Le lezioni per imprese e PA che usano l’IA generativa
Il Garante per la protezione dei dati personali ha sanzionato per 158.000 euro Character Technologies Inc., la società statunitense che gestisce Character.AI, un servizio di intelligenza artificiale generativa che consente di creare personaggi virtuali e conversarci via chat. Un servizio di intrattenimento, ma con una particolarità che pesa: è utilizzato anche da minorenni, e proprio sulla tutela dei più giovani il provvedimento del 3 luglio 2026 (doc. web 10269571) concentra le prescrizioni più significative.
L’istruttoria, avviata d’ufficio dall’Autorità, ha accertato diverse violazioni della disciplina di protezione dei dati. L’informativa agli utenti è risultata carente: chi usava il servizio non riceveva informazioni chiare e complete su cosa accadesse ai propri dati. La valutazione d’impatto sulla protezione dei dati (DPIA), che per un trattamento di questa portata andava predisposta prima di avviare il servizio, è arrivata in ritardo. In ritardo anche la designazione del rappresentante nell’Unione europea, obbligatoria per le società extra-UE che offrono servizi a persone che si trovano in Europa. A tutto questo si aggiungono le criticità rilevate nelle garanzie a tutela dei minori e nei sistemi di verifica dell’età.
| Violazione contestata | Riferimento GDPR | Lezione operativa |
| Informativa carente: informazioni non chiare, intelligibili e complete sui trattamenti | Artt. 12, 13 e 14 [da verificare sul provvedimento] | L’informativa di un servizio di IA deve spiegare davvero cosa accade ai dati (anche per l’addestramento dei modelli), non limitarsi a formule generiche |
| Valutazione d’impatto (DPIA) predisposta tardivamente | Art. 35 | La DPIA va fatta prima della messa in servizio: un trattamento su larga scala con IA generativa e possibili utenti minorenni è un caso tipico di alto rischio |
| Tardiva designazione del rappresentante nell’UE | Art. 27 | Il fornitore extra-UE che offre servizi a persone in Europa deve avere un rappresentante designato: verificarlo prima di contrattualizzare |
| Criticità nelle garanzie per i minori e nei sistemi di verifica dell’età | Artt. 5, 8, 24 e 25 [inquadramento da confermare sul provvedimento] | Se il servizio è accessibile a minorenni, l’age verification deve funzionare davvero e le impostazioni predefinite devono essere le più protettive |
| Fonte: Garante privacy, comunicato del 9 luglio 2026 e provvedimento del 3 luglio 2026, doc. web 10269571 | ||
La società è intervenuta nel corso dell’istruttoria, aggiornando tra l’altro la propria informativa, e il Garante ne ha preso atto. Ma non è bastato a chiudere la partita: considerati i rischi di un servizio di intrattenimento basato su IA generativa accessibile anche ai minorenni, l’Autorità ha prescritto misure ulteriori, con l’obbligo di riferire entro 120 giorni dalla ricezione del provvedimento.
| Misura prescritta | Contenuto | Termine |
| Verifica dell’età | Garantire il corretto funzionamento dei sistemi di age verification | 120 giorni per riferire al Garante |
| “Periodo di raffreddamento” | Assicurare l’efficacia dei meccanismi che impediscono nuovi tentativi di registrazione da parte dei minori bloccati | 120 giorni per riferire al Garante |
| Profili privati per impostazione predefinita | Predisporre di default in modalità privata i profili degli utenti minorenni | 120 giorni per riferire al Garante |
| Fonte: Garante privacy, comunicato del 9 luglio 2026 | ||
Perché questo provvedimento riguarda anche imprese e Pubbliche Amministrazioni italiane? Perché i principi affermati non valgono solo per le grandi piattaforme. Chiunque offra al pubblico servizi digitali con componenti di IA generativa, o li integri nei propri – un chatbot di assistenza sul sito istituzionale, un assistente virtuale in un’app, uno strumento conversazionale in ambito educativo – è titolare del trattamento e risponde delle stesse regole: informativa effettiva e comprensibile, DPIA prima della messa in servizio e non dopo, verifica che il fornitore extra-UE abbia designato il rappresentante ex art. 27. E quando tra gli utenti possono esserci minorenni, la soglia si alza: servono meccanismi di verifica dell’età che funzionino davvero e impostazioni predefinite protettive, non semplici dichiarazioni.
Cosa fare adesso, in pratica. Il primo passo è censire i servizi di IA generativa già in uso o in corso di adozione nella propria organizzazione, compresi quelli integrati in prodotti di terzi. Su ciascuno vanno verificate l’informativa resa agli utenti e la presenza di una DPIA adeguata e anteriore all’avvio; ai fornitori vanno chieste evidenze documentali, inclusa – per i soggetti extra-UE – la designazione del rappresentante in Europa. Se il servizio è accessibile a minorenni, o non è possibile escluderlo, occorre valutare i sistemi di verifica dell’età e le impostazioni predefinite dei profili. Tutto va tracciato nel registro dei trattamenti e nelle valutazioni del DPO: il provvedimento su Character.AI mostra che il Garante considera questi presidi non formalità, ma condizioni di liceità del servizio.
Un’ultima notazione: il quadro si intreccia con l’AI Act, i cui divieti (art. 5) e obblighi di alfabetizzazione all’IA sono già applicabili dal 2 febbraio 2025. Il rinvio degli obblighi sui sistemi ad alto rischio, approvato in via definitiva dal Consiglio UE il 29 giugno 2026 e in attesa di pubblicazione in Gazzetta ufficiale, non tocca in alcun modo l’applicazione del GDPR: come dimostra questa sanzione, sulla protezione dei dati non c’è nessuna proroga.
Enrico Capirone – Presidente iSimply srl, DPO
Fonte: Garante privacy – Comunicato stampa del 9 luglio 2026 (doc. web 10269594) | Provvedimento del 3 luglio 2026 (doc. web 10269571)