Otoritas perlindungan data Italia telah mendenda pembuat ChatGPT OpenAI sebesar €15 juta ($15,66 juta) atas cara aplikasi kecerdasan buatan generatif menangani data pribadi.
Denda tersebut dijatuhkan hampir setahun setelah Garante menemukan bahwa ChatGPT memproses informasi pengguna untuk melatih layanannya yang melanggar Peraturan Perlindungan Data Umum (GDPR) Uni Eropa.
Pihak berwenang mengatakan OpenAI tidak memberi tahu mereka tentang pelanggaran keamanan yang terjadi pada Maret 2023, dan memproses informasi pribadi pengguna untuk melatih ChatGPT tanpa memiliki dasar hukum yang memadai untuk melakukannya. Mereka juga menuduh perusahaan melanggar prinsip transparansi dan kewajiban informasi terkait terhadap pengguna.
“Selain itu, OpenAI belum menyediakan mekanisme verifikasi usia, yang dapat menimbulkan risiko anak-anak di bawah 13 tahun terkena respons yang tidak tepat sehubungan dengan tingkat perkembangan dan kesadaran diri mereka,” kata Garante.
Selain mengenakan denda €15 juta, perusahaan tersebut juga diperintahkan untuk melakukan kampanye komunikasi selama enam bulan di radio, televisi, surat kabar, dan internet untuk mempromosikan pemahaman masyarakat tentang cara kerja ChatGPT.
Hal ini secara khusus mencakup sifat data yang dikumpulkan, baik informasi pengguna maupun non-pengguna, untuk tujuan pelatihan modelnya, dan hak yang dapat digunakan pengguna untuk menolak, memperbaiki, atau menghapus data tersebut.
“Melalui kampanye komunikasi ini, pengguna dan non-pengguna ChatGPT harus disadarkan tentang bagaimana menentang pelatihan kecerdasan buatan generatif dengan data pribadi mereka dan dengan demikian secara efektif dapat menggunakan hak mereka berdasarkan GDPR,” tambah Garante.
Italia adalah negara pertama yang memberlakukan larangan sementara terhadap ChatGPT pada akhir Maret 2023, dengan alasan masalah perlindungan data. Hampir sebulan kemudian, akses ke ChatGPT diaktifkan kembali setelah perusahaan mengatasi masalah yang diangkat oleh Garante.
Dalam sebuah pernyataan yang dibagikan kepada Associated Press, OpenAI menyebut keputusan tersebut tidak proporsional dan bermaksud untuk mengajukan banding, dengan menyatakan denda tersebut hampir 20 kali lipat pendapatan yang dihasilkan di Italia selama jangka waktu tersebut. Lebih lanjut dikatakan bahwa pihaknya berkomitmen untuk menawarkan kecerdasan buatan yang bermanfaat dan mematuhi hak privasi pengguna.
Keputusan tersebut juga mengikuti pendapat dari Dewan Perlindungan Data Eropa (EDPB) bahwa model AI yang memproses data pribadi secara tidak sah tetapi kemudian dianonimkan sebelum diterapkan bukan merupakan pelanggaran terhadap GDPR.
“Jika dapat ditunjukkan bahwa pengoperasian model AI selanjutnya tidak memerlukan pemrosesan data pribadi, EDPB menganggap bahwa GDPR tidak akan berlaku,” kata Dewan. Oleh karena itu, pelanggaran hukum pada pemrosesan awal seharusnya tidak berdampak pada pengoperasian model selanjutnya.
“Selanjutnya, EDPB mempertimbangkan bahwa, ketika pengontrol kemudian memproses data pribadi yang dikumpulkan selama fase penerapan, setelah model dianonimkan, GDPR akan berlaku sehubungan dengan operasi pemrosesan ini.”
Awal bulan ini, Dewan juga menerbitkan pedoman tentang penanganan transfer data di luar negara-negara non-Eropa dengan cara yang mematuhi GDPR. Pedoman ini tunduk pada konsultasi publik hingga 27 Januari 2025.
“Penilaian atau keputusan dari otoritas negara ketiga tidak bisa secara otomatis diakui atau ditegakkan di Eropa,” katanya. “Jika sebuah organisasi membalas permintaan data pribadi dari otoritas negara ketiga, aliran data ini merupakan transfer dan GDPR berlaku.”
