Pubblicata in Gazzetta Ufficiale, Serie Generale, n. 5 del 08 gennaio 2025, la delibera 18 dicembre 2025 del Garante Privacy con un avvertimento verso gli utilizzatori dei servizi di generazione di contenuti multimediali digitali, audio e video, basati sull’IA, idonei a manipolare la realtà (deepfake), partendo da voci o immagini reali di terze persone.
In particolare, il Garante, ai sensi dell’art. 58, par. 2, lettera a), del GDPR, “avverte tutte le persone fisiche o giuridiche che utilizzano, in qualità di titolari o di responsabili del trattamento, servizi di generazione di contenuti basati sull’intelligenza artificiale partendo da voci o immagini reali di terze persone che tale trattamento dei dati personali, qualora sia effettuato in assenza di una idonea condizione di liceità e senza che siano preliminarmente fornite agli interessati informazioni corrette e trasparenti, può, verosimilmente, violare le disposizioni del Regolamento, in particolare gli articoli 5, par. 1, lettera a), 6 e 9 del Regolamento, con tutte le conseguenze, anche di carattere sanzionatorio, previste dalla disciplina in materia di protezione dei dati personali“.
A seguito di un’attività istruttoria avviata d’ufficio, il Garante ha infatti riscontrato la presenza sul mercato di numerosi servizi che consentono agli utenti di utilizzare la voce o le immagini anche di terze persone per la generazione di contenuti audio, fotografici e/o audiovisivi basati su tali voci o immagini, spesso condivise nei social.
Solitamente, rileva il Garante Privacy, la tecnologia sulla quale tali servizi sono basati è uno strumento che si avvale dell‘intelligenza artificiale per la generazione di contenuti multimediali digitali, audio o video idonei a manipolare la realtà (deepfake).
Il Garante Privacy ha altresì rilevato che alle persone a cui appartengono le voci e le immagini utilizzate nei deepfake possono essere attribuite idee e pensieri rappresentati con la loro voce parlata e le loro immagini senza che ciò corrisponda effettivamente alla loro volontà e coscienza: il deepfake, ricorda l’Autorità, può privare le persone della propria “autodeterminazione informativa” e incidere sulla loro libertà decisionale, soprattutto in quanto tali persone solitamente non sono a conoscenza del trattamento dei loro dati personali in tale senso effettuato.
L’Autorità ricorda che il GDPR si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi, con l’esclusione dei trattamenti di dati personali effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico.
La voce e le immagini di una persona, in altri termini, rientrano nella definizione di cui all’art. 4 punto 1) del GDPR, che definisce “dato personale” qualsiasi informazione riguardante una persona fisica identificata o identificabile e che si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o giù elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
La voce e le immagini, pertanto, possono, certamente, rientrare dunque fra i c.d. identificatori, ovverosia quella categoria di informazioni che hanno un rapporto diretto con la persona identificata e che può classificarsi nella categoria dei dati di tipo biometrico, se ricorrono alcuni criteri specifici, che consistono:
- nella natura del dato, che deve essere riferito a una caratteristica fisica, fisiologica o comportamentale di una persona
- ai mezzi e finalità del trattamento svolto che devono consistere in un trattamento tecnico con scopo di identificazione univoca
In tali casi va quindi verificata la sussistenza di una base giuridica ai sensi dell’art. 6 GDPR, ma anche di una delle condizioni indicate dall’art. 9.2 del GDPR.
Si ricorda che sulla nozione di dato personale e le sue evoluzioni giurisprudenziali, con particolare riferimento all’ambito applicativo bancario del trattamento conforme a GDPR, la nostra Rivista ha organizzato in data 13 gennaio 2025 il webinar “Dati personali: nozione e trattamento in ambito bancario“.
L’avvertimento del Garante Privacy sui deepfake, in definitiva, si giustifica in base:
- al considerando 39 del GDPR, per cui le persone fisiche devono essere sensibilizzate ai rischi, alle norme, alle garanzie e ai diritti relativi al trattamento dei dati personali
- ai rischi elevati connessi al trattamento in questione, che appaiono ulteriormente amplificati in considerazione del potenziale utilizzo dei dati artefatti elaborati mediante strumenti di intelligenza artificiale per scopi giuridicamente rilevanti, come l’uso ingannevole finalizzato alla frode, ovvero la diffamazione e la sostituzione di persona
- al considerando 75 del GDPR, per cui i rischi per i diritti e le libertà delle persone fisiche possono derivare da trattamenti di dati personali suscettibili di cagionare un danno fisico, materiale o immateriale (discriminazioni, furto o usurpazione d’identità, perdite finanziarie, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale, decifratura non autorizzata della pseudonimizzazione), o qualsiasi altro danno economico o sociale significativo
- alla considerazione per cui fornitori dei servizi di generazione di contenuti artificiali basati sull’utilizzo di voci o immagini di terzi, sin dalla fase di sviluppo, progettazione, selezione e utilizzo di applicazioni, servizi e prodotti basati sul trattamento di dati personali o che trattano dati personali per svolgere le loro funzioni, devono tenere conto del diritto alla protezione dei dati quando sviluppano e progettano tali prodotti, servizi e applicazioni, nonché dello stato dell’arte, impegnandosi a far sì che i titolari del trattamento e i responsabili del trattamento possano adempiere ai loro obblighi di protezione dei dati.
