ChatGPT e GDPR: il Tribunale di Roma ridimensiona il Garante

Il Tribunale di Roma, con decisione del 18 marzo 2026, ha annullato il provvedimento n. 755/2024 del Garante per la protezione dei dati personali, relativo al trattamento dei dati nell’ambito del servizio ChatGPT. Si tratta di una pronuncia di grande rilievo nel dibattito giuridico sull’intelligenza artificiale, anche se – allo stato – è disponibile solo il dispositivo e non le motivazioni della decisione. In merito, abbiamo pubblicato la seconda edizione del Formulario commentato della privacy, disponibile su Shop Maggioli e su Amazon, e il volume Intelligenza artificiale generativa per professionisti – Dal legal prompting al workflow: metodo, tecniche e strumenti, disponibile su Shop Maggioli e su Amazon.

1. Competenza e limiti del Garante: il nodo territoriale

Uno dei passaggi più significativi riguarda la competenza dell’Autorità italiana. Il Tribunale sottolinea come, in assenza di uno stabilimento europeo di OpenAI al momento dei fatti, il Garante potesse intervenire solo entro limiti ben definiti. In particolare, la competenza nazionale non può estendersi automaticamente a trattamenti globali o a violazioni non chiaramente radicate nel territorio.
Questo approccio rafforza la logica del GDPR come sistema coordinato a livello europeo, in cui il meccanismo dello “sportello unico” (one-stop-shop) rappresenta la regola e non l’eccezione. Ne deriva un ridimensionamento del potere delle singole Autorità nazionali nei confronti dei grandi operatori digitali. In merito, abbiamo pubblicato la seconda edizione del Formulario commentato della privacy, disponibile su Shop Maggioli e su Amazon, e il volume Intelligenza artificiale generativa per professionisti – Dal legal prompting al workflow: metodo, tecniche e strumenti, disponibile su Shop Maggioli e su Amazon

2. Training dell’AI e ambito di applicazione del GDPR

Il cuore del provvedimento del Garante riguardava l’utilizzo dei dati per l’addestramento del modello. L’Autorità aveva contestato, tra l’altro, l’assenza di una base giuridica e di un’adeguata informativa, anche per soggetti non utenti i cui dati sarebbero stati raccolti online.
Il Tribunale, invece, valorizza la distinzione tra diverse fasi del trattamento: pre-training, sviluppo e utilizzo del servizio. In particolare, riconosce che l’addestramento del modello, avvenuto prima della diffusione del servizio nell’Unione europea, non può essere automaticamente ricondotto alla disciplina GDPR.
Si tratta di un passaggio cruciale: l’AI generativa viene trattata come fenomeno tecnologico autonomo, non pienamente assimilabile ai modelli tradizionali di trattamento dei dati personali.

3. Legittimo interesse e base giuridica: un’apertura significativa

Il Garante aveva evidenziato l’assenza di una chiara individuazione della base giuridica per il trattamento dei dati a fini di addestramento. La difesa di OpenAI si è invece fondata sul legittimo interesse, supportato da valutazioni interne (LIA) e misure di mitigazione.
La decisione del Tribunale sembra accogliere questa impostazione, aprendo alla possibilità che il training dei modelli di AI possa fondarsi sull’art. 6, par. 1, lett. f) GDPR. Si tratta di un punto particolarmente rilevante, perché ridimensiona l’idea – sostenuta in parte della dottrina – secondo cui sarebbe necessario il consenso per tali trattamenti.

4. Informativa e dati dei “non utenti”: obblighi ridimensionati

Un altro profilo centrale riguarda gli obblighi informativi verso gli interessati non utenti, i cui dati sarebbero stati utilizzati per l’addestramento del modello. Il Garante aveva ritenuto tali obblighi pienamente applicabili, evidenziando l’assenza di una informativa adeguata.
Il Tribunale, tuttavia, sembra adottare una posizione più pragmatica, tenendo conto della natura dei dati (pubblicamente disponibili) e delle difficoltà tecniche di informare individualmente una platea indeterminata di soggetti. Ne deriva una lettura meno rigida dell’art. 14 GDPR, almeno nel contesto dell’AI generativa.

5. Dall’accountability formale a quella sostanziale

Il provvedimento del Garante insisteva sull’assenza di documentazione adeguata (DPIA, LIA) al momento dell’avvio del trattamento. Il giudice, invece, sembra valorizzare un approccio più sostanziale all’accountability, considerando il contesto tecnologico e l’evoluzione rapida del servizio.
In altre parole, non viene richiesta una compliance perfetta ex ante, ma una dimostrazione complessiva di responsabilizzazione, anche attraverso interventi successivi.

Vuoi ricevere aggiornamenti costanti?

Salva questa pagina nella tua Area riservata di Diritto.it e riceverai le notifiche per tutte le pubblicazioni in materia. Inoltre, con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!
Iscriviti!