Il Garante per la protezione dei dati personali italiano che solo il 29 Gennaio aveva avviato un’indagine su DeepSeek, il chatbot basato sull’intelligenza artificiale sviluppato dalle società cinesi Hangzhou DeepSeek Artificial Intelligence e Beijing DeepSeek Artificial Intelligence, ieri ha disposto la limitazione del trattamento dei dati di tutti gli utenti presenti sul territorio nazionale.
L’abbiamo dovuto bloccare.
Già, perché dopo la richiesta di informazioni, l’Autorità ha ritenuto le risposte fornite dalle aziende del tutto insufficienti e ha deciso di adottare una misura d’urgenza: la limitazione immediata del trattamento dei dati degli utenti presenti sul territorio nazionale.
Tale decisione, la prima al mondo, rappresenta un intervento significativo nel tentativo di una regolamentazione etica dell’intelligenza artificiale e del trattamento da questa operato dei dati personali ; regolamentazione che deve basarsi su solidi principi di legalità, conoscibilità ne trasparenza.La limitazione posta in esserne dal Garante Italiano, intende anche essere un monito per le società cinesi di settore che vogliano operare in Italia e solleva altresì importanti interrogativi sulle garanzie di sicurezza e trasparenza offerte dalle piattaforme di IA sviluppate al di fuori dell’Unione Europea.
Indice degli argomenti
Deepseek, le preoccupazioni iniziali del Garante
L’indagine su DeepSeek è iniziata con una richiesta formale di informazioni da parte del Garante, che ha espresso forti preoccupazioni riguardo la tutela della privacy di milioni di utenti italiani. In particolare, l’Autorità aveva chiesto alle società sviluppatrici di chiarire:
• Quali tipi di dati personali venissero raccolti dagli utenti.
• Da quali fonti provenissero tali dati (ad esempio, se fossero estratti direttamente da profili social degli utenti o raccolti tramite attività di web scraping).
• Per quali finalità venissero trattati i dati e con quale base giuridica.
• Se i dati fossero conservati su server collocati in Cina, con il conseguente rischio di esposizione a normative meno garantiste rispetto al GDPR.
• Se e come gli utenti iscritti e non iscritti fossero stati informati relativamente al trattamento dei loro dati personali.
La richiesta del Garante si è resa necessaria in quanto DeepSeek è stato scaricato verosimilmente da un numero imprecisato ma sicuramente molto considerevole di utenti Italiani in pochi giorni dal suo lancio, suscitando interrogativi sul trattamento e sulla sicurezza delle informazioni personali fornite dagli utenti durante l’utilizzo del chatbot.
Una risposta insoddisfacente e la decisione di bloccare DeepSeek
Entro il termine di 20 giorni, le società avrebbero dovuto fornire tutte le informazioni richieste. La risposta pervenuta all’Autorità, tuttavia , è stata assolutamente insufficiente e inadeguata a fornire qualsivoglia rassicurazione e non ha dissipato in alcun modo i dubbi sulle modalità di trattamento dei dati personali.
Nello specifico, DeepSeek ha dichiarato di non operare in Italia e di non essere soggetto alla normativa europea, una posizione singolare che contraddice le evidenze raccolte dal Garante ( ma palesi per gli stessi utenti) e che ha rafforzato i sospetti sulla mancata trasparenza delle operazioni della società cinese.
Di fronte alla mancata collaborazione e al rischio concreto per la privacy degli utenti presenti in Italia , il Garante ha adottato una misura d’urgenza: la limitazione immediata del trattamento dei dati da parte di DeepSeek sul territorio Nazionale. Tale decisione impedisce alle Società di continuare raccogliere, elaborare o conservare i dati degli utenti italiani fino a quando, auspicabilmente ancorché difficilmente visto l’approccio adottato dalle Medesime, non saranno chiarite tutte le criticità evidenziate.
