La Commissione per la Protezione dei Dati (DPC) ha pubblicamente annunciato l’avvio di un’indagine su X Internet Unlimited Company (XIUC), ai sensi della sezione 110 del Data Protection Act, il regolamento che sancisce l’utilizzo e la protezione dei dati personali dei cittadini dell’Unione Europea. L’indagine, come riferito dalla Commissione, riguarda la condivisione sulla piattaforma X di immagini sessualizzate e non consensuali di donne e minori, generate utilizzando l’intelligenza artificiale di Grok, il chatbot di proprietà di Elon Musk.
Una pratica, di per sé scorretta, che ha coinvolto il trattamento di dati personali di cittadini della Ue, che ha subito messo in allerta la Commissione, e non solo. Lo scorso 3 febbraio, infatti, era stato il Garante per la privacy britannico ad annunciare l’avvio di un’indagine formale su Grok, in merito al trattamento dei dati personali e alla sua capacità produrre immagini e video sessualizzati, potenzialmente dannosi per la privacy e la sicurezza dei cittadini.
L’indagine
Dopo il clamore suscitato nelle scorse settimane dalla diffusione di deepfake illegali generati da Grok, la DPC ha scelto di avviare un’indagine su XIUC con lo scopo di verificare se la compagnia ha violato le norme del Gdpr dell’Unione europea ai sensi di ben quattro diversi articoli: l’articolo 5, focalizzato sul principio del trattamento dei dati; l’articolo 6, relativo alla legittimità del trattamento; l’articolo 25, che impone che la protezione dei dati sia integrata, per impostazione predefinita, in ogni progetto e/o prodotto sin dal principio del suo sviluppo; e, infine, l’articolo 35, che impone alle società l’obbligo di effettuare una valutazione d’impatto dei prodotti rilasciati sulla protezione dei dati personali degli utenti.
“La DPC è in contatto con XIUC da quando, alcune settimane fa, sono apparse le prime notizie sui media riguardanti la presunta capacità degli utenti di X di indurre l’account @Grok su X a generare immagini sessualizzate di persone reali, compresi i bambini – ha commentato il vice commissario Graham Doyle -. In qualità di autorità di controllo principale per XIUC in tutta l’UE/SEE, il DPC ha avviato un’indagine su larga scala che esaminerà la conformità di XIUC ad alcuni dei suoi obblighi fondamentali ai sensi del GDPR in relazione alle questioni in esame”. Da quanto preannunciato, la Commissione avrà bisogno di qualche mese per portare a termine tutte le verifiche nel caso. Se le indagini dovessero confermare la violazione delle norme dell’Unione Europea in materia di privacy, X potrebbe incorrere in pesanti sanzioni economiche, con multe di 20 milioni di euro o fino al 4% del fatturato annuo globale totale, a seconda di quale sia il valore più elevato.
