Il Tribunale di Roma, con decisione del 18 marzo 2026, ha annullato il provvedimento n. 755/2024 del Garante per la protezione dei dati personali, relativo al trattamento dei dati nell’ambito del servizio ChatGPT. Si tratta di una pronuncia di grande rilievo nel dibattito giuridico sull’intelligenza artificiale, anche se – allo stato – è disponibile solo il dispositivo e non le motivazioni della decisione. In merito, abbiamo pubblicato la seconda edizione del Formulario commentato della privacy, disponibile su Shop Maggioli e su Amazon, e abbiamo organizzato il corso Dal GDPR alla Legge AI – Policy, reporting e strumenti pratici per la governance dei dati.
Indice
- 1. Competenza e limiti del Garante: il nodo territoriale
- 2. Training dell’AI e ambito di applicazione del GDPR
- 3. Legittimo interesse e base giuridica: un’apertura significativa
- 4. Informativa e dati dei “non utenti”: obblighi ridimensionati
- 5. Dall’accountability formale a quella sostanziale
- Formazione per giuristi in materia
- Vuoi ricevere aggiornamenti costanti?
1. Competenza e limiti del Garante: il nodo territoriale
Uno dei passaggi più significativi riguarda la competenza dell’Autorità italiana. Il Tribunale sottolinea come, in assenza di uno stabilimento europeo di OpenAI al momento dei fatti, il Garante potesse intervenire solo entro limiti ben definiti. In particolare, la competenza nazionale non può estendersi automaticamente a trattamenti globali o a violazioni non chiaramente radicate nel territorio.
Questo approccio rafforza la logica del GDPR come sistema coordinato a livello europeo, in cui il meccanismo dello “sportello unico” (one-stop-shop) rappresenta la regola e non l’eccezione. Ne deriva un ridimensionamento del potere delle singole Autorità nazionali nei confronti dei grandi operatori digitali. In merito, abbiamo pubblicato la seconda edizione del Formulario commentato della privacy, disponibile su Shop Maggioli e su Amazon.
Formulario commentato della privacy
La nuova edizione dell’opera affronta con taglio pratico gli aspetti sostanziali e procedurali del trattamento dei dati personali alla luce delle nuove sfide poste dall’evoluzione normativa e tecnologica degli ultimi due anni. La disciplina di riferimento è commentata tenendo conto dei rilevanti interventi a livello europeo e nazionale (tra cui le Linee Guida EDPB, i regolamenti AI Act e DORA, l’attuazione della direttiva NIS 2), offrendo al Professionista una guida completa e aggiornata.Il libro è suddiviso in tredici sezioni, che coprono ogni aspetto della materia e tutti gli argomenti sono corredati da oltre 100 formule e modelli. Tra le novità più rilevanti:• Connessioni tra il nuovo AI Act e il GDPR, differenze tra FRIA e DPIA, valutazione dei rischi e incidenti• Gestione del personale: smart working, telelavoro e whistleblowing• Strumenti di monitoraggio: controlli a distanza dei lavoratori, cloud computing e gestione degli strumenti informatici in azienda• Tutela degli interessati: una guida completa su profilazione, processi decisionali automatizzati e sull’esercizio dei diritti• Strumenti di tutela: sanzioni, reclami, segnalazioni e ricorsi al Garante.Giuseppe CassanoDirettore del Dipartimento di Scienze Giuridiche della European School of Economics della sede di Roma e Milano, ha insegnato Istituzioni di Diritto Privato nell’Università Luiss di Roma. Avvocato cassazionista. Studioso dei diritti della persona, del diritto di famiglia, della responsabilità civile e del diritto di Internet, ha pubblicato oltre trecento contributi in tema, fra volumi, trattati, voci enciclopediche, note e saggi.Enzo Maria Tripodiattualmente all’Ufficio legale e al Servizio DPO di Unioncamere, è un giurista specializzato nella disciplina della distribuzione commerciale, nella contrattualistica d’impresa, nel diritto delle nuove tecnologie e della privacy, nonché nelle tematiche attinenti la tutela dei consumatori. È stato docente della LUISS Business School e Professore a contratto di Diritto Privato presso la facoltà di Economia della Luiss-Guido Carli. Ha insegnato in numerosi Master post laurea ed è autore di oltre quaranta monografie con le più importanti case editrici.Cristian ErcolanoPartner presso Theorema Srl – Consulenti di direzione, con sede a Roma; giurista con circa 20 anni di esperienza nell’applicazione della normativa in materia di protezione dei dati personali e più in generale sui temi della compliance e sostenibilità. Ricopre incarichi di Responsabile della Protezione dei Dati, Organismo di Vigilanza e Organismo Indipendente di Valutazione della performance presso realtà private e pubbliche. Autore di numerosi contributi per trattati, opere collettanee e riviste specialistiche sia tradizionali che digitali, svolge continuativamente attività didattica, di divulgazione ed orientamento nelle materie di competenza.