Oltre la limitazione di cui sopra , l’Autorità proseguirà con un’approfondita attività istruttoria sulla conformità di DeepSeek alle normative europee relativamente alla protezione dei dati e valuterà l’impatto sui diritti dei cittadini di quanto”raccolto” indebitamente dalla Piattaforma che, tra l’altro, ha denunciato un attacco malevolo in seguito al quale-secondo fonti reperibili in rete- vi sarebbe stata l’esposizione di milioni di dati personali anche particolari.
GDPR vs PIPL: il confronto tra regolamentazione europea e cinese sulla privacy
L’intervento del Garante, tra l’altro, riaccende un faro su una questione cruciale: le differenze tra il Regolamento Generale sulla Protezione dei Dati (GDPR) europeo e la Personal Information Protection Law (PIPL) cinese.
Tale questione merita un sintetico approfondimento per far meglio comprendere le ragioni che hanno indotto il Garante Italiano ad adottare misure tanto tempestive e stringenti.
Principi di base
GDPR (UE): protegge i diritti fondamentali dei cittadini, garantendo trasparenza, controllo e sicurezza nel trattamento dei dati personali.
PIPL (Cina): introdotto nel 2021, è la prima legge cinese specifica sulla protezione dei dati personali, ma rimane subordinata agli interessi dello Stato e alla sicurezza nazionale.
Trasparenza e consenso
GDPR: richiede che il consenso dell’utente sia esplicito, informato e revocabile in qualsiasi momento.
PIPL: prevede il consenso, ma in Cina le aziende devono collaborare con le autorità statali, il che può compromettere la privacy individuale.
Trasferimento internazionale dei dati
GDPR: il trasferimento di dati fuori dall’UE è vietato se il paese di destinazione non garantisce un livello di protezione adeguato. La Cina non è considerata un paese con protezione adeguata.
PIPL: i dati possono essere trasferiti all’estero solo con l’approvazione delle autorità cinesi, che possono negare l’autorizzazione per motivi di sicurezza nazionale.
Ruolo del governo
GDPR: l’autorità di controllo (come il Garante Privacy in Italia) è indipendente dal governo.
PIPL: il trattamento dei dati è fortemente regolato dallo Stato cinese, che ha poteri di accesso e controllo su tutte le informazioni gestite dalle aziende.
Sanzioni e responsabilità
GDPR: prevede multe fino al 4% del fatturato annuo globale per le aziende che violano la normativa.
PIPL: le sanzioni possono arrivare al 5% del fatturato annuo e includono restrizioni operative imposte dal governo.
Perché il blocco di DeepSeek è un caso significativo?
L’azione del Garante rappresenta, dunque, un ulteriore elemento cruciale nel rapporto “ in costruendo” tra l’intelligenza artificiale generativa e la tutela dei dati personali in Italia e nel mondo.
Il caso in esame caso evidenzia , infatti, alcuni punti chiave:
La difficoltà di regolamentare l’IA internazionale
Le aziende tecnologiche operano su scala globale, rendendo complesso applicare le normative nazionali ed europee.
La necessità di maggiore trasparenza
L’uso di dati personali per addestrare modelli di IA pone interrogativi su come vengano raccolti e se gli utenti siano adeguatamente informati.
Il problema del trasferimento dei dati in paesi con normative diverse
Se i dati degli utenti italiani ed europei vengono trasferiti in Cina e conservati in Cina non godono- allo stato-delle stesse tutele garantite dal GDPR.
Perché è caso emblematico
Il “blocco” di DeepSeek è un caso emblematico che mette ancora una volta in luce le profonde differenze culturali nel modo di intendere anche la protezione dei dati: assicurata in modo democratico e trasparente in Europa e subordinata al controllo statale in Cina e in molti altri Paesi in cui non vige il GDPR.
Questo “local case”, cui stanno facendo seguito iniziative analoghe da parte di altre Nazioni europee, sottolinea l’importanza strategica di una regolamentazione attenta dell’intelligenza artificiale generativa che coniughi sempre e in parallelo sviluppo tecnologico e diritti delle persone, nonché l’esigenza di un atteggiamento vigile sulla trasparenza e correttezza nel trattamento dei dati personali, specialmente quando coinvolge aziende extraeuropee.