Conflictul de Transfer de Date
Echipele de suport pentru clienți care utilizează ChatGPT pentru a redacta răspunsuri se confruntă cu un conflict structural de conformitate GDPR. Prelucrarea datelor personale ale clienților — nume, numere de comandă, adrese, detalii ale reclamațiilor — prin ChatGPT înseamnă transmiterea acestor date către serverele OpenAI, care sunt localizate în Statele Unite. Conform Articolului 46 GDPR, transferul datelor personale către o țară terță necesită garanții adecvate: fie o decizie de adecvare, Clauze Contractuale Standard, fie reguli corporative obligatorii.
OpenAI a publicat Clauze Contractuale Standard pentru clienții enterprise prin ofertele ChatGPT Enterprise și API. Cu toate acestea, multe echipe de suport pentru clienți utilizează interfața standard ChatGPT prin conturi de consumatori — conturi care nu poartă protecțiile contractuale GDPR ale acordurilor enterprise. Un audit UE din 2024 a constatat că 63% din datele utilizatorilor ChatGPT proveneau din conturi care nu au optat pentru setările de protecție a datelor disponibile utilizatorilor enterprise.
Acțiunea de reglementare a Garante din Italia ilustrează traiectoria aplicării legii. În decembrie 2024, Garante a amendat OpenAI cu 15 milioane de euro pentru prelucrarea ilegală a datelor personale ale utilizatorilor italieni — în special pentru prelucrarea datelor fără bază juridică corespunzătoare și fără a respecta obligațiile privind drepturile persoanelor vizate. Amenda a fost precedată de o interdicție temporară asupra ChatGPT în Italia în 2023 și de negocieri extinse privind practicile de gestionare a datelor. 63% din companiile italiene au fost constatate că nu au politici de utilizare a AI conforme cu GDPR la momentul amenzii.
Rezoluția Anonimizării JIT
Anonimizarea just-in-time (JIT) rezolvă conflictul de transfer de date prin asigurarea că datele personale nu ajung niciodată pe serverele ChatGPT în primul rând. Anonimizarea apare în momentul trimiterii promptului — între evenimentul de lipire al utilizatorului și transmisia în rețea către OpenAI.
Arhitectura de interceptare a extensiei Chrome: atunci când un agent de suport pentru clienți lipește o reclamație a clientului conținând "Maria Dupont, comandă FR-2024-8847, expediată la 12 rue de la Paix, Paris" în câmpul de intrare ChatGPT, extensia interceptează evenimentul de lipire. Înainte ca conținutul să apară în câmpul de intrare, extensia detectează numele, numărul comenzii și adresa. Agentul vede o previzualizare. Agentul face clic pe continuare. ChatGPT primește o versiune anonimizată fără date personale — o descriere completă a reclamației cu jetoane care înlocuiesc identificatorii.
ChatGPT generează o schiță de răspuns folosind jetoanele anonimizate. Funcția de auto-decriptare a extensiei substituie valorile reale înapoi în răspunsul AI, astfel încât agentul vede un răspuns care face referire la numele real al clientului — dar ChatGPT nu a procesat niciodată acel nume.
Sub această arhitectură, întrebarea de transfer de date din Articolul 46 GDPR nu apare: datele transferate către serverele ChatGPT sunt date anonimizate care nu îndeplinesc definiția GDPR a datelor personale. Numele, adresa și informațiile de identificare ale clientului rămân în UE pe browserul local al agentului. Conformitatea GDPR este structurală mai degrabă decât contractuală.
Surse: