DeepSeek e il provvedimento del Garante Privacy

1. Il quadro normativo e il blocco dell’AI generativa cinese

DeepSeek è un modello di AI generativa open source sviluppato in Cina, progettato per competere con i modelli occidentali quali GPT-4 e Stable Diffusion. Tra le sue applicazioni rientrano la generazione di testo, la creazione di immagini e video tramite modelli di AI generativa e l’integrazione nei motori di ricerca per un web più interattivo. Nonostante le sue avanzate capacità, DeepSeek è stato recentemente oggetto di controversie in materia di protezione dei dati personali, con particolare riferimento al rispetto della normativa europea.

Il Garante per la protezione dei dati personali (GPDP) italiano ha bloccato l’accesso a DeepSeek in Italia, avviando un’istruttoria per accertare eventuali violazioni del Regolamento Generale sulla Protezione dei Dati (GDPR). Le principali criticità sollevate riguardano la mancanza di trasparenza sulle categorie di dati raccolti, le loro fonti e gli scopi del trattamento, l’assenza di una base giuridica chiara per il trattamento e il possibile trasferimento di dati personali verso la Cina, senza adeguate garanzie.

Il Garante ha evidenziato che DeepSeek potrebbe non rispettare i requisiti delle disposizioni del GDPR, tra cui il principio di liceità, correttezza e trasparenza (art. 5), l’obbligo di fornire informazioni chiare agli utenti (art. 12), le condizioni di trattamento dei dati (art. 6) e le regole sui trasferimenti extra-UE (artt. 44-49). Inoltre, la conservazione dei dati su server cinesi potrebbe esporre gli utenti europei al rischio di accesso da parte delle autorità cinesi, in assenza di strumenti di protezione adeguati.

Se l’istruttoria confermerà le violazioni, DeepSeek potrebbe essere soggetto a sanzioni fino a 20 milioni di euro o al 4% del fatturato annuo globale, come previsto dall’art. 83 GDPR. Il Garante potrebbe inoltre imporre misure correttive, come restrizioni sul trattamento dei dati degli utenti UE o l’obbligo di conformarsi alle regole europee, pena l’esclusione definitiva dal mercato europeo.

Un caso analogo si è verificato nel 2023 con OpenAI, quando il GPDP ha temporaneamente bloccato ChatGPT per presunte violazioni del GDPR. OpenAI ha evitato l’esclusione introducendo misure di conformità, come una maggiore trasparenza nell’informativa sulla privacy e strumenti per la gestione del consenso degli utenti. Se DeepSeek vuole mantenere l’accesso al mercato UE dovrà probabilmente seguire un percorso simile.

2. La risposta di DeepSeek: il modello è soggetto al GDPR?

In risposta al provvedimento del Garante italiano, DeepSeek ha dichiarato di non operare direttamente in Italia, dunque di non essere soggetto alla normativa europea. Tuttavia, questa difesa è sostenibile?

Secondo il principio di applicazione extraterritoriale del GDPR, quale l’articolo 3, comma 2, il Regolamento viene applicato anche ad organizzazioni extra-UE se queste (a) offrono servizi ai suddetti interessati nell'Unione, indipendentemente dall'obbligatorietà di un pagamento dell'interessato; oppure (b) monitorano il comportamento degli utenti nella misura in cui tale comportamento ha luogo all'interno dell'Unione.

Dal momento che DeepSeek è accessibile agli utenti UE e interagisce con essi, rientra nell’ambito di applicazione del GDPR, anche se la società ha sede in Cina. Questa interpretazione è stata confermata da precedenti decisioni delle autorità di protezione dati europee, rafforzando la posizione del GPDP.

3. Implicazioni internazionali e prospettive future

Il caso DeepSeek non è isolato. Diverse giurisdizioni hanno adottato misure restrittive per motivi di sicurezza e protezione dei dati. Negli Stati Uniti, alcuni legislatori hanno proposto di vietare l’uso di DeepSeek sui dispositivi governativi, citando rischi per la sicurezza nazionale. In Corea del Sud e Australia, istituzioni pubbliche hanno limitato l’uso di modelli di AI generativa non conformi alle normative locali. In Europa, il caso DeepSeek potrebbe spingere a un maggiore coordinamento tra le Autorità di protezione dei dati degli Stati membri (EDPB), come già avvenuto per altre piattaforme di AI generativa.

L’intervento del Garante Privacy italiano si inserisce in un più ampio dibattito sulla regolamentazione delle AI extraeuropee, evidenziando il conflitto tra innovazione tecnologica, protezione dei dati e sicurezza digitale.

Le tensioni tra modelli normativi diversi continueranno a influenzare il futuro della regolamentazione dell’AI generativa. La conformità alle normative UE sarà un fattore chiave per le aziende che vogliono operare in Europa, mentre la crescente attenzione delle autorità garantirà che il diritto alla privacy degli utenti resti una priorità.