Il Garante per la protezione dei dati personali alza il livello di allerta sull’uso dell’intelligenza artificiale generativa applicata a immagini e voci reali. Con un provvedimento di avvertimento, l’Autorità richiama sia gli utenti sia i fornitori di servizi basati su IA, tra cui ChatGPT, Grok e Clothoff, segnalando il rischio concreto di gravi violazioni dei diritti e delle libertà fondamentali, soprattutto quando i contenuti vengono generati o diffusi in assenza di consenso.
Deepfake come trattamento illecito di dati personali
Il Garante chiarisce un punto centrale: la generazione di contenuti che riproducono volti, corpi o voci riconducibili a persone reali costituisce un trattamento di dati personali a tutti gli effetti. Quando tali strumenti consentono di “spogliare” virtualmente una persona, imitare la sua voce o crearne rappresentazioni realistiche senza titolo giuridico, il trattamento diventa illecito, con possibili responsabilità anche sanzionatorie ai sensi della normativa europea in materia di protezione dei dati.
L’avvertimento si inserisce in un contesto in cui l’uso di questi servizi è spesso tecnicamente semplice e immediato, abbassando la soglia di accesso a pratiche potenzialmente lesive della dignità, della reputazione e della libertà personale delle vittime.
Obblighi di “privacy by design” per i fornitori
Il provvedimento non si limita a richiamare gli utenti. L’Autorità rivolge un messaggio chiaro anche ai fornitori di servizi di IA generativa, chiamati a progettare e rendere disponibili piattaforme intrinsecamente compatibili con la tutela della privacy.
Dall’istruttoria avviata dal Garante emerge infatti che molti di questi strumenti agevolano l’uso illecito di immagini e voci di terzi, senza adeguate barriere tecniche, informative o giuridiche.
Il richiamo è coerente con i principi di privacy by design e by default, che impongono di prevenire ex ante gli abusi e non di limitarsi a reagire ex post alle violazioni.
Coordinamento europeo e caso X
Per quanto riguarda i servizi riconducibili alla piattaforma X, l’Autorità italiana ha confermato di essere già al lavoro con l’omologa Autorità irlandese, nel quadro del coordinamento europeo previsto dal GDPR e dal Digital Services Act. Il Garante si è inoltre riservato l’adozione di ulteriori iniziative, segnalando che l’attività di vigilanza è tutt’altro che conclusa.
Il provvedimento è in corso di pubblicazione nella Gazzetta Ufficiale, a conferma del suo valore generale e non meramente simbolico.
Un segnale politico-regolatorio forte
L’avvertimento del Garante rappresenta un passaggio rilevante nel dibattito su IA generativa e deepfake: non solo una questione tecnologica o etica, ma un tema di legalità costituzionale, che tocca identità personale, autodeterminazione e tutela della dignità umana.
In attesa dell’applicazione piena dell’AI Act e del rafforzamento dell’enforcement europeo, il messaggio è chiaro: l’innovazione non può trasformarsi in una zona franca. Chi sviluppa, offre o utilizza strumenti di intelligenza artificiale resta pienamente responsabile delle conseguenze giuridiche dei trattamenti effettuati.
