Italy đã quyết định phạt OpenAI, nhà phát triển của ChatGPT, số tiền 15 triệu euro (khoảng 15,66 triệu đô la Mỹ) vì cách thức ứng dụng trí tuệ nhân tạo này xử lý dữ liệu cá nhân của người dùng. Quyết định này được đưa ra gần một năm sau khi cơ quan bảo vệ dữ liệu Ý, Garante, phát hiện ChatGPT đã vi phạm Quy định chung về bảo vệ dữ liệu của Liên minh Châu Âu (GDPR) qua việc xử lý thông tin người dùng để đào tạo dịch vụ của mình mà không có cơ sở pháp lý thích hợp.
Cơ quan này cũng chỉ trích OpenAI vì không thông báo về một vụ vi phạm an ninh xảy ra vào tháng 3 năm 2023, xử lý thông tin cá nhân để đào tạo ChatGPT mà không có nền tảng pháp lý đầy đủ. Ngoài ra, OpenAI bị cáo buộc vi phạm nguyên tắc minh bạch và trách nhiệm thông tin liên quan đến người dùng. Garante cũng nhấn mạnh rằng OpenAI không có cơ chế kiểm tra độ tuổi, có thể dẫn đến nguy cơ trẻ em dưới 13 tuổi nhận được những phản hồi không phù hợp với độ phát triển và tự nhận thức của chúng.
Bên cạnh việc phạt số tiền lớn, công ty cũng phải thực hiện chiến dịch truyền thông kéo dài sáu tháng trên các phương tiện truyền thông đại chúng để nâng cao nhận thức của công chúng về cách ChatGPT hoạt động. Chiến dịch này bao gồm việc cung cấp thông tin chi tiết về loại dữ liệu được thu thập, cả người dùng và không phải người dùng, nhằm mục đích đào tạo mô hình, và các quyền mà người dùng có thể thực hiện để phản đối, sửa chữa hoặc xóa dữ liệu đó.
Italy là quốc gia đầu tiên áp đặt lệnh cấm tạm thời đối với ChatGPT vào cuối tháng 3 năm 2023 do lo ngại về bảo vệ dữ liệu. Gần một tháng sau, quyền truy cập vào ChatGPT đã được khôi phục sau khi công ty giải quyết các vấn đề được Garante nêu ra. OpenAI đã gọi quyết định này là không đáng và họ có ý định kháng cáo, cho rằng mức phạt gần như gấp 20 lần doanh thu họ kiếm được tại Italy trong giai đoạn đó.
Quyết định xử phạt cũng phù hợp với ý kiến của Uỷ ban Bảo vệ Dữ liệu Châu Âu (EDPB). EDPB từng nhận định rằng một mô hình AI xử lý dữ liệu cá nhân bất hợp pháp nhưng đã được ẩn danh trước khi triển khai không bị coi là vi phạm GDPR. Tuy nhiên, nếu dữ liệu cá nhân được xử lý sau khi mô hình đã được ẩn danh, thì GDPR vẫn áp dụng cho các hoạt động xử lý này.