Garante Privacy e ChatGPT in Italia: cronologia 2023-2026
Il caso che ha definito le regole d'uso ChatGPT in azienda. Dal blocco del 30 marzo 2023 alla multa 15M€ del dic 2024, fino all'annullamento del Tribunale di Roma del 18 marzo 2026. Cosa rimane in piedi e cosa è cambiato per le PMI italiane.
Indice · 9 sezioni
- 01La storia che ha definito le regole del gioco
- 02Cronologia in cinque momenti
- 03Cosa contestava il Garante (la sostanza, oltre i titoli)
- 04La sentenza Tribunale Roma 4153/2026: cosa annulla, cosa lascia in piedi
- 05Casi paralleli: l'Italia non si è mossa solo su ChatGPT
- 06Le sei best practice operative che il Garante ha documentato
- 07Cosa significa nel concreto per una PMI italiana oggi
- 08L'effetto ChatGPT Italia sul resto del mondo
- 09Cosa facciamo noi di default
Garante Privacy e ChatGPT in Italia: cronologia 2023-2026
La storia che ha definito le regole del gioco
Quando un DPO o un IT Manager di una PMI italiana chiede oggi se può usare ChatGPT sui dati aziendali, la risposta concreta poggia su tre anni di provvedimenti del Garante, una multa da 15 milioni, due interventi del Tribunale di Roma e una serie di best practice rimaste in piedi anche dopo l'annullamento della sanzione.
Vale la pena ricostruire la sequenza con i documenti alla mano, perché molte conclusioni che circolano nei convegni sono semplificate al punto di essere fuorvianti.
Cronologia in cinque momenti
| Data | Evento | Doc / Riferimento |
|---|---|---|
| 30 marzo 2023 | Provvedimento di blocco temporaneo di ChatGPT in Italia. Primo Paese occidentale a intervenire. Motivazioni: assenza base giuridica per trattamento massivo, mancanza informativa GDPR adeguata, assenza verifica età minori, data breach del marzo 2023 | Provvedimento Garante, doc. web Garante |
| 2 novembre 2024 | Provvedimento n. 755 (comunicato 20 dicembre 2024): sanzione 15 M€ a OpenAI + ordine campagna informativa istituzionale di 6 mesi + prescrizioni privacy policy + verifica età minori. Violazioni accertate fino al 15 febbraio 2024 (artt. 5, 6, 13, 14, 25, 32, 33 GDPR) | doc. web 10085432 |
| post stabilimento Irlanda OpenAI | Trasferimento atti al DPC irlandese (one-stop-shop GDPR) | Procedura standard GDPR |
| 21 marzo 2025 | Ordinanza Tribunale di Roma (procedimento n. 4785/2025): sospensione cautelare della sanzione previa cauzione | Federprivacy primo piano |
| 18 marzo 2026 | Sentenza Tribunale di Roma n. 4153/2026: accoglimento opposizione OpenAI, ANNULLAMENTO della sanzione 15 M€. Provvedimento originario rimosso dal sito Garante | Edunews24, Ilsole24Ore NT+ |
Cosa contestava il Garante (la sostanza, oltre i titoli)
Il provvedimento del 2 novembre 2024, comunicato il 20 dicembre, articolava le contestazioni su quattro filoni:
1. Base giuridica del trattamento per addestramento. Il Garante sosteneva che OpenAI avesse raccolto e trattato dati personali per addestrare il modello senza una base giuridica adeguata. Né il consenso (che richiede informazione preventiva e granulare), né il legittimo interesse (che richiede bilanciamento documentato), erano stati ritenuti soddisfatti.
2. Trasparenza. Privacy policy non in italiano, generica, non granulare sulle finalità di training. Mancanza di un'informativa adeguata agli interessati i cui dati erano stati raccolti da fonti pubbliche.
3. Data breach del marzo 2023. Esposizione di cronologia chat di altri utenti, nome, cognome, email, ultime quattro cifre carte di credito, data scadenza. La notifica al Garante non era stata tempestiva ai sensi dell'art. 33 GDPR.
4. Verifica età minori. Assenza di meccanismi efficaci per impedire l'accesso a minori di 13 anni.
Il provvedimento aggiungeva un elemento operativo importante e nuovo per il regolatore italiano: per la prima volta veniva applicato l'art. 166, comma 7, del Codice Privacy, ordinando una campagna informativa istituzionale di sei mesi su radio, TV, giornali e Internet, da concordare con l'Autorità. I contenuti dovevano "promuovere la comprensione e la consapevolezza del pubblico sul funzionamento di ChatGPT, in particolare sulla raccolta dei dati di utenti e non-utenti per l'addestramento dell'intelligenza artificiale generativa e i diritti esercitabili dagli interessati".
