L'articolo esamina le implicazioni delle misure e dell’avvio di indagine ispettiva da parte del Garante Privacy nei confronti di Deepseek, le potenziali sanzioni ai sensi della vigente e attuale normativa privacy GDPR e Codice Privacy nonché le possibili azioni future da parte delle autorità privacy a livello europeo e globale. La vicenda rappresenta un importante test per la governance dell'intelligenza artificiale e per il rispetto delle normative privacy in un contesto globale, in cui l’Unione Europea ha l’opportunità di affermare il proprio modello.
Contesto DeepSeek è una startup cinese fondata nel 2023 da Liang Wenfeng ed è supportata dal fondo High-Flyer. Nel gennaio 2025, ha lanciato DeepSeek R1, un modello di linguaggio open-source progettato per competere con i leader del settore come ChatGPT. Due sono le caratteristiche distintive efficienza anche energetica richiede meno risorse computazionali, riducendo i costi operativi e l’impatto ambientale acessibilità natura open-source e versione gratuita che lo rende accessibile ad una ampia platea di utenti, dalle piccole-medie imprese agli sviluppatori. Di contro, DeepSeek non offre robuste garanzie in termini di privacy e sicurezza in quanto nella privacy policy si dichiara che i dati personali sono conservati su server in Cina, non indifferente in termini di rischi di censura e applicazione di leggi nazionali stringenti in termini di accesso ai dati, non risulta designato un rappresentato in UE per le questioni relative al trattamento dei dati personali e si effettuano trasferimenti di dati personali extra-ue senza specificare le garanzie adeguate per gli stessi. Richiesta informazioni del Garante Privacy Non si è fatto attendere l’intervento della nostra Autorità per la protezione dei dati personali Garante Privacy che ha prontamente mandato formale richiesta di informazioni alle società che forniscono il chatbot DeepSeek in relazione a tipologia di dati personali raccolti fonti finalità base giuridica del trattamento luogo di conservazione dei dati, ovvero confermare che gli stessi siano conservati in server collocati in Cina set di dati utilizzati per addestramento modello AI in caso di raccolta di dati tramite web scraping, se gli utenti iscritti e non sono stati informati sul trattamento dei dati personali. Deepseek deve rispondere entro 20 giorni. Limitazione del trattamento Ebbene, a seguito di risposte insufficienti e lacunose da parte di DeepSeek, il Garante Privacy ha imposto in via immediata e urgente la limitazione del trattamento dei dati personali degli utenti italiani trattati da DeepSeek e avviato un’indagine ispettiva. La Società, difatti, ha risposto che non opera in Italia non è soggetta alla normativa sulla protezione dei dati personali, i.e. GDPR e Codice Privacy. Chiaramente trattasi di difese che non sono coerenti con quanto previsto dal GDPR che è una normativa con voluti e chiari effetti extra-UE. In primo luogo, nonostante DeepSeek non sia più disponibile in versione app negli app store per gli utenti italiani, è ancora utilizzabile la versione web nonché l’app per chi l’aveva scaricata in precedenza. Pertanto, attualmente, DeepSeek tratta dati personali di utenti italiani, ferma futura decisione di ulteriore blocco. In secondo luogo, l’articolo 3 del GDPR che delinea l’ambito di applicazione afferma chiaramente che il GDPR si applica anche e soprattutto in caso di trattamenti di dati personali di cittadini europei effettuati da titolari o responsabili del trattamento stabiliti extra-UE . Pertanto, ci si augura che come già avvenuto con OpenAI, DeepSeek si appresti a collaborare con il Garante Privacy anche alla luce di evidenti rischi sanzionatori. Non è la prima volta che il Garante Privacy applica questa misura. Analogo scenario si era già verificato con OpenAI per Chatgpt che aveva però prontamente collaborato con l’autorità, designando un rappresentante in UE e aderendo alle azioni correttive. Nonostante poi, l’Autorità ha comunque recentemente sanzionato la società per persistenti violazioni alla normativa privacy. Ma cosa si intende con limitazione del trattamento e cosa comporta? La limitazione del trattamento rientra sia tra i poteri correttivi che le autorità privacy possono imporre ex articolo 58 GDPR, comma 2, lett. g , nonché tra i diritti