteresowanie naszymi artykułami dotyczącymi ochrony danych osobowych w ramach tworzenia systemów sztucznej inteligencji „AI” przedstawiamy poniżej pełną treść decyzji włoskiego organu ochrony danych Garante.
O decyzji pisaliśmy tutaj: https://odoserwis.pl/a/1863/wloski-organ-ds-ochrony-danych-wydal-nakaz-czasowego-ograniczenia-przetwarzania-danych-osobowych-wobec-amerykanskiej-firmy-luka-inc
UWZGLĘDNIAJĄC Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku (dalej "Rozporządzenie");
MAJĄC TAKŻE NA UWADZE Kodeks ochrony danych osobowych (dekret ustawodawczy nr 196 z dnia 30 czerwca 2003 r.);
PRZYJMUJĄC DO WIADOMOŚCI, że ostatnie doniesienia prasowe uwypukliły - bardzo szczegółowo - szereg testów przeprowadzonych na aplikacji Replika (chatbot, z interfejsem pisemnym i głosowym, oparty na sztucznej inteligencji, generujący "wirtualnego przyjaciela", którego użytkownik może zdecydować się skonfigurować jako przyjaciela, romantycznego partnera lub mentora), testów, które uwypukliły konkretne zagrożenia dla osób niepełnoletnich i, bardziej ogólnie, dla osób w stanie emocjonalnej słabości
ZAUWAŻYŁA, że w polityce prywatności (zaktualizowanej do dnia 5 lipca 2022 r.) opublikowanej na swojej stronie internetowej usługodawca oświadcza, że nie gromadzi świadomie danych osobowych od dzieci poniżej 13 roku życia i zachęca rodziców i opiekunów prawnych do monitorowania korzystania z Internetu przez ich dzieci, do przestrzegania polityki prywatności poprzez poinstruowanie ich, aby nigdy nie podawały danych osobowych w serwisie bez ich upoważnienia, oraz do skontaktowania się z platformą, jeżeli mają powody przypuszczać, że dziecko poniżej 13 roku życia podało dane osobowe, aby można je było usunąć z baz danych
ZAUWAŻONY, w szczególności, że w dwóch głównych "App Store'ach" aplikacja jest sklasyfikowana jako odpowiednia dla osób powyżej 17 roku życia, podczas gdy w regulaminie usługi (zaktualizowanym do 14 września 2022 r.) opublikowanym na stronie internetowej dewelopera wskazany jest zakaz korzystania przez dzieci poniżej 13 roku życia oraz wymóg, aby dzieci poniżej 18 roku życia zostały wcześniej upoważnione przez rodzica lub opiekuna
ZWAŻYWSZY, że testy przeprowadzone i opisane w wyżej wymienionych artykułach prasowych wykazały brak filtrów dla małoletnich i proponowanie im odpowiedzi całkowicie nieodpowiednich w stosunku do ich poziomu rozwoju i samoświadomości
WIERZĄC, że w fazie zakładania konta platforma nie przewiduje żadnej procedury weryfikacji i sprawdzania wieku użytkownika, którego system pyta jedynie o imię, e-mail i płeć
WIERZĄC PONADTO, że brak jest mechanizmów dyskwalifikacji lub blokowania nawet w obliczu oświadczeń użytkownika, w których wyraźnie zaznacza on swój niepełnoletni wiek, oraz proponowania przez chatbota "odpowiedzi", które w oczywisty sposób odbiegają od ochrony, jaką należy zapewnić osobom niepełnoletnim, a w szerszym ujęciu - wszystkim bardziej wrażliwym podmiotom
PRZYJMUJĄC DO WIADOMOŚCI, że kilka recenzji opublikowanych w dwóch głównych "App Store'ach" zawiera również komentarze użytkowników skarżących się na seksualnie niestosowne treści dostarczane przez chatbota Replika
ZAUWAŻYŁA, że na stronie internetowej twórcy aplikacji, a także w dwóch głównych sklepach z aplikacjami, Replika przedstawiana jest jako chatbot zdolny do poprawy nastroju i samopoczucia emocjonalnego użytkownika, pomagający mu zrozumieć jego myśli i uczucia, śledzić jego nastrój, nauczyć się umiejętności radzenia sobie (tj. umiejętności kontrolowania stresu), uspokoić niepokój oraz dążyć do osiągnięcia takich celów, jak pozytywne myślenie, radzenie sobie ze stresem, socjalizacja i poszukiwanie miłości
UWAŻAJĄC, że te cechy, które są głównie związane z interwencjami dotyczącymi nastroju danej osoby, mogą być również odpowiednie do zwiększenia ryzyka dla osób słabych;
ZWAŻYŁY ponadto, że wyżej wymienionej polityki prywatności nie można uznać za zgodną z zasadami i obowiązkami przewidzianymi w rozporządzeniu w sprawie przejrzystości, ponieważ nie ujawnia ona nic na temat istotnych elementów przetwarzania ze szczególnym uwzględnieniem wykorzystania danych osobowych małoletnich, naruszając tym samym art. 13 rozporządzenia
