İtalyan Veri Koruma Otoritesi (“Otorite”), 30 Kasım 2022’de piyasaya sürülen yapay zekâya dayalı sohbet robotu ChatGPT’nin sahibi ABD’li OpenAI Anonim Şirketi ve OpenAI Limited Ortaklığı’nın (“OpenAI”), ChatGPT’nin algoritmalarını eğitmek için kişisel verileri toplamasını ve depolamasını hukuka uygun kılan bir sebebinin bulunmadığı gerekçesiyle, 31 Mart 2023 tarihinde İtalya’da ChatGPT’nin geçici olarak yasaklanmasına karar verdi.
Otorite, ChatGPT’nin bir veri güvenliği ihlali yarattığını, kullanıcıların konuşmalarının ve ödeme bilgilerinin ifşa edildiğini belirterek OpenAI’ın verileri hukuka uygun şekilde işlemediğini de ifade etti. Ayrıca, Otorite OpenAI’ın uygulamaya giriş sırasında kullanıcılarının yaşını tespit etmediği ve bu doğrultuda “küçükleri, gelişim derecelerine ve öz farkındalıklarına kıyasla kesinlikle uygun olmayan yanıtlara maruz bıraktığını” da ekledi. Son olarak Otorite, Avrupa Birliği Genel Veri Koruma Tüzüğü’nün (“GDPR”) hukuka uygunluk, hakkaniyet, şeffaflık, tasarımsal gizlilik gibi bir dizi veri koruma ilkesinin ihlal edildiğini de belirtti.
Otorite, OpenAI’ın, İtalyan kullanıcıların verilerini işlemeyi derhal ve GDPR’a uyumlu hale gelene kadar durdurması gerektiğine karar vererek bu konunun daha detaylı araştırılacağını da duyurdu. OpenAI, Otorite’nin kararına uyarak İtalya’da ChatGPT’ye erişimi devre dışı bıraktı ancak tüm gizlilik yasalarına uygun davrandıklarını ve sistemi eğitirken kişisel veri kullanımını azaltmaya çalıştıklarını belirterek söz konusu karara katılmadığının da altını çizdi.
Özetle, ilgili geçici durdurma kararına ek olarak Otorite, OpenAI’ın ChatGPT’yi GDPR’a uyumlu hale getirmesi için 20 günlük süre tanıdı. ChatGPT, GDPR’a uyumlu hale getirilmezse OpenAI, küresel gelirinin yüzde dördüne kadar bir idari parası cezası ile karşı karşıya kalabilir. Buna ek olarak İtalya’nın başını çektiği ChatGPT’nin gizlilik endişeleriyle yasaklanması kararı, diğer veri koruma otoriteleri için de yol gösterici olabilecektir.