degli interessati ai sensi dell’articolo 18 del GDPR. La limitazione del trattamento implica che la società, titolare del trattamento dei dati, non possa più in alcun modo utilizzare i dati personali raccolti ma solo conservarli per azioni future utili all’interessato che l’ha richiesta o all’autorità che l’ha imposta. Nel caso di specie, è presumibile che il Garante Privacy abbia richiesto la limitazione del trattamento dei dati e contestualmente avviato un’indagine così da poter dimostrare, ove riscontri elementi che evidenziano violazioni della normativa privacy, che i dati personali sono stati raccolti illecitamente . Cosa rischia DeepSeek? Innanzitutto, l’inosservanza di un ordine di limitazione del trattamento ivi imposto dal Garante Privacy comporta sanzioni pecuniarie fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore ai sensi dell’articolo 83 GDPR conseguenze anche sul piano penale previste dal nostro codice privacy. Difatti, ai sensi degli articoli 168 e 170 del Codice Privacy, si può essere puniti per inosservanza di provvedimenti del Garante Privacy, ivi inclusa la limitazione del trattamento «chiunque, non osservando il provvedimento del Garante Privacy, arreca un concreto nocumento a uno o più soggetti interessati al trattamento è punito, a querela della persona offesa, con la reclusione da tre mesi a due anni » falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante «salvo che il fatto costituisca più grave reato, chiunque, in un procedimento o nel corso di accertamenti dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, è punito con la reclusione da sei mesi a tre anni». E ancora «Fuori dei casi di cui al comma 1, è punito con la reclusione sino ad un anno chiunque intenzionalmente cagiona un'interruzione o turba la regolarità di un procedimento dinanzi al Garante o degli accertamenti dallo stesso svolti». Inoltre, DeepSeek sarà eventualmente soggetta a sanzioni pecuniarie fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore, qualora il Garante Privacy, nel corso dell’indagine, dovesse riscontrare violazioni relative rispettivamente a principi di base del trattamento , comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9 l’Autorità aveva difatti chiesto chiarimenti sulla base giuridica applicata. Nella privacy policy di Deepseek si parla in termini generici di consenso e/o contratto ma non sono chiarite modalità e/o finalità i diritti degli interessati a norma degli articoli da 12 a 22 il Garante Privacy ha chiesto di confermare se gli utenti iscritti e non sono sufficientemente informati in caso di raccolta dati tramite web scraping e quale sia il set di dati utilizzato per l’addestramento del modello AI i trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale a norma degli articoli da 44 a 49. Nella privacy policy di DeepSeek si parla in termini generici della possibilità di poter trasferire dati personali extra-UE ma senza specificare le garanzie adeguate utilizzate per tali trasferimenti di dati. Conclusioni Sarà interessante capire se DeepSeek si muoverà in modo analogo ad OpenAI, cooperando con il Garante Privacy e apportando azioni correttive eventualmente imposte per evitare o quanto meno diminuire l’importo di una eventuale sanzione. Difatti, anche altre autorità privacy, al momento, il Garante Privacy Irlandese DPC , belga ADP , francese CNIL e sudcoreano PIPC nonché l’Associazione Homo digitalis tramite sollecito al garante privacy greco, hanno chiesto formali informazioni. Pertanto, è chiaro che Deepseek sia ormai esposta ad un’ attenzione non solo italiana, ma in parte europea e globale . Si ricorda che l’EDPB, a seguito della limitazione imposta dal Garante Privacy ad OpenAI, ha creato una task force chatgpt europea e nulla toglie che possa essere ampliata ad altri ai providers quali Deepseek. Inoltre, anche la Commissione UE che nei giorni scarsi aveva dichiarato di seguire con attenzione le vicende relative a Deepseek, ben potrebbe avviare un’indagine. In conclusione, ben venga il repentino intervento del Garante Privacy che dimostra, ancora una volta, di essere un’autorità capofila nelle questioni AI, cogliendo l’occasione o, meglio, la sfida di far rispettare la normativa privacy e perché no il nostro modello in termini di governance a seguito dell’ AI ACT , anche extra-UE.