Con Provvedimento del 2 febbraio 2023 l’Autorità Garante per la protezione dei dati personali (di seguito, per brevità, Garante o Autorità) ha disposto, con effetto immediato, la limitazione provvisoria del trattamento dei dati per la società statunitense che sviluppa e gestisce l’applicazione “Replika”, un chatbot dotato di interfaccia scritta e vocale che, basandosi sull’intelligenza artificiale, genera un “amico virtuale”, presentato dagli sviluppatori come in grado di migliorare l’umore e il benessere emotivo dell’utente, aiutandolo a comprendere i suoi pensieri e i suoi sentimenti, a tenere traccia del suo umore, a calmare l’ansia e a lavorare su pensiero positivo, gestione dello stress, socializzazione e ricerca dell’amore.
Tutto ciò sarebbe reso possibile dalla capacità dei chatbot di simulare ed elaborare le conversazioni umane (scritte o parlate), consentendo agli utenti di interagire in modo colloquiale con i dispositivi digitali, come se stessero comunicando con una persona reale. I chatbot possono essere semplici programmi che rispondono in maniera predefinita a una query o applicazioni più sofisticate in grado di elaborare dati ed evolvere, per fornire un livello crescente di personalizzazione e simulazione sempre più precisa del rapporto umano.
Nel caso di specie il chatbot Replika, reperibile negli store digitali ormai da qualche anno, ha recentemente attirato l’attenzione su di sé a causa di alcune recensioni che lamentavano contenuti inopportuni ed espliciti, tali da turbare alcuni utenti.
Il Garante privacy, alla luce delle recenti notizie, ha attenzionato l’applicazione e, in esito ad alcune prove, l’ha ritenuta rischiosa per minori di età e persone in situazioni di fragilità emotiva, tanto da disporre con effetto immediato l’interruzione, per la società Luka Inc., della possibilità di utilizzare i dati personali degli utenti italiani.
Più in particolare, il Garante ha rilevato che nella privacy policy pubblicata nel sito web del fornitore, si dichiara che l’utilizzo del servizio è precluso ai minori di tredici anni e che i maggiori di tredici ma minori di diciotto anni possono aderire al servizio solo previa autorizzazione dei genitori o tutori. La prima criticità emersa è che, per il diritto italiano, il limite di età per il c.d. consenso digitale (ossia il consenso al trattamento dei propri dati personali in relazione all’offerta diretta di servizi della società dell’informazione) non è fissato a tredici ma bensì a quattordici anni, ai sensi dell’art. 2-quinquies del d.lgs. 196/2003. Inoltre, nonostante quanto dichiarato, l’app non prevede in realtà alcun meccanismo di controllo effettivo dell’età dell’utente, di cui il sistema chiede solamente nome, e-mail e genere, e neppure prevede meccanismi di blocco o di filtro nel caso in cui, durante l’utilizzo dell’applicazione, emerga chiaramente, dalle risposte dell’utente, la sua minore età.
Un secondo profilo critico individuato poi dal Garante è la mancanza di trasparenza circa la base giuridica del trattamento. La privacy policy infatti non sembra menzionare gli elementi essenziali del trattamento con riferimento ai dati personali dei minori, rendendo di conseguenza impossibile, secondo quanto riferito dal Garante, individuare la stessa base giuridica delle varie operazioni di trattamento effettuate dall’applicazione. Questo anche in ragione del fatto che, nel nostro ordinamento, il rapporto contrattuale non sembra costituire idonea base giuridica con riferimento ai minori, attesa l’incapacità degli stessi di concludere contratti che non siano di scarsa rilevanza, principio giurisprudenziale in evidente contrasto con la conclusione di un contratto che invece prevede una così ingente messa a disposizione di dati personali.
Se, in relazione ai commenti inopportuni di Replika, è certamente vero che anche questo chatbot, come molti bot conversazioni, potrebbe aver appreso i suoi pattern relazionali elaborando le conversazioni con gli utenti stessi, rimane insuperabile il dato della mancanza di controlli circa l’età degli utenti, che potrebbero trovarsi in situazioni assolutamente inidonee rispetto al grado di sviluppo e autoconsapevolezza degli stessi, con tutti i danni che questo può cagionare. Allo stesso modo, le caratteristiche intrinseche del chatbot, riconducibili principalmente ad interventi su umore ed emotività della persona, possano risultare, secondo il Garante, idonee ad accrescere i rischi per i soggetti fragili coinvolti.
Tutto ciò, sommato alla mancanza di trasparenza rilevata dall’Autorità, l’hanno portata a riconoscere la violazione degli articoli 5, 6, 8, 9 e 25 del Regolamento (UE) 2016/679 e ad adottare un provvedimento d’urgenza, che richiede alla società sviluppatrice non soltanto di interrompere il trattamento dei dati, ma anche di comunicare entro 20 giorni le misure intraprese in attuazione di quanto richiesto nel Provvedimento.