OpenAI ha argomentato in opposizione che la sanzione fosse "venti volte superiore al fatturato generato in Italia nel periodo di riferimento" (fonte Diritto.it).
La sentenza Tribunale Roma 4153/2026: cosa annulla, cosa lascia in piedi
Il 18 marzo 2026 il Tribunale di Roma ha accolto l'opposizione di OpenAI e annullato la sanzione di 15 milioni. La motivazione, sintetizzata da Edunews24: "La sanzione è stata giudicata sproporzionata rispetto alle effettive violazioni accertate. La sentenza crea un precedente che limita la discrezionalità nell'applicazione di sanzioni, chiedendo che siano proporzionate e basate su violazioni effettive".
Tre conseguenze pratiche:
1. Il provvedimento originario è stato temporaneamente rimosso dal sito ufficiale del Garante. Chi vuole consultarlo deve passare da archivi (Wayback Machine, NT+ Diritto, fonti secondarie).
2. La discrezionalità del Garante sulle sanzioni AI è ridimensionata. Le sanzioni vanno motivate, proporzionate al fatturato realmente generato in Italia, ancorate a violazioni effettive. Non è una vittoria delle big tech: è un richiamo al rigore proporzionale.
3. Il dibattito sulla regolazione AI rimane aperto. L'arrivo dell'AI Act europeo (vedi 10 azioni per le PMI) e della Legge italiana 132/2025 sposta progressivamente competenze e baricentro.
Quello che la sentenza NON fa: legittimare il comportamento contestato. Federprivacy ha colto bene il punto a proposito della precedente ordinanza di sospensione: "Nonostante la decisione del Tribunale di Roma, rimangono naturalmente dubbi sulla liceità e sulla correttezza dell'operato di ChatGPT per ciò che concerne numerosi aspetti della conformità alla normativa sulla protezione dei dati personali europea". La sentenza riduce la sanzione monetaria, non i requisiti sostanziali.
Casi paralleli: l'Italia non si è mossa solo su ChatGPT
L'attenzione del Garante italiano su AI/algoritmi non si è limitata a OpenAI. Cumulativamente nel periodo 2021-2025 il Garante ha comminato oltre 50 milioni di euro di sanzioni su sistemi AI e algoritmici:
| Caso | Data | Sanzione | Profilo |
|---|---|---|---|
| Luka Inc. (Replika) | provv. 10 aprile 2025, comunicato 19 maggio 2025 | 5 M€ | Privacy policy solo in inglese, sistema verifica età inefficace, basi giuridiche assenti |
| Foodinho (Glovo) | provv. n. 675 del 13 novembre 2024 | 5 M€ | Profilazione algoritmica oltre 35.000 rider, geolocalizzazione fuori orario |
| Foodinho (Glovo), precedente | provv. n. 234 del 5 luglio 2021 | 2,6 M€ | Algoritmi opachi, circa 19.000 rider |
| Deliveroo Italy | provv. n. 285 del 22 luglio 2021 | 2,5 M€ | Algoritmi rider opachi, geolocalizzazione ogni 12 secondi, circa 8.000 rider |
| Clearview AI | provv. n. 50 del 10 febbraio 2022 | 20 M€ | Riconoscimento facciale cittadini italiani senza base giuridica |
L'orientamento del Garante è chiaro: l'AI che processa dati personali in modo opaco, senza base giuridica solida e senza supervisione umana significativa, viene sanzionata.
Le sei best practice operative che il Garante ha documentato
Tra le pieghe dei provvedimenti emerge una checklist operativa che il Garante ha implicitamente legittimato come "modo di usare ChatGPT in azienda senza prendere multe". Sei punti:
1. Definire la base giuridica per ogni trattamento. Consenso, legittimo interesse, contratto, obbligo legale. Documentare la scelta. Per uso aziendale di ChatGPT su dati cliente, la base più solida è di solito il contratto o il legittimo interesse, bilanciato.
2. Privacy policy in italiano, granulare per attività. Periodi di conservazione, diritti GDPR esercitabili (accesso, rettifica, cancellazione, opposizione). Non basta tradurre il testo americano: serve adattarlo alla realtà italiana.
3. Verifica età, dove applicabile. Non è un problema per la maggior parte delle PMI B2B. Diventa rilevante se vendete a consumatori o se il vostro uso esterno (es: chatbot sito) può essere fruito da minori.
4. DPIA obbligatoria per uso enterprise di GenAI su dati personali. L'Allegato 1 del Provvedimento Garante n. 467 dell'11 ottobre 2018 elenca i trattamenti soggetti a DPIA: include profilazione e uso di AI. Approfondiamo l'integrazione DPIA + AI Act in AI Act vs GDPR per PMI.
