L’Autorità Garante per la protezione dei dati personali ha adottato un provvedimento d’urgenza con cui ha imposto una limitazione immediata al trattamento dei dati personali da parte di DeepSeek, chatbot basato sull’intelligenza artificiale e sviluppato da due società cinesi, Hangzhou DeepSeek Artificial Intelligence e Beijing DeepSeek Artificial Intelligence.
Il blocco di DeepSeek giunge all’esito di una richiesta formale di informazioni inviata alle società interessate, che, nel rispondere, hanno fornito elementi ritenuti del tutto insufficienti e, in alcuni passaggi, apertamente elusivi.
Indice degli argomenti
Blocco di DeepSeek: l’intervento del Garante Privacy
A destare allarme non è soltanto la vaghezza delle risposte, ma il loro contenuto sostanziale. Le società hanno infatti dichiarato di non operare in Italia e di non essere soggette alla disciplina europea in materia di protezione dei dati personali, affermando implicitamente l’irrilevanza giuridica della loro attività rispetto all’ordinamento italiano.
Tale affermazione appare, tuttavia, destituita di fondamento: la possibilità di accesso e utilizzo della chatbot da parte di utenti italiani integra un collegamento giuridicamente rilevante con il territorio dell’Unione europea, sufficiente a radicare la competenza del Garante e l’applicabilità del Gdpr.
L’atteggiamento delle società cinesi si iscrive in una più ampia strategia delle piattaforme digitali extraeuropee, che tendono a negare la propria soggezione alle normative nazionali degli Stati in cui operano, perseguendo un’idea di extraterritorialità funzionale, volta a sottrarre i servizi digitali a ogni forma di regolazione pubblica.
Si tratta di un paradigma normativo di matrice privatistica e mercatista, che oppone alla giurisdizione degli Stati il carattere transnazionale delle infrastrutture digitali, tentando di trasformare il cyberspazio in una dimensione sottratta all’imperio della legge.
L’irritualità della posizione assunta da DeepSeek è ulteriormente aggravata dal rifiuto di fornire trasparenza sui meccanismi di raccolta e trattamento dei dati personali, nonché sulla possibile acquisizione di informazioni mediante tecniche di web scraping, ossia la raccolta automatizzata di dati da fonti pubbliche e private, potenzialmente in violazione della disciplina europea.
Gdpr e Dma, le strategie elusive di DeepSeek
L’Unione europea ha costruito negli ultimi anni un quadro regolatorio stringente per il mercato digitale, cercando di affermare il primato del diritto sulla governance tecnologica.
Il Regolamento Generale sulla Protezione dei Dati (GDPR) e il Digital Markets Act (DMA) sono espressione di questa volontà normativa, imponendo obblighi rigorosi in materia di trasparenza, protezione dei dati e accountability.
Tuttavia, le piattaforme globali, forti della loro ubiquità e della dislocazione extraterritoriale delle infrastrutture, tentano sistematicamente di eludere tali vincoli, adottando strategie elusive che rendono complesso l’enforcement delle norme europee.
DeepSeek si inserisce in questa dinamica, replicando una condotta già osservata con altri operatori digitali: negare la propria operatività nel territorio europeo per sottrarsi agli obblighi imposti dalla disciplina dell’Unione.
La società cinese ha infatti dichiarato di non essere soggetta alla regolazione europea, nonostante il proprio chatbot sia accessibile agli utenti italiani e raccolga dati personali da essi generati.
L’art. 3 del Regolamento Generale sulla Protezione dei Dati
Questa pretesa è giuridicamente insostenibile. L’art. 3 del Gdpr estende la propria applicabilità non soltanto ai soggetti stabiliti nell’Unione, ma anche a quelli che trattano dati di residenti europei nell’ambito della fornitura di servizi.
Il criterio della destinazione territoriale prevale su quello della sede legale, impedendo agli operatori extra-UE di sottrarsi agli obblighi normativi con una mera dichiarazione di estraneità giurisdizionale.
La vera questione, dunque, non riguarda tanto l’applicabilità formale delle norme, quanto la capacità effettiva di farle rispettare. Il problema della giurisdizione digitale si manifesta con particolare intensità nel caso di piattaforme che non dispongono di una sede fisica nell’Unione, rendendo complessa l’azione delle autorità di regolazione.
L’assenza di un punto di contatto giuridicamente rilevante nel territorio europeo consente a questi operatori di svuotare di efficacia il sistema normativo, trasformando i principi di protezione dei dati in meri enunciati privi di effettività.
Se DeepSeek avesse potuto operare indisturbata nel mercato italiano, avrebbe consolidato un precedente pericoloso, incoraggiando altri operatori a replicare la stessa strategia di neutralizzazione della giurisdizione.
Blocco di DeepSeek: misura di tutela immediata verso gli utenti italiani
La limitazione del trattamento dei dati da parte di DeepSeek costituisce una misura di tutela immediata nei confronti degli utenti italiani, ma non incide strutturalmente sulla problematica più ampia della regolazione delle piattaforme globali.