Giuseppe Cassano, Enzo Maria Tripodi, Cristian Ercolano | Maggioli Editore 2025
58.90 €
2. Training dell’AI e ambito di applicazione del GDPR
Il cuore del provvedimento del Garante riguardava l’utilizzo dei dati per l’addestramento del modello. L’Autorità aveva contestato, tra l’altro, l’assenza di una base giuridica e di un’adeguata informativa, anche per soggetti non utenti i cui dati sarebbero stati raccolti online.
Il Tribunale, invece, valorizza la distinzione tra diverse fasi del trattamento: pre-training, sviluppo e utilizzo del servizio. In particolare, riconosce che l’addestramento del modello, avvenuto prima della diffusione del servizio nell’Unione europea, non può essere automaticamente ricondotto alla disciplina GDPR.
Si tratta di un passaggio cruciale: l’AI generativa viene trattata come fenomeno tecnologico autonomo, non pienamente assimilabile ai modelli tradizionali di trattamento dei dati personali.
3. Legittimo interesse e base giuridica: un’apertura significativa
Il Garante aveva evidenziato l’assenza di una chiara individuazione della base giuridica per il trattamento dei dati a fini di addestramento. La difesa di OpenAI si è invece fondata sul legittimo interesse, supportato da valutazioni interne (LIA) e misure di mitigazione.
La decisione del Tribunale sembra accogliere questa impostazione, aprendo alla possibilità che il training dei modelli di AI possa fondarsi sull’art. 6, par. 1, lett. f) GDPR. Si tratta di un punto particolarmente rilevante, perché ridimensiona l’idea – sostenuta in parte della dottrina – secondo cui sarebbe necessario il consenso per tali trattamenti.
4. Informativa e dati dei “non utenti”: obblighi ridimensionati
Un altro profilo centrale riguarda gli obblighi informativi verso gli interessati non utenti, i cui dati sarebbero stati utilizzati per l’addestramento del modello. Il Garante aveva ritenuto tali obblighi pienamente applicabili, evidenziando l’assenza di una informativa adeguata.
Il Tribunale, tuttavia, sembra adottare una posizione più pragmatica, tenendo conto della natura dei dati (pubblicamente disponibili) e delle difficoltà tecniche di informare individualmente una platea indeterminata di soggetti. Ne deriva una lettura meno rigida dell’art. 14 GDPR, almeno nel contesto dell’AI generativa.
5. Dall’accountability formale a quella sostanziale
Il provvedimento del Garante insisteva sull’assenza di documentazione adeguata (DPIA, LIA) al momento dell’avvio del trattamento. Il giudice, invece, sembra valorizzare un approccio più sostanziale all’accountability, considerando il contesto tecnologico e l’evoluzione rapida del servizio.
In altre parole, non viene richiesta una compliance perfetta ex ante, ma una dimostrazione complessiva di responsabilizzazione, anche attraverso interventi successivi.
Formazione per giuristi in materia
Dal GDPR alla Legge AI – Policy, reporting e strumenti pratici per la governance dei dati
Un ciclo di quattro incontri per tradurre le norme su AI e protezione dei dati in procedure operative concrete. Dalla definizione delle policy alla costruzione del reporting e delle linee guida interne, il webinar offre ai professionisti della compliance strumenti immediatamenti applicabili:
• Basi giuridiche e accountability documentale: principi applicabili ai trattamenti tipici dell’ufficio legale, distinzione fra esigenze legali, difensive e operative, mappatura end-to-end del flusso “revisione clausole contrattuali” ed errori frequenti con relative contromisure.
• Criteri e controllo dei risultati: accettazione dei risultati di analisi e AI, registrazione dei casi d’uso e delle verifiche, esempi pratici di analytics.
• KPI, reporting e governance del dato: definizione e monitoraggio degli indicatori, progettazione di dashboard efficaci e policy interne per garantire tracciabilità e qualità dei dati.
• Integrazione AI e workflow aziendale: collegamento dell’AI con l’ecosistema aziendale, flusso “review automatizzata delle clausole” e linee guida “Uso dati e AI nell’ufficio legale”.
>>>Per info ed iscrizioni<<<
Vuoi ricevere aggiornamenti costanti?
Salva questa pagina nella tua Area riservata di Diritto.it e riceverai le notifiche per tutte le pubblicazioni in materia. Inoltre, con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!
Iscriviti!
Scegli quale newsletter vuoi ricevere
Autorizzo l’invio di comunicazioni a scopo commerciale e di marketing nei limiti indicati nell’informativa.
Presto il consenso all’uso dei miei dati per ricevere proposte in linea con i miei interessi.
Cliccando su “Iscriviti” dichiari di aver letto e accettato la privacy policy.
Grazie per esserti iscritto alla newsletter.
Scrivi un commento
Accedi per poter inserire un commento