Il 30 gennaio 2025, il Garante per la protezione dei dati personali ha adottato un provvedimento inibitorio nei confronti di DeepSeek – un chatbot avanzato sviluppato in Cina, simile a ChatGPT di OpenAI, noto per le sue capacità linguistiche evolute e per un modello economico più competitivo rispetto ai principali concorrenti occidentali – vietandone l’accesso e il trattamento dei dati personali degli utenti italiani. A seguito di questa decisione, l’applicazione è stata rimossa dagli store digitali di Apple e Google in Italia. Il provvedimento ha sollevato un ampio dibattito sul rispetto della normativa europea in materia di protezione dei dati personali e sulle responsabilità delle aziende tecnologiche straniere che operano, direttamente o indirettamente, nel mercato europeo.
L’intervento del Garante si inserisce in un più ampio quadro di applicazione rigorosa del Regolamento Generale sulla Protezione dei Dati (GDPR) e segue precedenti provvedimenti adottati nei confronti di altre piattaforme digitali per presunte violazioni della normativa. Tuttavia, il caso DeepSeek assume una particolare rilevanza per via del contesto geopolitico e tecnologico in cui si colloca. L’applicazione, sviluppata in Cina, si è affermata come alternativa a ChatGPT di OpenAI, offrendo funzionalità avanzate a un costo competitivo rispetto ai principali concorrenti occidentali.
Le motivazioni del provvedimento del Garante
L’Autorità ha avviato un’indagine per verificare la conformità di DeepSeek alle norme europee in materia di protezione dei dati personali. L’attenzione si è concentrata sulla tipologia di dati raccolti, sulle fonti di approvvigionamento, sulle finalità del trattamento e sulla base giuridica che lo legittima. Uno degli aspetti più critici dell’istruttoria ha riguardato l’ubicazione dei server su cui i dati vengono archiviati e il rischio di trasferimenti illeciti di informazioni personali al di fuori dello Spazio Economico Europeo.
A fronte di queste richieste, DeepSeek ha dichiarato di non operare direttamente in Italia e di non ritenere applicabile la normativa europea alla propria attività. Tuttavia, il Garante ha ritenuto tale posizione non sufficiente, sottolineando che il servizio risultava comunque accessibile agli utenti italiani attraverso la versione web. Di conseguenza, l’azienda rientrava nella giurisdizione del GDPR ai sensi dell’articolo 3, paragrafo 2, lettera a), del Regolamento, che estende la sua applicabilità anche alle aziende extraeuropee che trattano dati di residenti nell’Unione Europea.
L’istruttoria ha evidenziato diverse violazioni del GDPR. Tra le principali criticità, il Garante ha riscontrato che l’informativa sulla privacy dell’applicazione era disponibile solo in inglese, in contrasto con gli obblighi di trasparenza previsti dagli articoli 12, 13 e 14 del Regolamento. Inoltre, la documentazione fornita non specificava in modo chiaro la base giuridica del trattamento dei dati personali, configurando una violazione dell’articolo 6. La mancanza di informazioni chiare sulle modalità di trattamento impediva inoltre agli utenti di esercitare i propri diritti, come previsto dal Capitolo III del GDPR.
Un’altra criticità ha riguardato il trasferimento dei dati personali al di fuori dell’Unione Europea. Secondo quanto emerso dall’indagine, le informazioni raccolte erano archiviate su server situati in Cina, senza le garanzie richieste dall’articolo 44 del Regolamento per il trasferimento transfrontaliero di dati personali. Inoltre, l’azienda non aveva designato un rappresentante stabilito nell’Unione Europea, come previsto dall’articolo 27 del GDPR per le aziende extraeuropee che trattano dati di cittadini comunitari.
Sulla base di queste violazioni, il Garante ha adottato un provvedimento inibitorio, ordinando a DeepSeek di cessare immediatamente il trattamento dei dati personali degli utenti italiani.
Le possibili conseguenze per DeepSeek
L’efficacia immediata del provvedimento non esaurisce le potenziali implicazioni per DeepSeek, che potrebbe affrontare conseguenze più gravi. La violazione delle disposizioni del GDPR può infatti comportare l’irrogazione di sanzioni amministrative significative. Ai sensi dell’articolo 83, paragrafo 5, lettera e), del Regolamento, le violazioni contestate potrebbero comportare una sanzione fino a 20 milioni di euro o pari al 4% del fatturato annuo globale, a seconda di quale sia l’importo più elevato. La determinazione della sanzione dipenderà da vari elementi, tra cui la gravità delle violazioni, la natura dei dati trattati, il carattere intenzionale delle condotte contestate e il grado di cooperazione dell’azienda con le autorità di controllo.
Oltre alle sanzioni amministrative, non si può escludere la possibilità di conseguenze penali. Il mancato rispetto di un provvedimento del Garante costituisce infatti reato ai sensi dell’articolo 170 del Codice della Privacy italiano, che prevede la possibilità di una pena detentiva da tre mesi a due anni per i soggetti responsabili.
Il futuro della regolamentazione dell’AI e la lezione del caso DeepSeek
L’intervento del Garante nei confronti di DeepSeek non rappresenta un episodio isolato, ma si inserisce in una più ampia tendenza di rafforzamento della vigilanza sui servizi di intelligenza artificiale e sul loro impatto sulla protezione dei dati personali. La decisione dell’Autorità italiana costituisce un precedente rilevante, destinato a influenzare il comportamento di altre aziende extraeuropee che intendono offrire servizi accessibili all’interno dell’Unione Europea senza adeguarsi agli obblighi imposti dal GDPR.
Questa vicenda pone inoltre in evidenza la necessità di un coordinamento internazionale più efficace nella regolamentazione dell’intelligenza artificiale. Le diverse normative nazionali e regionali in materia di protezione dei dati adottano approcci differenti, creando potenziali conflitti normativi e ostacoli per le imprese tecnologiche che operano su scala globale. Organizzazioni come le Nazioni Unite e l’OCSE stanno cercando di definire standard comuni, ma il percorso verso una regolamentazione armonizzata appare ancora lungo e complesso.
Ciò che emerge con chiarezza dal caso DeepSeek è che l’Unione Europea continua a esercitare una vigilanza stringente sulla protezione dei dati personali, confermando che il rispetto del GDPR è un requisito imprescindibile per qualsiasi azienda che intenda operare nel mercato comunitario. La decisione del Garante italiano dimostra che le autorità nazionali sono pronte a intervenire in modo deciso per garantire la conformità alle norme vigenti, indipendentemente dalla provenienza delle imprese coinvolte. Per DeepSeek e per altre aziende tecnologiche, ignorare questi obblighi potrebbe comportare conseguenze giuridiche ed economiche di grande rilievo, rendendo il rispetto della normativa sulla protezione dei dati un fattore determinante per la loro sostenibilità nel mercato europeo.
A cura di: Avv. Carlo Diego D’Andrea, Managing Partner di D’Andrea & Partners Legal Counsel, Vice Presidente Nazionale della Camera di Commercio dell’Unione Europea in Cina (EUCCC)