OpenAI vince contro il Garante privacy: perché il Tribunale di Roma ha annullato la sanzione da 15 milioni

Con sentenza del 18 marzo 2026, il Tribunale di Roma ha annullato il provvedimento n. 755 del 2 novembre 2024 con cui il Garante per la protezione dei dati personali aveva irrogato a OpenAI una sanzione amministrativa pecuniaria di 15 milioni di euro, oltre a una sanzione accessoria consistente nella realizzazione di una campagna di comunicazione istituzionale sui principali mezzi di comunicazione italiani.
La decisione non affronta nel merito tutte le contestazioni mosse dall’Autorità italiana, relative, tra l’altro, alla base giuridica del trattamento, alla trasparenza informativa, alla verifica dell’età degli utenti e alla notifica di un data breach. Il Tribunale accoglie invece il primo motivo di ricorso, ritenendo assorbenti le censure sulla competenza del Garante italiano. Il nodo centrale riguarda l’applicazione del meccanismo dello “sportello unico” previsto dal GDPR per i trattamenti transfrontalieri. In merito, abbiamo pubblicato la seconda edizione del Formulario commentato della privacy, disponibile su Shop Maggioli e su Amazon, e il volume Intelligenza artificiale generativa per professionisti – Dal legal prompting al workflow: metodo, tecniche e strumenti, disponibile su Shop Maggioli e su Amazon.

1. La sanzione del Garante e il ricorso di OpenAI

Il provvedimento impugnato contestava a OpenAI diverse violazioni del Regolamento UE 2016/679. Secondo il Garante, la società non avrebbe notificato un data breach occorso il 20 marzo 2023, non avrebbe adeguatamente dimostrato la base giuridica del trattamento per l’addestramento dei modelli, avrebbe presentato carenze nella privacy policy e non avrebbe predisposto sistemi idonei di verifica dell’età degli utenti.
A tali contestazioni era seguita una sanzione pecuniaria di 15 milioni di euro, accompagnata dall’obbligo di realizzare una campagna informativa istituzionale in Italia. OpenAI ha impugnato l’ordinanza-ingiunzione, sostenendo, tra gli altri motivi, che il Garante italiano non fosse più competente ad adottare il provvedimento finale, essendo nel frattempo intervenuto il riconoscimento dello stabilimento irlandese della società ai fini del GDPR. In merito, abbiamo pubblicato la seconda edizione del Formulario commentato della privacy, disponibile su Shop Maggioli e su Amazon, e il volume Intelligenza artificiale generativa per professionisti – Dal legal prompting al workflow: metodo, tecniche e strumenti, disponibile su Shop Maggioli e su Amazon.

2. Il punto decisivo: chi è competente nei trattamenti transfrontalieri

Il Tribunale concentra la propria analisi sugli artt. 55 e 56 GDPR e sul meccanismo dello sportello unico. In presenza di trattamenti transfrontalieri, l’autorità competente ad agire come interlocutore principale del titolare è quella dello stabilimento principale o unico nell’Unione europea.
Nel caso di OpenAI, il procedimento del Garante italiano era stato avviato nel gennaio 2024, quando non era ancora pienamente operante il riconoscimento dello stabilimento irlandese. Tuttavia, il 15 febbraio 2024 l’autorità irlandese aveva formalmente riconosciuto OpenAI Ireland come stabilimento rilevante nell’Unione. Da quel momento, secondo il Tribunale, la competenza sui trattamenti transfrontalieri avrebbe dovuto essere trasferita all’autorità irlandese, quale autorità capofila.
Il provvedimento finale del Garante italiano è invece stato adottato solo il 2 novembre 2024, quindi dopo il mutamento della situazione organizzativa e regolatoria rilevante.

3. Il parere EDPB e il trasferimento del procedimento

La sentenza attribuisce rilievo al parere n. 8/2019 del Comitato europeo per la protezione dei dati, relativo al mutamento delle circostanze riguardanti lo stabilimento principale o unico. Secondo tale impostazione, se durante un procedimento viene creato o trasferito nel SEE uno stabilimento principale o unico, il titolare può beneficiare del meccanismo dello sportello unico e il procedimento pendente deve essere trasferito all’autorità dello Stato in cui si trova tale stabilimento.
Il Tribunale esclude che tale regola operi soltanto per le violazioni continuative o continuate. La distinzione tra illeciti “consumati” e illeciti “continuativi”, valorizzata dal Garante, viene ritenuta priva di un fondamento giuridico idoneo a conservare la competenza italiana. Il criterio decisivo è, piuttosto, l’assenza di una decisione definitiva al momento del mutamento delle circostanze.

4. Perché il Garante italiano non poteva decidere

La decisione evidenzia che il procedimento, sebbene legittimamente avviato dal Garante italiano, era ancora pendente quando OpenAI Ireland è stata riconosciuta come stabilimento unico nell’Unione. Da quel momento, l’Autorità italiana avrebbe dovuto trasferire gli atti all’autorità irlandese e attivare il meccanismo di cooperazione previsto dagli artt. 60 e 61 GDPR.
Il Tribunale esclude inoltre l’applicabilità delle eccezioni che avrebbero consentito al Garante italiano di intervenire autonomamente: non risultava che il trattamento riguardasse unicamente interessati italiani, né che vi fossero i presupposti per misure urgenti provvisorie ai sensi dell’art. 66 GDPR.

5. Gli effetti della sentenza

L’accoglimento del primo motivo di ricorso comporta l’annullamento integrale del provvedimento sanzionatorio. Il Tribunale dichiara inoltre inefficace la polizza fideiussoria prestata da OpenAI a garanzia della sanzione pecuniaria, già sospesa in sede cautelare, e compensa le spese di lite tra le parti, richiamando la novità delle questioni trattate.
La pronuncia assume rilievo sistematico perché chiarisce che, nei procedimenti GDPR riguardanti trattamenti transfrontalieri, il sopravvenuto riconoscimento dello stabilimento principale o unico può incidere sulla competenza anche quando il procedimento sia già stato avviato. Ciò rafforza la centralità dello sportello unico e conferma l’esigenza di evitare frammentazioni o sovrapposizioni tra autorità nazionali nella gestione dei procedimenti sanzionatori europei.

Vuoi ricevere aggiornamenti costanti?

Salva questa pagina nella tua Area riservata di Diritto.it e riceverai le notifiche per tutte le pubblicazioni in materia. Inoltre, con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!
Iscriviti!