Il Garante per la protezione dei dati personali ha inviato una richiesta di informazioni a DeepSeek, il chatbot di intelligenza artificiale generativa sviluppato dalle società cinesi Hangzhou DeepSeek Artificial Intelligence e Beijing DeepSeek Artificial Intelligence. L'intervento dell'Autorità, comunicato il 9 febbraio 2026, nasce dalla necessità di verificare il trattamento dei dati personali di milioni di utenti italiani che utilizzano il servizio, disponibile sia come applicazione mobile che su piattaforma web.
🔍 Le domande del Garante per fare chiarezza
L'Autorità ha posto alle società una serie di quesiti fondamentali per comprendere la natura e l'estensione del trattamento dei dati personali. Le domande riguardano innanzitutto quali dati personali vengono raccolti, da quali fonti provengono e per quali finalità vengono utilizzati. Il Garante ha inoltre chiesto di specificare quale sia la base giuridica che legittima il trattamento secondo la normativa europea.
Un aspetto particolarmente delicato riguarda la localizzazione dei server: l'Autorità ha chiesto conferma se i dati siano conservati su infrastrutture collocate in Cina, circostanza che comporterebbe l'applicazione di normative locali con standard di tutela diversi rispetto al GDPR.
Il Garante ha inoltre richiesto informazioni dettagliate su quali dati vengono impiegati per addestrare il sistema di intelligenza artificiale. Nel caso in cui la raccolta avvenga attraverso tecniche di web scraping, le società devono chiarire come gli utenti registrati e non registrati siano stati informati sul trattamento dei loro dati personali.
⚖️ La posizione di DeepSeek e il conflitto con il GDPR
La risposta fornita dalle società cinesi ha sollevato ulteriori perplessità. DeepSeek ha infatti dichiarato di non operare sul territorio italiano e di non ritenersi soggetta alla normativa europea sulla protezione dei dati personali. Una posizione che contrasta in modo evidente con la realtà: il servizio è accessibile agli utenti italiani, raccoglie i loro dati e fornisce risposte elaborate sulla base di informazioni personali.
Questa risposta, giudicata insufficiente e contraddittoria dal Garante, aveva già portato a gennaio 2025 a un primo intervento dell'Autorità. In quella occasione era stata disposta la limitazione immediata del trattamento dei dati degli utenti italiani, con conseguente rimozione dell'applicazione dagli store Apple e Google nel territorio nazionale. La versione web del servizio è tuttavia rimasta accessibile.
📊 Il nodo della trasparenza e dei diritti degli utenti
Il caso DeepSeek evidenzia problematiche di portata generale nel rapporto tra servizi di intelligenza artificiale generativa e tutela dei dati personali. Quando i fornitori di questi servizi operano da paesi terzi e i dati vengono conservati su server localizzati al di fuori dell'Unione Europea, si applica un quadro normativo diverso dal GDPR, con conseguenze dirette sul livello di protezione garantito agli interessati.
La mancanza di trasparenza sulle modalità di raccolta dei dati, sulle fonti utilizzate per l'addestramento dei modelli di AI e sulla destinazione delle informazioni impedisce agli utenti di esercitare i diritti fondamentali previsti dalla normativa europea.
Tra questi:
- il diritto di accesso ai propri dati personali
- il diritto di rettifica delle informazioni inesatte
- il diritto di cancellazione dei dati non più necessari
- il diritto di opposizione al trattamento
- il diritto alla portabilità dei dati
L'assenza di informazioni chiare sulla base giuridica del trattamento rende inoltre impossibile verificare la legittimità delle operazioni svolte dal sistema di intelligenza artificiale sui dati degli utenti.
🌍 Tra normative europee e cinesi
La vicenda mette in luce il contrasto tra due diversi approcci alla governance dei dati personali. Da un lato il GDPR, che pone al centro i diritti fondamentali degli interessati, garantisce trasparenza, controllo e possibilità di intervento da parte delle autorità di vigilanza. Dall'altro lato, la normativa cinese sulla protezione dei dati personali (PIPL) prevede standard di tutela diversi e impone alle società obblighi di collaborazione con le autorità governative.
Quando un servizio raccoglie dati di cittadini europei ma dichiara di non essere soggetto al GDPR, si crea una zona grigia in cui i diritti degli utenti rischiano di rimanere privi di tutela effettiva.
⏱️ I prossimi passi
Le società hanno 20 giorni di tempo per fornire al Garante le informazioni richieste. In caso di risposta inadeguata o di mancato riscontro, l'Autorità potrà adottare misure più incisive a tutela dei diritti degli utenti italiani, inclusa la conferma del blocco del servizio o l'irrogazione di sanzioni amministrative.
Il caso rappresenta un banco di prova per verificare l'effettività della protezione dei dati personali quando i fornitori di servizi digitali operano da giurisdizioni diverse e si sottraggono all'applicazione della normativa europea.
#intelligenzaartificiale #garanteprivacy #gdpr #chatbotai #dirittidigitali
