DeepSeek e il Garante Privacy: la questione dei dati personali e il rischio sanzioni
- Luca Baj
- 9 feb
- Tempo di lettura: 3 min
Il Garante Privacy italiano ha avviato un’indagine nei confronti di DeepSeek, la startup cinese fondata nel 2023, dopo aver rilevato possibili violazioni delle normative europee sulla protezione dei dati. DeepSeek, che ha lanciato nel gennaio 2025 il suo modello di linguaggio open-source DeepSeek R1, si presenta come un concorrente diretto di ChatGPT, con caratteristiche di efficienza energetica e accessibilità per un’ampia platea di utenti. Tuttavia, il sistema presenta criticità in materia di privacy e sicurezza, soprattutto per la gestione dei dati personali.
Le preoccupazioni del Garante Privacy
La preoccupazione principale riguarda la conservazione dei dati personali degli utenti su server in Cina, un fattore che solleva dubbi in merito alla trasparenza e alla conformità con il Regolamento Generale sulla Protezione dei Dati (GDPR). Inoltre, non risulta che la società abbia designato un rappresentante nell’Unione Europea, né che abbia previsto garanzie adeguate per il trasferimento dei dati al di fuori dell’UE. Per questi motivi, il Garante ha inviato una formale richiesta di chiarimenti alla società, domandando dettagli su:
• La tipologia di dati personali raccolti e le fonti utilizzate;
• Le finalità e la base giuridica del trattamento;
• La conferma sulla conservazione dei dati in Cina;
• I dataset utilizzati per l’addestramento dell’AI;
• L’eventuale utilizzo di tecniche di web scraping, con particolare attenzione all’informazione degli utenti.
DeepSeek ha 20 giorni di tempo per fornire una risposta esaustiva alle richieste dell’Autorità.
Limitazione del trattamento e indagine ispettiva
A seguito delle risposte insufficienti e lacunose fornite dalla società, il Garante Privacy ha deciso di adottare un provvedimento urgente imponendo la limitazione del trattamento dei dati personali degli utenti italiani. Questo significa che DeepSeek non potrà più raccogliere e trattare dati personali in Italia, ma potrà esclusivamente conservarli per scopi ispettivi o su richiesta dell’Autorità.
DeepSeek ha contestato il provvedimento, dichiarando di non operare in Italia e di non essere soggetta al GDPR. Tuttavia, il Garante ha ribadito che il GDPR ha effetti extra-UE, applicandosi anche alle società che, pur non avendo sede in Europa, trattano dati di cittadini europei. L’Autorità potrebbe dunque procedere con sanzioni, come già avvenuto con OpenAI per ChatGPT.
Le possibili sanzioni
Se DeepSeek non rispetterà le disposizioni del Garante, potrebbe incorrere in gravi sanzioni pecuniarie, che possono arrivare fino al 4% del fatturato mondiale totale annuo, come previsto dall’articolo 83 del GDPR. Inoltre, il Codice Privacy italiano prevede conseguenze penali per:
• Violazione dei provvedimenti del Garante, con pene fino a due anni di reclusione;
• False dichiarazioni o ostacolo alle indagini, punibili con la reclusione fino a tre anni.
Oltre alle sanzioni italiane, anche altre Autorità europee e internazionali stanno monitorando il caso. L’Irlanda, la Francia e la Grecia hanno già avviato richieste di informazioni, e l’EDPB (European Data Protection Board) potrebbe decidere di includere DeepSeek nella task force AI già istituita per OpenAI.
Le implicazioni per il settore AI
Il caso DeepSeek evidenzia ancora una volta l’importanza della regolamentazione nel settore dell’intelligenza artificiale e il ruolo centrale del Garante Privacy nella protezione dei dati dei cittadini europei. Se la startup cinese decidesse di collaborare con le autorità, potrebbe seguire la strada già intrapresa da OpenAI, designando un rappresentante in Europa e adottando misure correttive per garantire la conformità al GDPR.
Tuttavia, se la società continuerà a sottrarsi agli obblighi previsti dalla normativa europea, il rischio di sanzioni elevate e di un blocco definitivo del servizio in Italia ed Europa diventerà sempre più concreto. La vicenda rappresenta un banco di prova per le Autorità di regolamentazione dell’UE, soprattutto in vista dell’entrata in vigore dell’AI Act, la nuova normativa europea sull’intelligenza artificiale che punta a stabilire regole ancora più rigide per i modelli di AI generativa.
Il futuro di DeepSeek in Europa dipenderà dalla sua capacità di conformarsi alle normative e di adottare un approccio più trasparente nella gestione dei dati personali. Nel frattempo, il Garante Privacy continua a dimostrare la propria determinazione nel far rispettare le regole della protezione dei dati anche alle aziende extra-UE, confermando il ruolo dell’Italia come paese leader nella regolamentazione dell’AI.
Comments