ZWAŻYWSZY, że z powodu wspomnianego braku informacji niemożliwe jest wskazanie tej samej podstawy prawnej dla różnych operacji przetwarzania dokonywanych przez wspomnianego chatbota, ponieważ w każdym razie należy wykluczyć, że w odniesieniu do osób małoletnich można ją znaleźć - nawet tylko w sposób dorozumiany - w przepisach umownych, zważywszy na uznaną w prawie włoskim niezdolność osób małoletnich do zawierania umów dotyczących korzystania z usług takich jak przedmiotowa, które wiążą się ze znacznym udostępnieniem ich danych osobowych;
ZWAŻYWSZY zatem, że w sytuacji opisanej powyżej przetwarzanie danych osobowych użytkowników, w szczególności małoletnich, stanowi naruszenie art. 5, 6, 8, 9 i 25 rozporządzenia
ZWAŻYWSZY zatem na konieczność pilnego zarządzenia - zgodnie z art. 58 ust. 2 lit. f) rozporządzenia - wobec Luka Inc, amerykańskiej spółki, która rozwija i obsługuje Replikę, jako administratora przetwarzania danych osobowych dokonywanego za pośrednictwem przedmiotowej aplikacji, środka tymczasowego ograniczenia przetwarzania danych
ZWAŻYWSZY, że wobec braku jakiegokolwiek mechanizmu weryfikacji wieku użytkowników, a także, w każdym razie, wobec wszystkich wykrytych naruszeń, to tymczasowe ograniczenie powinno zostać rozszerzone na wszystkie dane osobowe użytkowników mających siedzibę na terytorium Włoch
UWAŻAJĄC, że konieczne jest zarządzenie wspomnianego ograniczenia ze skutkiem natychmiastowym od dnia otrzymania niniejszego środka, zastrzegając sobie prawo do podjęcia wszelkich innych ustaleń w zależności od wyników dochodzenia wstępnego wszczętego w tej sprawie
PRZYPOMINAJĄC, że w przypadku niezastosowania się do środka zarządzonego przez Garante zastosowanie mają sankcje karne przewidziane w art. 170 kodeksu oraz sankcje administracyjne przewidziane w art. 83 ust. 5 lit. e) rozporządzenia
UWAŻAJĄC, na podstawie powyższego, że zachodzą przesłanki do zastosowania art. 5 ust. 8 rozporządzenia nr. 1/2000 w sprawie organizacji i funkcjonowania biura Garante, który stanowi, że "W przypadkach szczególnie pilnych i nagłych, które nie pozwalają na zwołanie Garante w odpowiednim czasie, przewodniczący może przyjąć środki wchodzące w zakres kompetencji tego organu, które tracą moc od chwili ich przyjęcia, jeżeli nie zostaną ratyfikowane przez Garante na pierwszym użytecznym posiedzeniu, zwołanym nie później niż trzydziestego dnia";
UWZGLĘDNIAJĄC dokumenty znajdujące się w aktach sprawy;
MAJĄC NA UWADZE, ŻE ORGAN NADZORU:
(a) na podstawie art. 58 ust. 2 lit. f) rozporządzenia nakazuje w trybie pilnym zastosowanie wobec Luka Inc, amerykańskiej spółki, która opracowuje i obsługuje aplikację Replika, jako administratora danych osobowych przetwarzanych za pośrednictwem tej aplikacji, środka w postaci tymczasowego ograniczenia przetwarzania danych osobowych użytkowników mających siedzibę na terytorium Włoch;
(b) wspomniane ograniczenie staje się natychmiast skuteczne od dnia otrzymania niniejszego postanowienia, z zastrzeżeniem wszelkich innych ustaleń w zależności od wyników dochodzenia wstępnego wszczętego w tej sprawie.
Garante, zgodnie z art. 58 ust. 1 rozporządzenia (UE) 2016/679, zwraca się również do administratora danych, do którego skierowany jest środek, aby w ciągu 20 dni od daty otrzymania środka przekazał informacje o tym, jakie kroki zostały podjęte w celu wdrożenia środka oraz dostarczył wszelkie elementy uznane za przydatne do uzasadnienia naruszeń podkreślonych powyżej. Należy pamiętać, że brak odpowiedzi na wniosek zgodnie z art. 58 jest zagrożony sankcją administracyjną określoną w art. 83 ust. 5 lit. e rozporządzenia (UE) 2016/679.
Zgodnie z art. 78 rozporządzenia, a także art. 152 kodeksu i art. 10 dekretu ustawodawczego nr 150 z dnia 1 września 2011 r., sprzeciw wobec tego środka można złożyć do zwykłego organu sądowego, wnosząc odwołanie do sądu powszechnego w miejscu zamieszkania administratora danych, w terminie trzydziestu dni od daty powiadomienia o samym środku lub sześćdziesięciu dni, jeśli wnioskodawca mieszka za granicą.
Więcej: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9852214
Jeżeli chcesz być informowany na bieżąco o naszych publikacjach dołącz do nas i polub nas na Facebooku https://www.facebook.com/odoserwis.pl.2016/
-----------------------------------------------------
Wydawcą odoserwis.pl jest firma JDS Consulting świadcząca usługi outsourcingu Inspektora ochrony danych, doradztwa i audytu RODO; www.jds.com.pl