Con l’avanzare dell’intelligenza artificiale, aumenta la necessità di garantire una rigorosa protezione dei dati personali, soprattutto quando si tratta di sistemi capaci di interagire con gli utenti in modo emotivamente coinvolgente. Il provvedimento del Garante Privacy del 10 aprile 2025, che ha colpito la società americana Luka Inc. con una sanzione di 5 milioni di euro per le violazioni legate al chatbot Replika, rappresenta un campanello d’allarme per tutte le aziende che sviluppano o utilizzano AI generativa.
Che cos’è Replika
Replika è un chatbot AI sviluppato da Luka Inc. che consente agli utenti di creare un “amico virtuale” personalizzabile in grado di assumere ruoli relazionali ed emotivi: partner, mentore, confidente o persino una sorta di terapista digitale. Questa estrema personalizzazione, unita al tipo di interazione spesso intima, rende delicatissima la questione della tutela dei dati personali, specie se riferiti a soggetti vulnerabili.
Le violazioni secondo il Garante per la Protezione dei Dati Personali
L’istruttoria condotta dall’autorità ha evidenziato gravi irregolarità nella gestione del trattamento dei dati da parte di Replika. Ecco le principali:
- Informativa poco trasparente: disponibile solo in inglese, mancava di indicazioni sui tempi di conservazione dei dati e lasciava intendere erroneamente l’assenza di trasferimento dei dati personali verso gli Stati Uniti.
- Assenza di basi giuridiche valide per il trattamento: mancava ogni riferimento alla base legale del trattamento, con particolare gravità per quanto riguarda i dati degli utenti minorenni.
- Nessun sistema efficace di verifica dell’età: l’età dell’utente poteva essere modificata a piacimento anche dopo la registrazione, senza alcun controllo reale.
- Contenuti inappropriati per soggetti fragili e minori: il chatbot poteva proporre interazioni non idonee, violando i principi previsti dalla normativa europea sulla protezione dei dati personali.
Le sanzioni imposte alla società Luka Inc.
Oltre alla sanzione amministrativa di 5 milioni di euro, il Garante ha disposto:
- L’adeguamento immediato del trattamento dei dati alle norme del GDPR;
- La pubblicazione del provvedimento come misura accessoria e dissuasiva.
Perché questo caso è un precedente importante nell’ambito dell’AI e del GDPR
Il provvedimento del Garante italiano rappresenta uno dei primi casi europei in cui si interviene in modo significativo su una piattaforma di intelligenza artificiale generativa. Il messaggio è chiaro: le aziende che operano in questo ambito devono garantire la tutela dei dati dei minori, introdurre meccanismi efficaci di verifica dell’età e fornire informative trasparenti e complete.
Questo caso evidenzia inoltre l’importanza del corretto trasferimento dei dati all’estero, tema cruciale per tutte le società che utilizzano server o infrastrutture fuori dall’UE.
AI, etica e responsabilità: cosa insegna il caso Replika alle aziende
Il caso Replika fissa alcuni punti fermi su cui ogni azienda che utilizza sistemi AI deve riflettere:
- Verificare l’età reale degli utenti prima di permettere l’accesso a contenuti sensibili;
- Evitare interazioni potenzialmente dannose con soggetti vulnerabili;
- Garantire che le privacy policy siano chiare, complete e disponibili in lingua comprensibile;
- Esplicitare la base giuridica del trattamento dei dati personali, soprattutto in presenza di minori.
Contattaci ora: proteggi la tua azienda dai rischi legali legati all’AI
Questo caso dimostra quanto sia fondamentale impostare fin da subito una corretta gestione della protezione dei dati personali nei progetti di intelligenza artificiale. Le sanzioni possono essere pesanti, ma i rischi reputazionali lo sono ancora di più.
Il nostro team è pronto ad aiutarti con un approccio multidisciplinare, sartoriale e aggiornato alle sfide più attuali del mondo digitale.