Update | I rischi privacy dell'”amico virtuale”: il Garante blocca Replika

Con provvedimento del 2 febbraio 2023, il Garante per la protezione dei dati personali ha disposto con effetto immediato, nei confronti di Luka Inc – società statunitense sviluppatrice dell’applicazione Replika – la limitazione provvisoria del trattamento dei dati personali effettuato dalla suddetta applicazione.

Replika è una chatbot, con interfaccia scritta e vocale, basata sull’intelligenza artificiale che genera un “amico virtuale”; viene presentata come una chatbot in grado di migliorare l’umore ad il benessere emotivo dell’utente. Proprio il fatto che l’applicazione vada ad incidere su aspetti centrali delle caratteristiche della personalità dell’essere umano, il Garante ha ravvisato concreti rischi per i minori d’età e, più in generale, per le persone in stato di fragilità emotiva.

Visti i rischi per tali soggetti vulnerabili, il Garante ha preso in considerazione due aspetti fondamentali:

• (i) la proposizione di risposte assolutamente inidonee al grado di sviluppo dei minori;
• (ii) la mancanza di un qualsiasi meccanismo di verifica dell’età.

Su quest’ultimo punto, il Garante evidenzia che non è sufficiente che nei termini di servizio sia indicato un divieto di utilizzo per i minori di 13 anni e la necessità che i minori di 18 anni siano previamente autorizzati da un genitore o da un tutore. Al contrario, è essenziale che vi siano dei meccanismi di verifica dell’età, intesi sia come filtri per i minori, ma anche blocchi dell’app di fronte a dichiarazioni in cui l’utente espliciti la propria minore età. Si ricorda, a tal proposito, che l’art 8 (condizioni applicabili al consenso dei minori) comma 2 GDPR prevede un obbligo per il titolare del trattamento di adoperarsi in ogni modo ragionevole per verificare che il consenso sia effettivamente prestato o autorizzato dal titolare della responsabilità genitoriale sul minore, in considerazione delle tecnologie disponibili.

Mancando nell’informativa privacy informazioni circa elementi essenziali del trattamento, con particolare riguardo all’utilizzo dei dati personali dei minori, il Garante ha rilevato che Luka Inc. ha disposto tale trattamento in violazione degli articoli 5, 6, 8, 9 e 25. In particolare, il titolare del trattamento non si sarebbe attenuto a principi e obblighi previsti dal GDPR in tema di trasparenza, di privacy by design e by default, di liceità. Su quest’ultimo punto, il Garante rileva che manca l’individuazione di una corretta base giuridica del trattamento in quanto, per come ad oggi configurata l’applicazione, non sono utilizzabili né il consenso (mancando le condizioni di cui all’art 8) né l’esecuzione del contratto (attesa la riconosciuta incapacità dei minori nell’ordinamento italiano a concludere contratti per la fruizione di servizi quale quello in oggetto che comportano una rilevante messa a disposizione di propri dati personali).

Per quanto concerne le sanzioni, il Garante ha disposto, in primo luogo, l’interruzione del trattamento dei dati degli utenti italiani da parte della società sviluppatrice Luka Inc. e, in secondo luogo, l’obbligo di comunicare entro 20 giorni le misure intraprese in attuazione di quanto richiesto dal Garante, pena una sanzione fino a 20 milioni di euro o fino al 4% del fatturato globale annuo.