Con il provvedimento n. 39/2023 del 2 febbraio 2023, il Garante della Privacy ha sospeso in via precauzionale l’uso di Replika all’interno del territorio italiano per violazione delle norme in materia di trattamento dei dati personali (GDPR).
Garante per la protezione dei dati personali – Provvedimento 39/2023: Sospensione di Replika in Italia
Anno 2023
La sospensione, disposta in via d’urgenza, è stata motivata dai rischi per i minori e le persone in stato di fragilità emotiva. Infatti, Replika è un chatbot con interfaccia scritta e vocale che si propone come “amico virtuale”, in grado di supportare il benessere emotivo degli utenti, ad esempio monitorandone l’umore, insegnando strategie di gestione dello stress e dell’ansia, e promuovendo obiettivi come il pensiero positivo, il miglioramento delle capacità sociali e la ricerca dell'amore. Tale capacità di influire sull’umore della persona è stata considerata dal Garante idonea ad accrescere i rischi per i soggetti fragili.
Secondo il provvedimento, Replika non avrebbe assolto agli specifici obblighi di trasparenza in tema di utilizzo di dati personali di minori, che sarebbero stati inoltre sottoposti a trattamento in assenza di una adeguata base giuridica. Infatti, nonostante la privacy policy e i termini di servizio indicassero il divieto di utilizzo per i minori di tredici anni e l’obbligo di autorizzazione per i minori di diciotto anni, nella creazione dell’account non veniva richiesta, né tantomeno verificata, l’età dell’utente. Inoltre, non erano presenti meccanismi di blocco dell’applicazione qualora un minore dichiarasse al chatbot la propria età.
Il Garante prendeva anche atto della presentazione di contenuti inopportuni rispetto al grado di sviluppo e autoconsapevolezza dei minori, con inosservanza delle tutele per i soggetti più fragili.
Di conseguenza, il Garante ha ravvisato la violazione dell’art. 13 GDPR in relazione alla assenza di informazioni riguardo gli elementi essenziali del trattamento di dati personali di minori. Tale mancanza ha determinato anche l’impossibilità di individuare la base giuridica dello stesso trattamento, in contrasto con gli artt. 5, 6, 8, 9 e 25 GDPR. Infatti, viene precisato che i minori sono incapaci di concludere contratti che comportino una rilevante messa a disposizione dei propri dati personali e quindi la base giuridica del relativo trattamento non può mai essere rinvenuta nel contratto.
La misura della limitazione provvisoria del trattamento di dati personali viene estesa a tutti gli utenti stabiliti nel territorio italiano, a fronte della mancanza di un meccanismo di verifica dell’età degli utenti e del complesso delle violazioni rilevate.
Il testo completo del provvedimento è disponibile seguente link e nel box download.