La decisione del Tribunale di Roma di annullare la sanzione da 15 milioni di euro inflitta dal Garante per la protezione dei dati personali a OpenAI segna un passaggio giuridico rilevante nel rapporto tra regolazione e intelligenza artificiale.
La sanzione, adottata nel 2024 all’esito dell’istruttoria avviata dopo il blocco temporaneo di ChatGPT in Italia nel 2023, rappresentava uno dei primi tentativi europei di applicare in modo incisivo il GDPR ai modelli di AI generativa. Il Garante aveva individuato una serie di criticità: l’assenza di una base giuridica adeguata al trattamento dei dati utilizzati nell’addestramento del modello, carenze informative nei confronti degli interessati, insufficienza dei meccanismi di verifica dell’età e un ritardo nella notifica di un data breach.
OpenAI aveva impugnato la decisione presso il Tribunale di Roma, contestandone sia il merito che la proporzionalità e dando inizio ad un contenzioso che si è poi sviluppato in due fasi: una sospensione della sanzione nel 2025 e, infine, l’annullamento disposto nel marzo 2026 dal Tribunale di Roma.
Al momento le motivazioni della decisione non sono state ancora rese note, e non è pertanto ancora possibile valutazione tecnica puntuale delle ragioni che hanno portato all’annullamento. Tuttavia, in assenza di motivazioni, la decisione si presta comunque ad una lettura in chiave simbolica.
Indice degli argomenti
Il momento istituzionale del Garante italiano
L’annullamento della sanzione interviene in un momento particolarmente delicato per il Garante italiano, che negli ultimi anni ha assunto un ruolo di primo piano nel dibattito europeo sull’intelligenza artificiale.
È innegabile che il blocco temporaneo di ChatGPT nel 2023 aveva segnato una discontinuità netta rispetto all’approccio prudente di molte altre autorità europee, posizionando l’Italia come laboratorio anticipatore di enforcement. Una scelta che aveva attirato l’attenzione internazionale, ma anche molte critiche da parte di chi riteneva quell’intervento eccessivamente restrittivo, miope ed isolato rispetto al contesto europeo.
Da allora, il Garante ha consolidato una postura attiva, cercando di colmare (attraverso l’interpretazione dei principi del GDPR) i vuoti normativi lasciati da un quadro regolatorio ancora in evoluzione. In questo senso, l’azione nei confronti di OpenAI si inseriva in una strategia più ampia e coerente con l’impianto regolatorio europeo, cioè quella di utilizzare strumenti esistenti per governare fenomeni tecnologici emergenti.
Emblematici sono stati alcuni interventi recenti che hanno riguardato applicazioni e modelli riconducibili all’ecosistema dell’intelligenza artificiale. Si pensi al caso DeepSeek, rispetto al quale l’Autorità ha avviato richieste istruttorie particolarmente penetranti sulla provenienza dei dati, sulle logiche di addestramento e sulle garanzie offerte agli interessati, estendendo di fatto il perimetro delle verifiche ben oltre le tradizionali logiche di trattamento.
Ancora più significativo il caso delle applicazioni di “nudification” come ClothOff, dove il Garante è intervenuto valorizzando principi come la liceità e la tutela della dignità della persona per fronteggiare fenomeni che il GDPR non disciplina espressamente, ma che ne mettono alla prova l’impianto assiologico.
La decisione del Tribunale rischia tuttavia di incidere su questa traiettoria, in quanto può essere percepita come una smentita della costruzione giuridica fornita dal Garante.
In un contesto in cui le autorità indipendenti fondano gran parte della propria efficacia sulla credibilità e sull’autorevolezza, il rischio va oltre la perdita di una causa, poiché potrebbe mettere in discussione la capacità stessa dell’autorità privacy di guidare l’interpretazione del diritto in ambiti ad alta complessità tecnologica.
Un’Autorità sotto pressione: il fattore istituzionale
Si aggiunge poi un elemento che non può essere ignorato e che contribuisce a rendere il contesto ancora più fragile sul piano istituzionale.
Il collegio del Garante, composto da quattro membri, è stato recentemente segnato dalle dimissioni di uno dei suoi componenti, maturate a seguito di vicende emerse inizialmente sul piano giornalistico e poi approdate anche a una dimensione giudiziaria. Pur non essendo un aspetto direttamente connesso al merito delle decisioni adottate dall’Autorità, è difficile sostenere che sia del tutto irrilevante.
In una fase in cui il Garante è chiamato a esercitare un ruolo di frontiera nella regolazione dell’intelligenza artificiale, episodi che incidono sulla tenuta e sull’immagine del collegio rischiano di riflettersi (almeno indirettamente) sulla percezione della sua autorevolezza.