5. Documentare l'opt-out per training. Su ChatGPT consumer, il setting "Improve the model for everyone" va disattivato. Su versione enterprise/API, la clausola "no training" è contrattuale.
6. Versione enterprise (ChatGPT Enterprise/Team/API) preferibile alla versione free per uso aziendale. Garantisce contrattualmente non utilizzo dei prompt per training e DPA conforme GDPR. La versione consumer (gratuita o ChatGPT Plus individuale) ha protezioni minori e contratto verso un soggetto fisico individuale, non aziendale.
Checklist contrattuale completa di cosa pretendere da OpenAI o da qualsiasi fornitore AI nella vostra DPA in GDPR e AI: cosa firmare prima di far processare dati.
Cosa significa nel concreto per una PMI italiana oggi
Tre conclusioni pratiche per il DPO di una PMI manifatturiera che si chiede "possiamo usare ChatGPT al lavoro?":
1. Sì, con la versione enterprise e DPA. Per uso aziendale serio la maggioranza delle PMI italiane che ha valutato il tema è passata a ChatGPT Team o Enterprise (o a Mistral La Plateforme / Claude API enterprise come alternative EU). Il costo è 25-30 €/utente/mese, l'incremento di tutele è grande: niente training su prompt, DPA conforme, data residency dichiarata, sub-processor list nominati, controllo amministrativo dei contenuti.
2. No alla versione free per dati aziendali. Su ChatGPT consumer gratuito o Plus individuale, il fornitore può tecnicamente usare i prompt (e gli output) per migliorare il modello, a meno di opt-out esplicito. Anche con opt-out, il contratto è verso il singolo utente fisico, non verso l'azienda: in caso di breach o contestazione, l'azienda è poco tutelata.
3. Sì, ma con policy interna chiara. L'inventario sistemi (vedi 10 azioni AI Act) deve includere ChatGPT esplicitamente. La policy AI usage deve specificare cosa è ammesso incollare (bozza testi generici, sintesi documenti pubblici) e cosa è vietato (dati personali clienti senza consenso, listini sensibili, capitolati riservati, dati di lotto). La formazione AI literacy ex Art. 4 (vedi articolo dedicato) deve coprire esattamente queste regole.
L'effetto ChatGPT Italia sul resto del mondo
Il caso italiano è stato studiato. L'Olanda ha avviato un'istruttoria simile nel 2024, la Germania ha aperto la propria nel 2025. Il DPC irlandese ha ereditato il dossier OpenAI dopo lo stabilimento e sta proseguendo l'analisi sostanziale.
L'enforcement GDPR su AI generative non finisce con la sentenza di Roma. Cambia metrica (sanzioni più proporzionate), ma il principio è confermato: chi usa AI su dati personali deve avere base giuridica, trasparenza, supervisione, DPA. Questo si somma agli obblighi specifici dell'AI Act (Art. 50 trasparenza dal 2 agosto 2026), creando un mosaico denso che è più facile da affrontare con una sola governance integrata.
Cosa facciamo noi di default
Per le PMI manifatturiere che ci contattano e vogliono usare ChatGPT (o equivalenti) in azienda, partiamo sempre dall'inventario dell'uso reale (compreso shadow IT), poi versione enterprise + DPA blindato + policy interna scritta. Due-tre giornate distribuite, costo basso, copertura compliance solida sia GDPR sia AI Act.
Su use case specifici (estrazione DDT, reportistica produzione, bot interno) preferiamo modelli ospitati in EU con clausole no-training contrattuali (Mistral self-hosted, Claude via API con DPA), non perché ChatGPT/OpenAI siano "male" ma perché la difendibilità documentale verso il Garante italiano è massima quando i dati restano nel perimetro UE controllato.
AICompliance: audit uso AI + mappatura obblighi Art. 50 + pacchetto contrattuale (DPA, sub-processor list, Registro trattamenti GDPR). Dettagli in AI Compliance.
Se ha senso per voi, scopriamolo in 30 minuti.
Aggiornato al 24 maggio 2026. Articolo divulgativo, non costituisce consulenza legale. Il provvedimento Garante n. 755 del 2 novembre 2024 risulta temporaneamente rimosso dal sito del Garante a seguito della sentenza Trib. Roma n. 4153/2026: link a fonti secondarie (Edunews24, NT+ Diritto, Federprivacy) per la consultazione del contenuto. L'iter è soggetto a ulteriori sviluppi (eventuali ricorsi in appello).
Quante di queste ore perdi anche tu?
Il check-up te lo dice in 3 minuti: 12 domande, risultato subito, senza registrazione. Se non c'è un caso forte, lo vedi dai tuoi numeri. Niente proposta finta.