Il Garante per la protezione dei dati personali ha imposto la limitazione provvisoria del trattamento dei dati degli utenti italiani alla società che sviluppa Clothoff, un’app in grado di generare deepfake di nudo a partire da immagini con persone vestite. L’autorità ha avviato un’istruttoria all’inizio di agosto e inviato una richiesta di informazioni, ma non ha ricevuto nessuna risposta.
Violazione del GDPR e dell’AI Act
Nel provvedimento sono citati sia il GDPR (Regolamento generale sulla protezione dei dati) che l’AI Act. Il primo può essere applicato a Clothoff, in quanto il servizio è accessibile in Italia, anche se la sede della società AI/Robotics Venture Strategy 3 è alle Isole Vergini britanniche.
Al primo accesso sul sito viene mostrato un pop-up con un pulsante per l’accettazione dei termini del servizio, tra cui il divieto di utilizzare immagini di minori e persone senza il loro consenso. L’utente deve inoltre confermare la sua maggiore età. Il Garante ha verificato che la società non ha implementato nessuna misura che impedisce l’accesso ai minori, il caricamento delle immagini dei minori e la verifica del consenso.
Inoltre, come imposto dall’AI Act, sui deepfake generati da Clothoff non è presente una chiara indicazione che si tratta di immagini AI. È presente solo la parola “Fake” che può essere facilmente eliminata. Considerata l’elevata gravità delle violazioni, il numero elevato di persone potenzialmente interessate e la natura dei dati personali utilizzati, il Garante ha ordinato il blocco del trattamento con effetto immediato.
L’autorità ha avviato un’istruttoria su Clothoff e altre app che permettono di spogliare le persone. Questi servizi rappresentano elevati rischi per i diritti e le libertà fondamentali, in particolare quelli relativi alla dignità della persona, alla riservatezza e alla protezione dei dati personali. Come dimostrano recenti fatti di cronaca nazionale italiana, l’abuso di deepfake è ormai diventato un vero e proprio allarme sociale.