Il blocco ha una funzione essenzialmente reattiva: argina temporaneamente il rischio per la protezione dei dati personali, senza però impedire che DeepSeek possa rientrare nel mercato con modalità alternative.
La capacità di aggirare i vincoli normativi è insita nella natura stessa delle piattaforme digitali.
DeepSeek potrebbe cambiare denominazione, utilizzare intermediari commerciali o sfruttare canali di distribuzione non ufficiali, continuando a raccogliere dati senza essere formalmente identificabile come il soggetto destinatario del provvedimento.
Le strategie elusive delle piattaforme, già sperimentate in altri contesti, dimostrano quanto sia fragile un meccanismo di enforcement che si basi unicamente su provvedimenti di limitazione ex post.
Il problema non è la singola applicazione bloccata, ma la possibilità che nuove entità, strutturalmente identiche, emergano con un semplice riassetto formale.
Il piano transfrontaliero
L’inefficacia strutturale di un provvedimento nazionale si manifesta anche sul piano transfrontaliero. Il blocco imposto dal Garante italiano non ha effetto al di fuori del territorio nazionale, il che implica che DeepSeek possa rimanere accessibile in altri Paesi europei.
Il flusso transnazionale dei dati rende questo tipo di interdizioni parziali e facilmente aggirabili: un utente italiano potrebbe continuare a utilizzare il servizio attraverso una VPN o accedendo alla piattaforma da un Paese dove non è stata ancora vietata.
Inoltre, l’assenza di un intervento coordinato a livello europeo espone comunque i dati degli utenti italiani al rischio di raccolta indiretta: DeepSeek potrebbe acquisire informazioni attraverso interazioni con utenti di altri Stati membri, rendendo inefficace la misura di protezione adottata dall’Italia.
Nella Ue occorre un meccanismo di enforcement centralizzato
La vera questione, dunque, è l’adeguatezza dell’attuale assetto regolatorio rispetto alla natura globale delle infrastrutture digitali.
Un singolo Garante nazionale, pur disponendo di strumenti coercitivi rilevanti, non può opporsi efficacemente a un operatore globale che non riconosce la sua autorità.
La capacità di enforcement delle autorità nazionali si scontra con i limiti imposti dalla frammentazione giuridica dell’Unione europea, che continua a delegare la tutela dei diritti digitali ai singoli Stati senza un meccanismo di enforcement centralizzato.
Se l’azione del Garante italiano non viene seguita da un’iniziativa coordinata a livello europeo, il provvedimento resterà un’argine temporaneo, destinato a essere vanificato dalla fluidità operativa delle piattaforme digitali.
Lo scenario Usa
Negli Usa, le grandi piattaforme tecnologiche, come OpenAI, Google, Meta e Microsoft, detengono una posizione dominante, sviluppando modelli linguistici avanzati e imponendo logiche di mercato fondate sulla concentrazione del potere nelle mani di poche aziende.
L’accesso ai dati e la capacità computazionale necessaria per addestrare le reti neurali avanzate sono prerogative di questi attori privati, che operano secondo un paradigma regolatorio fondato sulla deregolamentazione e sulla supremazia dell’innovazione rispetto ai vincoli normativi.
La posizione cinese
La Cina, invece, segue una traiettoria diversa, vincolando lo sviluppo dell’IA agli interessi statali e integrandolo in un sistema di gestione centralizzata che rafforza il controllo sulle informazioni e sulla società.
Il panorama europeo
L’Europa si trova in una posizione complessa. Non dispone di un’infrastruttura tecnologica paragonabile a quella dei due poli dominanti e fatica a costruire un modello che le consenta di esercitare un’influenza reale sull’evoluzione dell’intelligenza artificiale.
La regolazione, per quanto avanzata, rischia di restare un meccanismo puramente reattivo, limitandosi a disciplinare strumenti progettati e sviluppati altrove, senza incidere in alcun modo sulla loro natura intrinseca.
Le norme europee impongono obblighi di trasparenza e accountability, ma l’assenza di un’industria AI competitiva impedisce all’Unione di dettare realmente le regole del gioco.
L’assenza di un’infrastruttura autonoma ha implicazioni giuridiche profonde. Il diritto, tradizionalmente concepito come strumento di regolazione del potere economico e sociale, si trova privo di un corrispettivo tecnologico in grado di garantire la sua effettività.
All’Europa serve una sua AI
L’Europa può stabilire principi rigorosi sulla protezione dei dati e sulla supervisione algoritmica, ma senza un’IA proprietaria finisce per affidare la propria sicurezza digitale a entità straniere, accettando implicitamente modelli di governance estranei alla propria cultura giuridica.
Il rischio più grave è che la regolazione diventi un meccanismo difensivo, utile a limitare gli abusi, ma incapace di incidere sulle dinamiche strutturali di potere che definiscono il settore dell’intelligenza artificiale.