Un’Autorità esposta su dossier altamente conflittuali, che al tempo stesso attraversa una fase di vulnerabilità interna, si trova inevitabilmente in una posizione più debole nel confronto (sempre più serrato) con grandi operatori tecnologici e, ora, anche con l’interpretazione dei giudici.
Giudici e Autorità: due modi diversi di leggere il diritto della tecnologia
La decisione del Tribunale di Roma evidenzia una tensione tra due approcci alla regolazione del digitale che difficilmente possono essere ridotti a una semplice divergenza interpretativa.
Le autorità indipendenti operano secondo una logica sistemica e non si limitano allo specifico caso concreto, poiché mirano ad orientare comportamenti futuri, costruire standard e prevenire rischi. Nel contesto dell’AI, questo significa spesso adottare interpretazioni estensive del GDPR, valorizzando principi come la trasparenza, la responsabilizzazione e la tutela dei diritti fondamentali anche in situazioni non esplicitamente previste dal legislatore.
Il giudice ordinario è chiamato a valutare la legittimità di un provvedimento alla luce di criteri più stringenti, quali proporzionalità, motivazione, prova dei fatti, coerenza con il quadro normativo esistente. Il suo intervento è per definizione ex post e ancorato al caso specifico.
Questa differenza nel contesto tecnologico assume una dimensione amplificata. Il diritto positivo fatica a tenere il passo con l’innovazione e le autorità tendono a colmare il vuoto interpretativo. I giudici, tuttavia, non sempre accettano questo “slittamento” verso una funzione quasi normativa da parte delle autorità indipendenti.
Se si guarda al ruolo degli attori coinvolti, l’interrogativo è comprendere chi abbia il mandato di costruire il diritto applicabile alle tecnologie emergenti.
Il rischio di delegittimazione delle autorità indipendenti
Se il caso OpenAI restasse isolato, potrebbe essere interpretato come una fisiologica espressione del sistema di checks and balances; se però decisioni analoghe dovessero moltiplicarsi, il quadro cambierebbe sensibilmente.
Il primo profilo da tenere in considerazione è di natura giuridica: un’elevata probabilità di annullamento delle sanzioni riduce la prevedibilità dell’enforcement e incentiva il contenzioso. Le imprese (soprattutto quelle dotate di risorse legali significative) possono essere indotte a considerare la sanzione come una fase negoziale e non come esito definitivo.
Il secondo punto è istituzionale: le autorità indipendenti basano la propria efficacia sui poteri formali e, come accennato sopra, sulla capacità di orientare i comportamenti attraverso decisioni percepite come solide e difficilmente reversibili. Se questa percezione viene meno, si rischia l’erosione della loro autorevolezza.
Infine, con riferimento alla dinamica interna alle autorità, di fronte a un elevato tasso di impugnazione e annullamento, può emergere e consolidarsi una tendenza alla cautela, con il rischio di decisioni meno innovative, interpretazioni più conservative, minore propensione ad affrontare i casi più complessi.
Insomma, in un contesto tecnologico che richiede massima capacità di intervento, le autorità privacy potrebbero paradossalmente diventare più prudenti, lasciando spazio a un vuoto regolatorio che altri attori (inclusi i giudici) sarebbero chiamati a colmare.
Gli effetti sul sistema europeo: verso una frammentazione interpretativa?
Il GDPR è costruito su un equilibrio delicato tra armonizzazione normativa e applicazione decentrata, in cui le autorità nazionali operano in coordinamento attraverso l’EDPB, pur mantenendo poteri autonomi. In questo sistema la giurisprudenza nazionale può avere un impatto significativo sull’interpretazione complessiva del regolamento e, di conseguenza, la decisione del Tribunale di Roma potrebbe produrre effetti anche oltre i confini italiani.
Potremmo aspettarci ad esempio un maggiore attendismo da parte di altre autorità, poiché in assenza di un orientamento giurisprudenziale chiaro e stabile, potrebbe prevalere una strategia di cautela, con interventi meno incisivi nei confronti delle tecnologie emergenti.
Con riguardo al ruolo delle corti invece, se le decisioni delle autorità venissero sistematicamente sottoposte a revisione e, in alcuni casi, annullate, si rafforzerebbe il peso della giurisprudenza nella definizione degli standard applicativi del GDPR. Si passerebbe così da un modello di enforcement amministrativo a uno più marcatamente giurisdizionale.
