NEWS

Il caso DeepSeek e le lettere del Garante ai provider: quando la privacy chiama in causa la rete

Nel gennaio 2025 il Garante per la protezione dei dati personali ha emesso il Provvedimento n. 33/2025, dichiarando illecito il trattamento dei dati personali effettuato da DeepSeek, un servizio basato su intelligenza artificiale messo a disposizione da due società cinesi, Hangzhou DeepSeek Artificial Intelligence Co. Ltd. e Beijing DeepSeek Artificial Intelligence Co. Ltd., attraverso il sito di Deepseek.

Il provvedimento ha disposto la limitazione definitiva del trattamento nei confronti di utenti situati sul territorio italiano, a causa dell’assenza di garanzie adeguate per il trasferimento dei dati verso la Repubblica Popolare Cinese, in violazione del Regolamento UE 2016/679 (GDPR).

Nonostante la rimozione dell'applicazione dagli store digitali (Apple App Store e Google Play Store), il sito web risulta ad oggi ancora raggiungibile dall’Italia. Questo ha portato il Garante a compiere un passo inedito nel panorama regolatorio nazionale: inviare una comunicazione formale all’Associazione Italiana Internet Provider (AIIP) e a diversi Internet Service Provider italiani, informandoli della persistenza dell’accesso e della natura illecita del trattamento. La comunicazione non assume i toni di un’ordinanza, ma sollecita “ogni determinazione di propria competenza”, richiamando la responsabilità degli operatori della rete nella loro veste di intermediari di servizi della società dell’informazione, ai sensi del D.Lgs. 70/2003.

Questo passaggio segna un momento significativo: per la prima volta, la tutela della privacy coinvolge in modo esplicito l’infrastruttura di rete. Non più soltanto titolari, responsabili e interessati, ma anche chi rende tecnicamente possibile l’accesso a servizi online può essere chiamato a valutare l’impatto del proprio ruolo nella continuazione di un trattamento illecito.

La posizione dei provider, però, è tutt’altro che semplice. Il quadro normativo nazionale e comunitario, a partire dal Digital Services Act e dalle norme sulla neutralità della rete, stabilisce dei confini netti all’azione degli operatori: i provider di accesso non possono in autonomia filtrare, bloccare o censurare contenuti, se non in presenza di ordini chiari da parte delle autorità competenti. Allo stesso tempo, però, il D.Lgs. 70/2003 stabilisce che, una volta venuti a conoscenza dell’illiceità di contenuti o attività accessibili tramite i propri servizi, gli intermediari sono tenuti ad agire tempestivamente per impedirne la continuazione o a giustificare tecnicamente e giuridicamente l’eventuale impossibilità di intervento.

Nel caso di DeepSeek, dunque, i provider si trovano in una zona grigia. La comunicazione del Garante non impone direttamente un blocco DNS o IP, ma rappresenta un atto formale di conoscenza: da questo momento, l’accessibilità del sito attraverso i sistemi del provider diventa una condizione che non può più essere ignorata. Ignorare la comunicazione o non valutarne l’impatto, senza attivare alcuna istruttoria interna, potrebbe configurare una forma di responsabilità per mancata cooperazione o omissione.

In questo scenario, è fondamentale che i provider – pubblici o privati – adottino un approccio strutturato e trasparente. La prima azione potrebbe consistere nell’effettuare una verifica tecnica interna, per comprendere se l’accesso al sito incriminato sia instradato tramite i propri DNS resolver, instradamenti IP o altri meccanismi infrastrutturali. Se sì, occorre valutare la fattibilità tecnica e giuridica di un blocco selettivo, bilanciando l’esigenza di interrompere un trattamento illecito con il rispetto della neutralità della rete e la non interferenza su altri servizi legittimi.

(Nella foto: il Dott. Aldo Giacomo Colantuono, Delegato Federprivacy per la provincia di Chieti)

La seconda azione potrebbe consistere nella documentazione delle attività svolte. Che si scelga di attuare un blocco tecnico o di non adottare misure, è fondamentale che ogni decisione sia tracciata e giustificata. Coinvolgere il DPO nella redazione di un documento interno può servire a formalizzare l’analisi dei rischi, la valutazione delle conseguenze e le ragioni per cui eventuali misure non possano essere adottate senza un ordine giudiziario.

Infine, pur non essendo obbligatoria, può rivelarsi opportuna una risposta scritta al Garante, con cui il provider conferma la ricezione della segnalazione, espone le verifiche effettuate e comunica le determinazioni adottate. Un atto di trasparenza che tutela anche dal rischio di essere coinvolti in modo secondario in un procedimento sanzionatorio futuro.

Il caso DeepSeek rappresenta, in definitiva, un precedente. Se la protezione dei dati personali deve essere effettiva anche contro soggetti extra-UE che eludono la giurisdizione europea, la cooperazione tra autorità, operatori di rete e attori digitali dovrà divenire sempre più strutturata. Per i DPO e i privacy officers, si apre una nuova fase: la compliance non può più fermarsi al perimetro aziendale, ma deve dialogare con l’infrastruttura stessa della rete. Le lettere del Garante non sono soltanto un avviso: rappresentano un segnale di cambiamento nella governance della privacy digitale.

Note sull'Autore

Aldo Giacomo Colantuono Aldo Giacomo Colantuono

Data Protection Officer, Dottore Commercialista, Consulente e formatore in materia di Gdpr, Delegato Federprivacy per la provincia di Chieti. Email: [email protected]

Prev Problematiche GDPR nell’utilizzo dell’AI nella consulenza professionale
Next Ecosistema digitale sicuro e resiliente: priorità 2025

Vademecum per prenotare online le vacanze senza brutte sorprese

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy