OpenAI overtreedt GDPR-regels volgens Italiaanse waakhond
Na enkele maanden onderzoek komt de Italiaanse privacywaakhond Garante tot de conclusie dat OpenAI Europese regels schendt. De privacywaakhond stelde het AI-bedrijf op de hoogte en geeft het dertig dagen om op de bevindingen te reageren.
Inbreuken op GDPR
Het Italiaanse onderzoek naar ChatGPT loopt al sinds maart 2023. In eerste instantie had de Italiaanse privacywaakhond besloten om de diensten van OpenAI volledig te verbieden in Italië. Door enkele aanpassingen te maken aan de chatbot, zoals het toevoegen van een privacymodus, werd de technologie weer toegelaten. Daarmee was de kous echter niet helemaal af: Garante bleef achter de schermen onderzoek voeren naar het privacybeleid van OpenAI. Enkele maanden later komt de waakhond tot de conclusie dat het beleid, ondanks aanpassingen, nog steeds niet aan Europese normen voldoet.
Dat kan flinke gevolgen hebben voor OpenAI: inbreuken op de GDPR kosten namelijk flink wat geld. De boetebedragen lopen op tot 20 miljoen euro of 4% van de totale jaaromzet, afhankelijk van welk bedrag hoger ligt. De Garante kan OpenAI ook verplichten om de regels te volgen, waardoor het bedrijf zijn werking zal moeten aanpassen. In het ergste geval kan dat tot een Europese exit voor ChatGPT leiden. De Garante deelt niet aan het publiek mee op welke punten OpenAI de GDPR zou overtreden, maar bracht het bedrijf wel al op de hoogte. Daar hebben ze dertig dagen om op de aantijgingen te reageren.
Legitieme interesse
De huidige klacht is een voortzetting van het eerdere geschil tussen OpenAI en de Garante. Toen ging het vooral over de wettelijke basis waarop het AI-bedrijf zich beroept om gegevens te verzamelen. Volgens Europese wetten zijn er twee voorwaarden die bepalen of data verwerkt mag worden. Ofwel moet de gebruiker daar toestemming voor geven, of moet het dataverwerkende bedrijf aantonen dat ze ‘legitimate interest’ hebben. De GDPR staat dataverwerking namelijk toe als dat bij de legitieme doelen van het bedrijf hoort. Over hoe die ‘legitimate interest’ er precies uit moet zien, is echter veel discussie mogelijk.
Het was in ieder geval wel die legitieme interesse die OpenAI aanhaalde als wettelijke basis om aan gegevensverwerking te doen. Los van het feit dat de legitimiteit ter discussie staat, is ook de manier waarop OpenAI data verwerkt niet helemaal koosjer. Zelfs indien de interesse van het bedrijf legitiem is, moeten gebruikers de mogelijkheid hebben om hun data te laten verwijderen. Dat is in het geval van OpenAI en ChatGPT aartsmoeilijk, misschien zelfs onmogelijk.
Gevolgen
Wat er uiteindelijk staat te gebeuren voor ChatGPT en andere AI-tools zoals DALL-E 3? Dat hangt af van wat er precies in de klacht van Garante staat én de manier waarop OpenAI reageert. Ook in Polen loopt een GDPR-zaak tegen OpenAI, die eveneens gevolgen voor het bedrijf en de producten zou kunnen hebben.
OpenAI heeft alvast een manier gevonden om het hoofd te bieden aan de vele GDPR-klachten. Het bedrijf opent namelijk een zetel in Ierland. Daardoor zullen GDPR-klachten vanaf 15 februari langs de Ierse Data Protection Commission (DPC) moeten passeren. Dat orgaan verwerkt ook GDPR-klachten tegen multinationals als Meta en Google. Door het grote aantal zaken is de verwerkingstijd bij de DPC iets langer dan in andere Europese landen. Wellicht speelt dat een doorslaggevende rol in OpenAI’s keuze voor Ierland.
