Ang Data Transfer Conflict
Ang customer support teams na gumagamit ng ChatGPT upang gumawa ng mga response ay nangharap sa structural GDPR compliance conflict. Ang pag-proprocess ng customer personal data — mga pangalan, order IDs, addresses, complaint details — sa pamamagitan ng ChatGPT ay nangangahulugang nagpapadala ng data na iyon sa mga server ng OpenAI, na matatagpuan sa United States. Sa ilalim ng GDPR Article 46, ang pagpapadala ng personal data sa third country ay nangangailangan ng adequate safeguards: alinman ang adequacy decision, Standard Contractual Clauses, o binding corporate rules.
Ang OpenAI ay nag-publish ng Standard Contractual Clauses para sa enterprise customers sa pamamagitan ng ChatGPT Enterprise at API offerings. Ngunit maraming customer support teams ay gumagamit ng standard ChatGPT interface sa pamamagitan ng consumer accounts — mga account na hindi may kasamang GDPR contractual protections ng enterprise agreements. Ang 2024 EU audit ay nahanap na ang 63% ng ChatGPT user data ay dumating sa pamamagitan ng mga account na hindi nag-opt-in sa data protection settings na available sa enterprise users.
Ang Italy's Garante regulatory action ay naglalarawan ng enforcement trajectory. Noong Disyembre 2024, ang Garante ay nag-fine ng OpenAI €15 million para sa unlawful processing ng Italian users' personal data — specifically para sa pag-proprocess ng data nang walang proper legal basis at nang hindi sumusunod sa data subject rights obligations. Ang fine ay nauna ng 2023 temporary ban sa ChatGPT sa Italy at extensive negotiations tungkol sa data handling practices. 63% ng mga Italian companies ay natuklasan na kulang sa GDPR-compliant na AI usage policies ng...