Il Garante per la protezione dei dati personali ha sanzionato Character Technologies, la società statunitense che gestisce Character.AI, il servizio di intelligenza artificiale generativa che permette agli utenti di conversare con personaggi virtuali, già esistenti oppure creati direttamente dagli iscritti.
Il provvedimento, adottato il 3 luglio 2026, chiude un’istruttoria avviata d’ufficio nel novembre 2024. L’Autorità aveva accertato che il servizio era disponibile anche in Italia, tramite app e piattaforma web, in lingua italiana e con un’informativa privacy rivolta anche agli utenti dello Spazio economico europeo.
Al centro della decisione ci sono soprattutto la tutela dei minorenni, l’effettiva verifica dell’età, la trasparenza nell’uso dei dati personali e le informazioni relative all’addestramento dei modelli di intelligenza artificiale. In tema abbiamo pubblicato il Master in Cybersecurity e compliance integrata – NIS2, GDPR, DORA, AI Act e CRA: le interazioni e gli obblighi per imprese e pubbliche amministrazioni.
Indice
- 1. Informative privacy poco chiare e dati usati per addestrare l’AI
- 2. Verifica dell’età aggirabile e profili pubblici per i minori
- 3. Valutazione d’impatto tardiva e rappresentante UE nominato in ritardo
- 4. Multa da 158mila euro e adeguamento entro 120 giorni
- Formazione per professionisti
- Vuoi ricevere aggiornamenti costanti?
1. Informative privacy poco chiare e dati usati per addestrare l’AI
Secondo il Garante, le informative privacy adottate dalla società non fornivano agli utenti informazioni sufficientemente chiare, complete e comprensibili. Le criticità riguardavano, tra gli altri aspetti, le finalità del trattamento, le basi giuridiche, i tempi di conservazione dei dati e i trasferimenti verso Paesi esterni all’Unione europea.
La prima versione dell’informativa, inoltre, era disponibile soltanto in inglese, nonostante Character.AI fosse offerto anche in italiano. In quella successiva, il Garante ha rilevato traduzioni imprecise, formule ambigue e una non corretta associazione tra categorie di dati, finalità e basi giuridiche.
Un altro profilo riguarda i dati utilizzati per il pre-addestramento dei modelli linguistici proprietari. Character non avrebbe informato adeguatamente gli interessati italiani, compresi soggetti non iscritti alla piattaforma, della possibilità che dati reperiti online venissero utilizzati per sviluppare i modelli di intelligenza artificiale.
2. Verifica dell’età aggirabile e profili pubblici per i minori
La parte più rilevante del provvedimento riguarda i minorenni. Character aveva introdotto un sistema di age gate basato sull’inserimento della data di nascita. Tuttavia, durante le verifiche tecniche svolte dal Garante, era stato possibile creare un account dichiarando un’età di 15 anni, nonostante per gli utenti europei fosse previsto uno sbarramento a 16 anni.
Il Garante ha inoltre accertato che il profilo del sedicente utente minorenne risultava pubblico per impostazione predefinita. Una configurazione ritenuta incompatibile con i principi di protezione dei dati fin dalla progettazione e per default, soprattutto quando il trattamento riguarda soggetti vulnerabili.
L’Autorità ha chiarito che il GDPR non impone un unico sistema tecnico di verifica dell’età. Tuttavia, l’assenza di uno standard armonizzato non esonera le piattaforme dall’obbligo di adottare misure realmente adeguate ed efficaci rispetto ai rischi del servizio.
3. Valutazione d’impatto tardiva e rappresentante UE nominato in ritardo
Il Garante ha contestato anche la tardiva redazione della valutazione d’impatto sulla protezione dei dati, la cosiddetta DPIA. La società avrebbe dovuto effettuarla prima dell’avvio del trattamento, considerando l’uso di una tecnologia innovativa, il trattamento su larga scala e il coinvolgimento di utenti minorenni.
La prima DPIA risale invece al novembre 2024 ed è stata successivamente aggiornata. Secondo l’Autorità, il documento iniziale non valutava in modo adeguato né i rischi per i minori né quelli connessi al pre-addestramento dei modelli.
È stata accertata anche la nomina tardiva del rappresentante della società nell’Unione europea, avvenuta il 31 maggio 2025, nonostante il servizio fosse già rivolto agli utenti europei e disponibile in Italia dall’aprile 2024.
4. Multa da 158mila euro e adeguamento entro 120 giorni
Il Garante ha disposto una sanzione amministrativa di 158mila euro e ha ordinato alla società di adeguarsi entro 120 giorni.
Character dovrà correggere l’informativa privacy, chiarire tempi di conservazione e trasferimenti extra UE, verificare la liceità dei dati utilizzati per il pre-addestramento e, in assenza di una valida finalità, procedere alla loro cancellazione.
Dovrà inoltre garantire il corretto funzionamento dello sbarramento anagrafico, impedire nuovi tentativi di registrazione da parte dei minori già bloccati e impostare i profili dei minorenni in modalità privata per default. Le iniziative adottate dovranno essere comunicate al Garante entro lo stesso termine di 120 giorni.
Formazione per professionisti
Master in Cybersecurity e compliance integrata – NIS2, GDPR, DORA, AI Act e CRA: le interazioni e gli obblighi per imprese e pubbliche amministrazioni
Il Master, giunto alla III edizione, è un percorso formativo avanzato pensato per imprese e pubbliche amministrazioni, professionisti, DPO, responsabili IT, compliance officer e consulenti legali che operano nel settore della sicurezza informatica e della governance normativa delle tecnologie digitali.
L’obiettivo del programma è fornire una visione sistematica, integrata e aggiornata della normativa europea e italiana in materia di cybersicurezza, affrontando in chiave applicativa i principali riferimenti normativi, dalle Direttive NIS alla regolamentazione dei sistemi di intelligenza artificiale, passando per i regolamenti complementari e gli atti attuativi nazionali.
Attraverso un approccio teorico-pratico, il master esplora:
• L’evoluzione della strategia europea di cybersicurezza.
• L’impianto della Direttiva NIS 2 e il D.lgs. 138/2024, con approfondimento su soggetti obbligati, misure tecniche e regimi sanzionatori.
• Il Perimetro nazionale di sicurezza cibernetica e la Legge n. 90/2024 come strumenti di difesa strategica dello Stato.
• Le interazioni con normative chiave come il GDPR, il Cybersecurity Act, il Digital Operational Resilience Act (DORA) e il Cyber Resilience Act (CRA).
• Il regolamento AI Act, che disciplina lo sviluppo, l’uso e il controllo dei sistemi di intelligenza artificiale in Europa.
• Le responsabilità aziendali e degli amministratori, la governance interna della cybersicurezza e le strategie di compliance integrata.
Il percorso è arricchito da esempi pratici, simulazioni di audit, check list operative e riferimenti normativi aggiornati, utili per implementare con efficacia le disposizioni di legge nei diversi contesti organizzativi.
>>>Per info ed iscrizioni<<<
Vuoi ricevere aggiornamenti costanti?
Salva questa pagina nella tua Area riservata di Diritto.it e riceverai le notifiche per tutte le pubblicazioni in materia. Inoltre, con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!
Iscriviti!
Scrivi un commento
Accedi per poter inserire un commento