Garante per la protezione dei dati personali: Caso ChatBot cinese "DeepSeek" e i rischi per i dati personali

Il 29 gennaio 2025, il Garante per la protezione dei dati personali italiano ha avviato un’indagine su DeepSeek, un servizio di chatbot basato sull’intelligenza artificiale sviluppato dalle società cinesi Hangzhou DeepSeek Artificial Intelligence e Beijing DeepSeek Artificial Intelligence. Solo due giorni dopo, l’Autorità ha disposto la limitazione del trattamento dei dati di tutti gli utenti presenti sul territorio nazionale.
DeepSeek, progettato per comprendere ed elaborare le conversazioni umane, è stato lanciato di recente sul mercato globale, dove è stato scaricato rapidamente da milioni di utenti, inclusi moltissimi utenti italiani. La diffusione capillare e repentina di questo servizio ha sollevato forti preoccupazioni riguardo alla protezione dei dati personali e alla trasparenza delle modalità di trattamento.
L’indagine si è aperta con una richiesta formale di informazioni indirizzata alle società sviluppatrici, a cui il Garante ha chiesto di chiarire:
- Quali categorie di dati personali venissero raccolte;
- Le fonti da cui tali dati provenissero (ad esempio, profili social o tecniche di web scraping);
- Le finalità e le basi giuridiche del trattamento;
- La localizzazione dei server e l’eventuale trasferimento dei dati in Paesi non conformi al GDPR, come la Cina;
- Le modalità di informazione adottate nei confronti degli utenti, registrati e non.
Il Garante ha ritenuto necessario intervenire a fronte dell’elevato numero di utenti che hanno scaricato questo servizio di chatbot in Italia in un tempo molto ristretto, con conseguente rischio per la sicurezza e la riservatezza delle informazioni comunicate dagli utenti attraverso il chatbot.
Le risposte ricevute da DeepSeek sono state giudicate insufficienti e non in grado di offrire alcuna garanzia concreta. In particolare, la società ha dichiarato di non operare in Italia e di non ritenersi soggetta alla normativa europea sulla protezione dei dati, posizione in evidente contrasto con gli elementi raccolti durante l’indagine preliminare.
Alla luce della mancata collaborazione e del concreto rischio per i diritti e le libertà fondamentali degli utenti italiani, il Garante ha adottato una misura d’urgenza: il divieto immediato del trattamento dei dati personali da parte di DeepSeek sul territorio nazionale. Tale limitazione resterà in vigore finché non verranno chiarite tutte le criticità rilevate.
Parallelamente, l’Autorità proseguirà con un’istruttoria approfondita per accertare la conformità della piattaforma alle norme europee in materia di protezione dei dati personali e per valutare l’impatto delle pratiche finora adottate sui diritti fondamentali dei cittadini.
Questa decisione, prima nel suo genere a livello globale, rappresenta un passo decisivo verso una regolamentazione più rigorosa ed etica dell’intelligenza artificiale. Il provvedimento non solo tutela gli utenti italiani, ma lancia anche un segnale chiaro alle aziende extraeuropee: chiunque intenda operare nel mercato dell’UE deve rispettare pienamente i principi di legalità, trasparenza e accountability.