C’è poi il rischio di frammentazione. Se giudici di diversi Stati membri adottassero approcci divergenti rispetto alle decisioni delle rispettive autorità, il rischio sarebbe una disomogeneità applicativa che andrebbe in diretta contraddizione con l’obiettivo stesso del regolamento.
Considerando che l’Unione europea sta introducendo l’AI Act, destinato a convivere con il GDPR, la coerenza tra questi due livelli regolatori diventa cruciale. Un sistema frammentato rischia di compromettere l’efficacia della tutela dei diritti e la certezza giuridica per gli operatori.
Quando l’enforcement diventa negoziabile: la lettura delle big tech
Un ulteriore elemento da considerare riguarda il modo in cui questa decisione viene letta e utilizzata dagli stessi operatori tecnologici. Nelle dichiarazioni rilasciate a Reuters, OpenAI ha accolto (naturalmente) con favore la decisione del Tribunale, ribadendo il proprio impegno per la tutela della privacy e sottolineando la volontà di contribuire allo sviluppo dell’AI in Italia e in Europa.
Una posizione prevedibile, anche se non neutra: il passaggio da una sanzione “sproporzionata” a un annullamento giudiziario rafforza la narrativa delle grandi piattaforme secondo cui l’enforcement delle autorità può essere contestato e, addirittura, ribaltato in sede giurisdizionale.
Per le big tech, questo tipo di esito potrebbe diventare un precedente (anche solo percepito) che legittima una strategia di resistenza regolatoria fondata sul ricorso sistematico ai giudici. In altri termini, la compliance potrebbe giocarsi sempre più nel contenzioso.
Chi governa davvero l’intelligenza artificiale?
La sentenza romana a favore di OpenAI solleva una questione che va oltre il singolo contenzioso, cioè quella su chi debba essere il vero l’interprete del diritto nell’era dell’intelligenza artificiale.
Le autorità indipendenti sono state concepite come soggetti dotati di competenze tecniche e autonomia, in grado di affrontare contesti complessi e in rapida evoluzione. I giudici, al contrario, rappresentano il presidio della legalità e della coerenza del sistema.
Quando questi due livelli entrano in tensione, il rischio è quello di una divergenza interpretativa e, soprattutto, di una ridefinizione degli equilibri istituzionali.
Se le autorità vengono percepite come eccessivamente espansive e i giudici come “correttori” sistematici, può verificarsi uno spostamento del baricentro verso la giurisdizione. Se, al contrario, le decisioni delle autorità vengono confermate e consolidate, si rafforza il modello amministrativo di enforcement.
Oggi, il sistema sembra collocarsi in una fase intermedia, caratterizzata da incertezza e sperimentazione. L’assenza delle motivazioni della sentenza del Tribunale di Roma rende questo passaggio ancora più difficile da comprendere al momento.
Tuttavia, se questa sentenza contribuisse a consolidare una dinamica a favore dei giudici, non sarebbe più l’autorità privacy a guidare l’enforcement, ma il giudice a definirne ex post i confini.
La vicenda italiana di OpenAI dimostra in ogni caso che il diritto dell’intelligenza artificiale non è ancora stabilizzato e resta uno spazio in cui interpretazione, regolazione e giurisdizione si sovrappongono e si contendono il ruolo di guida.
Il rischio più concreto è la perdita di coerenza del sistema e la difficoltà di capire chi governa oggi davvero l’innovazione tecnologica e con quali strumenti.
L’equilibrio tra regolazione e giurisdizione: una partita ancora aperta
Più che stabilire una gerarchia tra autorità indipendenti e giudici, occorre preservare la loro complementarità. Mentre le prime sono chiamate a interpretare e anticipare i rischi sistemici dell’innovazione, i secondi devono verificare la tenuta giuridica di tali interpretazioni. È un equilibrio delicato, che costituisce una delle architravi del modello europeo di regolazione.
Le motivazioni della sentenza del Tribunale di Roma assumeranno un rilievo decisivo per comprendere quale sia l’atteggiamento della giurisdizione nei confronti dell’enforcement delle autorità in materia di tecnologie emergenti: se di contenimento, di correzione o di sostanziale deferenza.
Altrettanto significativa sarà la reazione del Garante, per ora silente. La capacità dell’Autorità di assorbire, rielaborare o eventualmente contrastare l’impostazione del giudice dirà molto sulla possibilità concreta di mantenere un equilibrio tra regolazione e giurisdizione.
In ultima analisi, ciò che rileva di più ora, è la tenuta di un sistema in cui innovazione, diritti e poteri istituzionali sono chiamati a convivere senza sovrapporsi.
