DeepSeek e privacy: quando acqua ed olio non si mescolino

Gen 31, 2025

Roberto Milani 5421 Views 0 Comments Autorità, cina, DeepSeek, Garante, GDPR, GPDP, intelligenza artificiale, italia, privacy, UE 5 min read

La sempre maggior rapidità con cui nuovi sistemi e modelli di intelligenza artificiale (IA) vengono introdotti sul mercato, non trova corrispettivo in una normativa che – faticosamente (e talvolta di fretta e con superficialità) – cerchi di correre ai ripari dopo lunghi anni di attendismo e sottovalutazione della pervasività delle moderne tecnologie.

Capita di conseguenza che la tutela dell’utente possa tramutarsi in restrizione del servizio; in altre parole: “se te ne impedisco l’uso, non può lederti”.

Ma andiamo per ordine.

Il 28 gennaio 2025, il Garante per la Protezione dei Dati Personali (GPDP) ha inviato una richiesta di informazioni a Hangzhou DeepSeek Artificial Intelligence ed a Beijing DeepSeek Artificial Intelligence, ovvero le due società che erogano il servizio chatbot DeepSeek, fruibile sia tramite web che attraverso omonima App.

Nella comunicazione pubblica ufficiale del GPDP, si legge:

“L’Autorità, considerato l’eventuale alto rischio per i dati di milioni di persone in Italia, ha chiesto alle due società e alle loro affiliate di confermare quali siano i dati personali raccolti, da quali fonti, per quali finalità, quale sia la base giuridica del trattamento, e se siano conservati su server collocati in Cina.

Il Garante, inoltre, ha chiesto alle società che tipo di informazioni vengano utilizzate per addestrare il sistema di intelligenza artificiale e, nel caso in cui i dati personali siano raccolti attraverso attività di web scraping, di chiarire come gli utenti iscritti e quelli non iscritti al servizio siano stati o vengano informati sul trattamento dei loro dati.

Entro 20 giorni le società dovranno fornire all’Autorità le informazioni richieste.”

A corollario dell’esplicativa nota stampa diffusa dal GPDP, emerge un elemento di rilievo: da quanto è possibile comprendere l’iniziativa è stata presa (legittimamente ma forse non convenientemente) in totale autonomia dal Garante, senza alcun (evidente) confronto o lavoro di concerto con enti ed istituzioni di pari ruolo all’interno di altri Paesi europei, né confrontandosi con gli appositi organismi UE.

Il giorno seguente, il 29 gennaio 2025, un incontro da diverso tempo programmato ha ulteriormente acceso i riflettori sul tema dell’IA, ovvero il convegno “Le sfide dell’IA – La protezione dei dati nell’era del cambiamento” tenutosi presso la splendida cornice della Sala del Refettorio di Palazzo San Macuto a Roma.

L’evento, dopo i consueti saluti della Vicepresidente della Camera, Anna Ascani, è proseguito con la presentazione di Pasquale Stanzione, presidente del Garante per la Protezione dei Dati Personali; si sono quindi succeduti gli interventi di Bruno Frattasi, Direttore Generale dell’Agenzia per la Cybersicurezza Nazionale, Matteo Piantedosi, Ministro dell’Interno, Carlo Nordio, Ministro della Giustizia, Guido Crosetto, Ministro della Difesa, Marina Calderone, Ministro del Lavoro e delle Politiche sociali ed Orazio Schillaci, Ministro della Salute. Una seduta di evidente profilo tecnico ed istituzionale.

Il 30 gennaio 2025, a distanza di soli due giorni dalla richiesta di chiarimento da parte del GPDP, arriva la risposta da parte delle società cinesi distributrici del servizio DeepSeek. Una risposta talmente “indigesta” da avere immediate e serie conseguenze:

“Il Garante per la protezione dei dati personali ha disposto, in via d’urgenza e con effetto immediato, la limitazione del trattamento dei dati degli utenti italiani nei confronti di Hangzhou DeepSeek Artificial Intelligence e di Beijing DeepSeek Artificial Intelligence, le società cinesi che forniscono il servizio di chatbot DeepSeek.

