Negli ultimi mesi, Deepseek – un modello di AI sviluppato in Cina in grado di eseguire attività allo stesso livello di ChatGPT– ha conquistato l’attenzione per le sue performance sorprendenti. Talmente sorprendenti da sollevare sospetti sulla liceità delle sue modalità di apprendimento, al punto da spingere le autorità europee, incluso il Garante Privacy italiano, ad aprire istruttorie sul trattamento dei dati degli utenti.
Nel gennaio 2025, l’Autorità Garante per la protezione dei dati personali ha emesso un provvedimento con cui ha ordinato alla piattaforma di intelligenza artificiale Deepseek di astenersi dal trattare dati personali riferibili a utenti italiani. Tale misura si fondava sul sospetto che la piattaforma stesse raccogliendo informazioni senza una valida base giuridica, in violazione del Regolamento (UE) 2016/679 (GDPR).
Quando il diritto incontra i limiti del digitale.
Nonostante l’ordine impartito a gennaio 2025, Deepseek risulta ancora raggiungibile dall’Italia, pertanto, l’Autorità Garante dei dati personali è tornata sulla questione, ma lo ha fatto in modo inusuale: trasmettendo una PEC ai principali operatori di connettività italiani, allegando copia del provvedimento e “invitando” gli stessi ad adottare “ogni determinazione di competenza” per impedire l’accesso al servizio da parte degli utenti nazionali.
Una scelta che solleva rilevanti profili di legittimità giuridica, efficacia amministrativa e coerenza sistematica nel delicato equilibrio tra tutela dei diritti fondamentali e limiti dell’azione regolatoria nel cyberspazio.
Profili critici dell’intervento del Garante.
- Assenza di un ordine formale vincolante
L’atto trasmesso ai provider non costituisce un provvedimento esecutivo ai sensi della normativa amministrativa italiana. L’espressione “ogni determinazione di competenza”, priva di contenuto precettivo chiaro, non impone alcuna misura concreta, configurandosi più come un atto di moral suasion che come un obbligo giuridico.
- Incapacità tecnica e giuridica degli operatori di rete
I fornitori di accesso a Internet non dispongono, in assenza di uno specifico ordine dell’autorità giudiziaria o amministrativa, del potere di bloccare selettivamente l’accesso a determinati contenuti. La violazione è prevista dall’art. 15 della Costituzione, che tutela la libertà e la segretezza delle comunicazioni. Interventi sul traffico dati — ad esempio tramite DNS hijacking o IP blocking — sono legittimi solo se previsti espressamente da provvedimenti motivati.
- Limiti di giurisdizione
La piattaforma Deepseek non ha una stabile organizzazione in Italia, non è localizzata in lingua italiana, e non è rivolta specificamente al mercato nazionale. Di conseguenza, non è scontato che possa ritenersi soggetta alla giurisdizione italiana, secondo i criteri previsti dal GDPR (art. 3) o dal diritto penale nazionale (art. 6 c.p.).
La non applicabilità del Digital Services Act
Alcuni commentatori hanno richiamato l’articolo 7 del Digital Services Act (Reg. UE 2022/2065), che consente agli intermediari di adottare misure volontarie per garantire il rispetto delle leggi. Tuttavia, tale facoltà non può derogare ai principi costituzionali italiani: l’intercettazione e la limitazione delle comunicazioni sono ammissibili solo in presenza di un atto autorizzativo emanato da un’autorità competente.
L’art. 9 DSA, che disciplina la rimozione di contenuti illegali, non è pertinente nel caso di specie, in quanto non si tratta di contenuti ma di operazioni di trattamento dati.
Una riflessione sul modello regolatorio
L’approccio adottato dal Garante solleva interrogativi più ampi circa il modello di enforcement che si sta progressivamente affermando nel contesto digitale. Il trasferimento, implicito o esplicito, del potere decisionale verso soggetti privati — provider, piattaforme, content moderator — rischia di generare un sistema di regolazione “paralegale”, che sfugge ai meccanismi tradizionali di responsabilità, garanzia e controllo democratico.
In tale contesto, si assiste alla trasformazione della norma giuridica in semplice indicazione comportamentale, e del provvedimento amministrativo in suggerimento non vincolante. Un’evoluzione che, se non bilanciata da un solido impianto di legittimità, mette a rischio i principi dello Stato di diritto nel contesto della governance digitale.
Conclusioni
Il caso Deepseek rappresenta un esempio paradigmatico delle difficoltà che le autorità nazionali incontrano nel garantire l’effettività delle norme a tutela dei dati personali, quando i soggetti coinvolti operano al di fuori della loro giurisdizione e delle strutture istituzionali europee.
La risposta, tuttavia, non può consistere in soluzioni ambigue o scorciatoie regolatorie. Al contrario, è necessario rafforzare i canali di cooperazione internazionale, chiarire i presupposti di giurisdizione extraterritoriale e preservare il ruolo centrale dell’autorità giudiziaria nei procedimenti che incidono su diritti fondamentali.
