Negli scorsi dieci giorni si è delineato un diretto confronto tra la nostra Autorità nazionale per la protezione dei dati personali e le due società cinesi che forniscono il servizio di chatbot DeepSeek.

DeepSeek è il software di intelligenza artificiale relazionale, progettato per comprendere ed elaborare le conversazioni umane introdotto di recente sul mercato mondiale e già scaricato da milioni di persone. Tale applicazione ha subito attirato l’attenzione generale in quanto appare più performante di ChatGPT in alcuni calcoli o comunque in grado di competere con i modelli di reasoning più avanzati.

Con comunicato stampa datato 28 gennaio il Garante privacy ha dichiarato di aver richiesto informazioni alle società Hangzhou DeepSeek Artificial Intelligence e a Beijing DeepSeek Artificial Intelligence quali soggetti che forniscono il servizio. Nel proprio comunicato, l’Autorità ha esplicitato di aver ritenuto di intervenire in considerazione del potenziale rischio per i dati personali di milioni di persone in Italia rispetto ai trattamenti effettuati con DeepSeek.

L’intervento del Garante italiano, anche nel contenuto delle richieste di informazioni, ricorda quanto accaduto nel 2023 nei confronti di ChatGPT. Si erano verificati nell’ordine il blocco del sistema con la limitazione del trattamento in Italia, il ripristino dopo le prime modifiche alla piattaforma, l’istruttoria e infine la sanzione a dicembre 2024 di € 15.000.000,00 per le violazioni del GDPR riscontrate. Tutto era partito da un data breach non notificato all’Autorità italiana da OpenAI, una violazione che aveva coinvolto alcuni dati personali di utenti sottoscrittori del servizio ChatGPT Plus. Nel caso di DeepSeek, invece, la segnalazione sarebbe arrivata al Garante dall’associazione Altroconsumo.

Le criticità attenzionate dall’Autorità appaiono le medesime riscontrate nel caso americano e riguardano principalmente la provenienza dei dati di addestramento delle chatbot, le basi giuridiche dei trattamenti e il rispetto dei principi di trasparenza e di esattezza dei dati. Secondo la richiesta del Garante del 28 gennaio scorso, le società cinesi avrebbero dovuto comunicare all’Autorità una serie di informazioni relative alla tipologia dei trattamenti effettuati sui dati personali: i dati personali raccolti, le fonti di provenienza degli stessi, le finalità e basi giuridiche dei trattamenti nonché l’eventuale conservazione dei dati personali su server collocati in Cina. Avrebbero dovuto inoltre essere dichiarate il tipo di informazioni utilizzate per addestrare il sistema di intelligenza artificiale e, nel caso di raccolta attraverso attività di web scraping, le modalità di informazione su tale tipo di trattamento. Si rammenta che, con l’attività di “web scraping” o “crawling”, si intende in questo caso la raccolta di informazioni presenti in Internet per l’addestramento dei modelli di intelligenza artificiale generativa. Questo tipo di attività, che implica il trattamento di dati personali, impone la previa individuazione di un’idonea base giuridica che deve altresì essere necessariamente comunicata agli interessati nel pieno rispetto del principio di trasparenza. Chiaro che, con riferimento a DeepSeek, anche l’aspetto relativo all’ubicazione dei server assume un’importanza fondamentale per verificare l’eventuale trasferimento dei dati degli interessati italiani in territorio cinese. Quanto sopra implica il controllo del rispetto delle garanzie imposte dal Capo V del GDPR per i trasferimenti extra UE e della possibilità di accesso a questi dati da parte delle Autorità locali.

Al ricevimento di queste informazioni, così come a seguito della mancata comunicazione delle stesse, il Garante avrebbe dovuto aprire un’istruttoria formale.  La vicenda è proseguita però diversamente. Già il giorno successivo all’intervento del Garante, l’applicazione DeepSeek ha smesso di essere disponibile in Italia negli store digitali di Apple e Google pare in forza di una decisione da imputare alle stesse società cinesi. Trascorsi due giorni, il Garante ha emesso un nuovo comunicato informando di aver disposto, in via d’urgenza e con effetto immediato, la limitazione del trattamento dei dati degli utenti italiani nei confronti delle due società cinesi che forniscono il servizio di chatbot DeepSeek. Il provvedimento di limitazione, secondo quanto dichiarato dal Garante, sarebbe stato adottato a tutela dei dati degli utenti italiani in seguito a una comunicazione delle società cinesi ricevuta dall’Autorità il cui contenuto è stato definito “del tutto insufficiente”. Le società avrebbero infatti dichiarato di “non operare in Italia e che ad esse non è applicabile la normativa europea”. Facile da subito constatare l’insostenibilità di un tale assunto in quanto il GDPR, secondo il principio noto come “di extraterritorialità” espresso dall’art. 3, deve essere applicato anche quando il trattamento dei dati è effettuato da un soggetto non stabilito nell’Unione Europea. Ciò accade quando le attività di trattamento riguardano l’offerta di beni o la prestazione di servizi o il monitoraggio del comportamento di interessati che si trovano nell’Unione. Anche se ubicate nel territorio cinese, le società che forniscono DeepSeek effettuano questo tipo di attività verso i soggetti europei e quindi si applica il GDPR. Il Garante ha infine dichiarato di aver aperto un’istruttoria contestualmente alla limitazione del trattamento. Nei prossimi mesi verificheremo se, nel corso della stessa, le richieste di chiarimento sul trattamento dei dati personali tramite DeepSeek saranno soddisfatte.

Tale vicenda dimostra ancora una volta come le Autorità europee stiano cercando di difendere il proprio sistema normativo dai fornitori extraeuropei di nuove tecnologie quali l’intelligenza artificiale. Si fa riferimento a un modello normativo, come noto, teso al pieno rispetto dei diritti degli interessati ed esplicitato non solo nel GDPR ma ora anche nell’AI Act. La modalità di approccio che DeepSeek riserverà alle richieste del Garante italiano, così com’è stato nel caso di ChatGPT, sarà essa stessa un modo per verificare la possibilità di convivenza tra queste tecnologie strategiche e il rispetto delle normative europee.