DeepSeek è il software di intelligenza artificiale relazionale, progettato per comprendere ed elaborare le conversazioni umane, che introdotto di recente sul mercato mondiale in pochi giorni è stato scaricato da milioni di persone.

Il provvedimento di limitazione – adottato a tutela dei dati degli utenti italiani – fa seguito alla comunicazione delle società ricevuta oggi, il cui contenuto è stato ritenuto del tutto insufficiente.

Contrariamente a quanto rilevato dall’Autorità, le società hanno dichiarato di non operare in Italia e che ad esse non è applicabile la normativa europea.

L’Autorità, oltre a disporre la limitazione del trattamento, ha contestualmente aperto un’istruttoria.”

La nota stampa diffusa dal GPDP non lascia spazio ad ambiguità di sorta: i servizi DeepSeek sono “banditi” dal territorio italiano. La realtà è, nei fatti, un po’ più sfaccettata: l’App di DeepSeek è stata rimossa dagli store italiani (Google Store ed Apple Store), mentre sul web la piattaforma continua, al momento (31 gennaio 2025), a rimanere accessibile.

L’azione del GPDP non poteva essere né meno ferma, né meno sollecita: la risposta cinese risuona infatti come un “le vostre norme non si applicano a noi”. Un tanto supponente ed arrogante tono da parte cinese non è nemmeno considerabile un “braccio di ferro”, quanto piuttosto il disconoscimento, non solo del GPDP stesso, ma dell’intera normativa europea sul tema, GDPR in primis.

Se da un lato ciò “manleva” (almeno in parte) il GPDP dall’aver (almeno pubblicamente) agito non in concerto con gli altri organi europei preposti allo scopo, esponendosi in tal modo con un peso ed una forza ben inferiori dinanzi alla controparte cinese, dall’altro apre un autentico “vaso di Pandora” sulla percezione che aziende, istituzioni ed entità statali extra-UE possano avere in termini di riconoscimento e legittimità della legislazione europea nel campo della tutela dei dati personali.

Tutto lascia presagire che ciò sia solo l’inizio di una vera e propria guerra, in cui privacy, IA ed innovazione tecnologica non siano altro che nuovi pezzi all’interno del sempre più complesso ed articolato scacchiere sul quale viene giocata la partita della supremazia geostrategica; una partita nella quale ogni mossa sbagliata può rivelarsi esiziale.

In merito a DeepSeek, si consiglia la lettura dell’articolo: L’effetto “DeepSeek”: l’Open Source sta ridefinendo l’Intelligenza Artificiale

Riferimenti bibliografici:

COMUNICATO STAMPA – IA: il Garante privacy chiede informazioni a DeepSeek. Possibile rischio per i dati di milioni di persone in Italia
(https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10096856#)
Le sfide dell’IA – La protezione dei dati nell’era del cambiamento – Saluti di Ascani – Interventi di Stanzione, Frattasi, Piantedosi, Nordio, Crosetto, Calderone, Schillaci
(https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10095322#)
COMUNICATO STAMPA – Intelligenza artificiale: il Garante privacy blocca DeepSeek
(https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10097450#)

Roberto Milani

Senior IT Manager, esperto in cybersecurity ed intelligenza artificiale. Dal 1999 opera nel settore IT dallo sviluppo, alla direzione di progetti, sia in ambito startup che in ambito corporation; negli ultimi anni si è specializzato in sicurezza informatica e nelle tematiche inerenti all’adozione dell’IA nei processi aziendali.
Fondatore del blog "Caput Mundi", responsabile della gestione sistemistico-tecnico-operativa del sito ed operatore delle pubblicazioni sul blog e rispettivi profili social, coordinatore della sezione "Informatica e Tecnologia".
Visualizza tutti gli articoli