Provvedimento del 10 aprile 2025 [10130115] – Garante Privacy
Il provvedimento del Garante per la protezione dei dati personali del 10 aprile 2025 si colloca all’interno di un panorama normativo complesso e in rapida evoluzione, segnato dalla diffusione di tecnologie basate sull’intelligenza artificiale generativa.
Tali tecnologie pongono interrogativi inediti rispetto alla tutela dei dati personali, richiamando l’esigenza di una rilettura sistematica delle garanzie sancite, in primis, dall’art. 8 della Carta dei diritti fondamentali dell’Unione europea, nonché dagli articoli 1, 2 e 5 del Regolamento (UE) 2016/679 (GDPR).
L’applicazione “Replika”, sviluppata da Luka Inc., si presenta come un chatbot basato su intelligenza artificiale generativa, con la capacità di instaurare interazioni affettive e personalizzate con gli utenti. Questa dimensione relazionale, non neutra, attribuisce al trattamento dei dati una valenza particolarmente delicata, soprattutto quando coinvolge soggetti vulnerabili, come i minori, ai sensi del Considerando 38 del GDPR.
Il provvedimento, che segue a un’ordinanza d’urgenza del febbraio 2023, si fonda sull’esercizio dei poteri ispettivi, correttivi e sanzionatori previsti dall’art. 58 del GDPR. L’intervento del Garante si qualifica così come manifestazione concreta del principio di effettività della tutela, volto a garantire l’applicazione uniforme del diritto europeo e la protezione sostanziale dei diritti digitali dei cittadini.
1. L’illiceità del trattamento dei dati da parte di Luka Inc.
Uno degli aspetti centrali dell’accertamento riguarda l’assenza di una base giuridica adeguata ai sensi dell’art. 6 del GDPR.
Luka Inc. ha invocato genericamente il consenso dell’utente, ma tale consenso, secondo il provvedimento in commento, non risponderebbe ai requisiti di validità richiesti dall’art. 7: mancava la specificità, la trasparenza informativa e soprattutto l’esplicitazione delle finalità distinte, in particolare tra erogazione del servizio e addestramento del modello di IA.
Il trattamento dei dati per finalità di machine learning è stato effettuato in assenza di una nuova base giuridica e senza l’attivazione di meccanismi di anonimizzazione efficaci. Ciò ha determinato anche una violazione degli articoli 5, par. 1, lett. b), c) ed e), relativi alla limitazione delle finalità, minimizzazione e limitazione della conservazione. L’utilizzo indiscriminato di dati personali, comprese potenzialmente categorie particolari ex art. 9 GDPR, per fini ulteriori e incompatibili, integra un trattamento illecito sotto più profili.
In sintesi, Luka Inc. ha:
- omesso di identificare con chiarezza una base giuridica valida;
- violato il principio di correttezza e trasparenza (art. 5, par. 1, lett. a));
- utilizzato i dati per scopi non previsti al momento della raccolta;
- mancato di ottenere un consenso specifico e informato per l’addestramento dell’IA.
2. Le carenze informative e la violazione del principio di trasparenza
Il Garante ha rilevato l’inadeguatezza dell’informativa fornita agli utenti, redatta esclusivamente in lingua inglese, priva degli elementi minimi previsti dagli articoli 12, 13 e 14 del GDPR. L’omessa comunicazione delle categorie di dati trattati, dell’identità del titolare, delle finalità specifiche e dei criteri di conservazione configura una grave lesione del diritto alla trasparenza e alla comprensione consapevole del trattamento.
Particolarmente critica è risultata l’assenza di indicazioni sulla presenza di decisioni automatizzate significative (art. 22 GDPR), nonché la mancata comunicazione del trasferimento dei dati verso Paesi terzi. Tale omissione, in assenza di garanzie adeguate ex art. 46 (quali le clausole contrattuali tipo), comporta una violazione ulteriore, esponendo gli interessati a rischi elevati legati alla perdita di controllo sui propri dati.
3. L’inosservanza delle misure a tutela dei minori
L’intervento del Garante ha evidenziato gravi carenze anche nella protezione dei minori, in violazione dell’art. 8 del GDPR, che prevede limiti rigorosi per il trattamento dei dati dei minori nel contesto dell’offerta diretta di servizi digitali. Luka Inc. si è affidata a un sistema di autodichiarazione dell’età inefficace, privo di misure tecniche di verifica effettiva, come raccomandato anche nelle Linee guida dell’EDPB.
L’inottemperanza si estende anche all’art. 25 del GDPR, che impone l’obbligo di protezione dei dati fin dalla progettazione e per impostazione predefinita (privacy by design and by default). L’applicazione non integrava strumenti per limitare l’accesso dei minori a contenuti potenzialmente inappropriati, né meccanismi di controllo parentale o di filtraggio dei contenuti.
4. Le misure correttive adottate e la sanzione irrogata
In risposta ai rilievi iniziali del Garante, Luka Inc. ha introdotto modifiche formali e parziali, tra cui:
- un aggiornamento dell’informativa sulla privacy;
- un tentativo di rafforzamento del controllo sull’età.
Tuttavia, tali interventi non hanno superato la soglia di adeguatezza richiesta dagli articoli 24 e 32 del GDPR. Le misure di accountability si sono rivelate insufficienti, soprattutto alla luce del rischio elevato per i diritti degli interessati e della natura transfrontaliera del trattamento.
La sanzione amministrativa di 5 milioni di euro, comminata ai sensi dell’art. 83 del GDPR, riflette l’adozione del principio di proporzionalità e di dissuasività, avendo il Garante considerato:
- la natura e durata delle violazioni;
- il numero elevato di utenti coinvolti;
- la reiterazione delle condotte;
- l’assenza di misure correttive tempestive ed efficaci.
Considerazioni conclusive
Il provvedimento in oggetto si configura come un’importante pronuncia di enforcement nel contesto delle tecnologie emergenti basate su IA generativa. Esso rafforza il ruolo centrale del GDPR nell’assicurare che anche le soluzioni tecnologicamente avanzate rispettino i principi fondamentali di legalità, necessità, proporzionalità e trasparenza.
In prospettiva, la decisione del Garante si integra con l’imminente entrata in vigore dell’AI Act, che qualifica i sistemi come Replika potenzialmente ad alto rischio, richiedendo obblighi supplementari di valutazione di conformità, gestione della trasparenza algoritmica e tutela dei diritti degli utenti.
La protezione dei dati personali non è un limite all’innovazione, bensì la condizione per una crescita sostenibile e legittima. La giurisprudenza e le Autorità di controllo sono chiamate a svolgere un ruolo essenziale, in modo da garantire che lo sviluppo tecnologico non comprometta il rispetto della dignità, della libertà e dell’identità digitale degli individui.
Avv. Adamo Brunetti