Con il Provvedimento n. 574 del 1° ottobre 2025, l’Autorità Garante per la protezione dei dati personali ha disposto la limitazione provvisoria del trattamento di dati personali nei confronti della società AI/Robotics Venture Strategy 3 Ltd., gestore del sito e servizio di intelligenza artificiale generativa noto come ClothOff. L’intervento urgente si è reso necessario a causa delle gravi violazioni dei principi del Regolamento (UE) 2016/679 (GDPR), in particolare riguardo alla liceità, correttezza, accountability e privacy by design.
La società che fornisce il servizio ClothOff opera come titolare del trattamento ai sensi degli articolo 4, n. 7 e 24 del GDPR, e ha sede in Pasea Estate Road, Road Town, Tortola, British Virgin Islands. Il servizio ClothOff è un servizio di intelligenza artificiale generativa di tipo “deep nude” in quanto consente agli utenti, dopo aver attivato un account, di caricare foto raffiguranti una o più persone vestite e ottenere immagini alterate che ritraggono i soggetti senza indumenti. Il sito offre funzionalità di alterazione specificamente volte a generare “l’illusione di un corpo nudo” e risultati realistici. Il Garante Privacy ha rilevato che tali servizi di deep fake , simulando la rimozione degli indumenti e creando immagini potenzialmente sessualmente esplicite, comportano elevati rischi per i diritti e le libertà fondamentali , con particolare riguardo alla tutela della dignità della persona, ai diritti di riservatezza e di protezione dei dati personali, evidenziando un vero e proprio “allarme sociale”, soprattutto ove i minori possano essere coinvolti. La rilevanza del trattamento è stata analizzata anche alla luce del Regolamento (UE) 2024/1689 sull’intelligenza artificiale (“ AI Act ”), i cui consideranda 133 e 134 impongono ai fornitori di sistemi AI di marchiare chiaramente gli output generati o manipolati per rivelarne l’origine artificiale. Ambito di applicazione e istruttoria Il GDPR è ritenuto applicabile al trattamento svolto da ClothOff ai sensi dell’articolo 3, par. 2, lett. a) del GDPR, in quanto il servizio è offerto a interessati che si trovano nell’Unione Europea, e in particolare in Italia (criterio del targeting ). Con nota del 6 agosto 2025, il Garante Privacy, ha avviato una specifica istruttoria, chiedendo informazioni al Titolare, anche in relazione ai risvolti legati alla potenziale lesività della reputazione del soggetto ritratto. Tuttavia, ClothOff non ha mai risposta alla suddetta richiesta di informazioni del Garante Privacy. Violazioni contestate Il Garante Privacy ha ritenuto che ClothOff abbia trattato illecitamente i dati personali, in violazione degli articoli 5, par. 1, lett. a) e par. 2, e 25 del GDPR. Le violazioni ineriscono a tre aspetti principali: Mancanza di atteggiamento proattivo e violazione del Principio di Accountability (articolo 5, par. 1, lett. a) e par. 2). Sebbene il sito esponga avvertimenti chiari che vietano l’uso di foto di minori o di persone senza il loro consenso, e nonostante i Terms of service ribadiscano che l’utente è l’unico responsabile delle immagini generate, il Garante Privacy ha ritenuto che tali avvertimenti si limitino a ribadire divieti già vigenti nell’ordinamento giuridico. È stata altresì rilevata l’ assenza di un atteggiamento proattivo volto a escludere concretamente che il servizio possa costituire il punto di partenza per attività illecite a danno degli interessati. ClothOff ha omesso di implementare le misure tecniche e organizzative necessarie per una verifica effettiva sulla legittimità della raccolta e del trattamento, anche di dati biometrici, riferiti a soggetti terzi ritratti nelle immagini. Misure inefficaci per la tutela dei Minori (articolo 5, par. 1, lett. a). ClothOff ha dichiarato nei Terms of service di dare priorità alla protezione dei dati dei minori e di disporre di specifiche misure tecniche Ai per impedire l’utilizzo di immagini di soggetti minori di 20 anni. Tuttavia, l’istruttoria preliminare ha riscontrato come in realtà ClothOff non abbia adottato misure pienamente efficaci per escludere che: a) soggetti minori di età possano utilizzare ClothOff in qualità di utenti; b) possano essere caricate immagini riferite a minori di età. Inadeguatezza del Watermark e Violazione del principio di privacy by design e by default (articolo 5, par. 1, lett. a), par. 2 e articolo 25). In ragione della rischiosità intrinseca del servizio e degli obblighi derivanti dal principio di privacy by design (articolo 25), ClothOff aveva il dovere di apporre un watermark realmente efficace per indicare l’origine artificiale delle immagini. Gli accertamenti hanno rivelato che il watermark implementato (“Fake”) risulta inadeguato e inidoneo a minimizzare i rischi . In particolare, la parola “Fake” ha un’opacità che la rende scarsamente visibile, specialmente in corrispondenza del corpo del soggetto ritratto. Un watermark così tenue è risultato di facile eliminazione. Inoltre, il banner inferiore che dovrebbe indicare l’origine del servizio è facilmente rimuovibile tramite semplice ritaglio dell’immagine. Pertanto, ClothOff ha quindi omesso di apporre sulle immagini un contrassegno efficace, in violazione dei principi di correttezza e accountability. La decisione del Garante In ragione dell’elevata gravità delle violazioni constatate, del potenziale elevato numero di interessati coinvolti e della particolare natura dei dati personali trattati (immagini che simulano la nudità), il Garante Privacy ha ravvisato la necessità di intervenire d’urgenza . Pertanto, ai sensi dell’articolo 58, par. 2, lett. f) del GDPR, il Garante Privacy ha disposto, con effetto immediato, la limitazione provvisoria dei trattamenti di dati personali nei confronti di utenti italiani che possono essere qualificati “interessati del trattamento”. Ai sensi dell’articolo 18 del GDPR, la limitazione del trattamento implica che i dati personali non possano essere in alcun modo trattati salvo che per la conservazione, soltanto con il consenso dell’interessato o per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria oppure per tutelare i diritti di un’altra persona fisica o giuridica o per motivi di interesse pubblico rilevante dell'Unione o di uno Stato membro. La misura è disposta in via provvisoria, in attesa del completamento dell’attività istruttoria in corso da parte del Garante Privacy. Conclusioni Il Garante Privacy ha inoltre ricordato che l’inosservanza della misura disposta costituisce la fattispecie criminosa di cui all’articolo 170 del Codice Privacy – Inosservanza dei provvedimentipunita con la reclusione da tre mesi a due anni, oltre a comportare l’applicazione delle sanzioni amministrative fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore, come previsto dall’articolo 83, par. 5, lett. e), del GDPR. Il provvedimento è stato inoltre disposto per la pubblicazione sul sito internet del Garante Privacy.