Caso DeepSeek: il Garante Privacy blocca l’IA cinese, ma serve un approccio regolatorio più equilibrato ed efficace
Come noto il Garante per la protezione dei dati personali ha recentemente adottato un provvedimento nei confronti dell'applicazione di intelligenza artificiale DeepSeek, sviluppata da Hangzhou e Beijing DeepSeek Artificial Intelligence. L'Autorità ha rilevato che le società non hanno fornito informazioni adeguate riguardo alla raccolta e al trattamento dei dati personali degli utenti italiani, inclusi i tipi di dati raccolti, le fonti, le finalità, la base giuridica del trattamento e la localizzazione dei server. Di conseguenza, il Garante ha disposto il blocco dell'applicazione sul territorio nazionale e ha avviato un'indagine per approfondire la questione.
L’iniziativa del Garante nei confronti di DeepSeek si inserisce in un contesto regolatorio che sta gradualmente prendendo forma, grazie all’emanazione dell’AI Act da parte dell’Unione Europea. Il regolamento europeo sull’intelligenza artificiale fornisce già un quadro normativo dettagliato per disciplinare lo sviluppo, l’uso e la commercializzazione dei sistemi di IA, imponendo specifici obblighi di trasparenza e accountability per i fornitori di queste tecnologie. Tuttavia, il caso di DeepSeek evidenzia un tema di primaria importanza: l’applicabilità immediata di queste norme e il ruolo delle autorità nazionali nell’assicurare la conformità alle regole esistenti.
L’AI Act introduce una classificazione dei sistemi di intelligenza artificiale basata sul livello di rischio. I sistemi con impatti significativi sui diritti fondamentali dei cittadini, come quelli che trattano dati personali su larga scala senza adeguate garanzie, rientrano nelle categorie ad alto rischio o addirittura vietate, se superano determinati limiti di intrusività e pericolosità. La normativa stabilisce che i fornitori di questi sistemi debbano garantire un alto livello di trasparenza, tracciabilità, valutazione dell’impatto e gestione del rischio. Tuttavia, finché il regolamento non sarà pienamente operativo e non verranno stabiliti i meccanismi di enforcement a livello europeo, saranno le autorità nazionali per la protezione dei dati ad assumere un ruolo chiave nel monitorare e sanzionare i comportamenti non conformi.
Nel caso di DeepSeek, il Garante ha rilevato che l’azienda non ha fornito informazioni chiare su quali dati vengano raccolti, come vengano trattati e per quali finalità, violando di fatto i principi fondamentali del GDPR, che è tuttora il principale riferimento normativo per la protezione dei dati personali. Sebbene l’AI Act offra un quadro più dettagliato sulle responsabilità specifiche per i fornitori di IA, il GDPR rimane lo strumento principale per sanzionare le pratiche illecite legate alla gestione dei dati personali da parte di sistemi di intelligenza artificiale.
L’iniziativa del Garante è quindi corretta e necessaria, perché interviene su un vuoto operativo nella regolamentazione dell’IA. L’AI Act renderà operativa a breve una struttura più chiara per gestire questi casi, ma l’intervento tempestivo dell’Autorità nazionale assicura che nel frattempo non si verifichino abusi e violazioni nei confronti degli utenti italiani.
La decisione di bloccare DeepSeek in Italia dimostra che le autorità nazionali hanno già gli strumenti per imporre limiti ai fornitori che non rispettano le normative europee, anche prima dell’entrata in vigore dell’AI Act.
La questione più ampia riguarda l’efficacia di questo approccio nel lungo termine. L’AI Act introduce un sistema di governance che prevede un’autorità centrale europea e organismi di vigilanza nazionali, ma la sua piena applicazione richiederà del tempo. Nel frattempo, ogni Paese continuerà a gestire i casi di violazione attraverso le proprie Autorità Garanti, creando potenzialmente differenze nell’applicazione delle norme tra Stati membri. Questo rischio evidenzia la necessità di un meccanismo più coordinato, in cui i garanti nazionali collaborino con la Commissione Europea e le altre istituzioni per garantire un’applicazione uniforme dell’AI Act.
Un altro aspetto da considerare è se il blocco immediato di un servizio sia l’approccio più efficace per regolamentare l’IA. Mentre il provvedimento nei confronti di DeepSeek è giustificato dalla mancata trasparenza dell’azienda, la strategia a lungo termine dovrebbe prevedere un dialogo più strutturato tra i regolatori e le aziende tecnologiche. In alcuni casi, misure correttive progressive, come l’obbligo di conformarsi entro un determinato periodo di tempo, potrebbero risultare più efficaci di un blocco immediato, che potrebbe spingere le aziende a eludere il mercato europeo anziché adeguarsi alle regole.
Un blocco immediato di un servizio può essere necessario in situazioni di grave rischio per i diritti degli utenti, ma dovrebbe essere utilizzato solo come extrema ratio, ossia quando l’azienda dimostra di essere del tutto inadempiente o non collaborativa. In tutti gli altri casi, sarebbe più efficace adottare una strategia basata su trasparenza, dialogo, obblighi progressivi e misure correttive proporzionate, evitando di ostacolare inutilmente lo sviluppo tecnologico.
Una regolamentazione efficace dell’IA dovrebbe basarsi su quattro elementi fondamentali: un sistema di compliance chiaro, un dialogo continuo tra autorità e aziende, un meccanismo di enforcement progressivo e una governance europea coordinata.
(Nella foto: l'Avv. Michele Iaselli, Coordinatore del Comitato Scientifico di Federprivacy)
Il primo aspetto riguarda la necessità di definire linee guida operative chiare per le aziende che operano nel settore dell’intelligenza artificiale. L’AI Act ha introdotto regole dettagliate per i diversi livelli di rischio associati ai sistemi di IA, ma la loro applicazione pratica richiede strumenti specifici per facilitare la conformità. Sarebbe utile istituire sportelli unici di consulenza per le aziende, gestiti dalle autorità nazionali per la protezione dei dati e da organismi di vigilanza sull’IA, che possano fornire supporto tecnico e giuridico ai fornitori di IA, aiutandoli a conformarsi agli obblighi normativi prima che si verifichino violazioni.
Il secondo elemento si basa sulla creazione di un dialogo strutturato tra le autorità e le aziende. Invece di ricorrere subito a sanzioni o blocchi, le autorità di regolamentazione potrebbero adottare un approccio più collaborativo, in cui le aziende sospette di violazioni vengano preavvertite e invitate a fornire chiarimenti prima di essere sanzionate. Questo modello è già utilizzato in alcuni settori regolamentati, come la finanza e la sanità, dove i regolatori hanno la possibilità di emettere avvisi di non conformità prima di imporre misure drastiche. Un sistema di “compliance assistita” permetterebbe alle aziende di correggere eventuali criticità in tempi ragionevoli, evitando il rischio di blocchi improvvisi che potrebbero penalizzare non solo l’impresa stessa, ma anche i consumatori e il mercato.
Il terzo elemento riguarda l’enforcement progressivo, ovvero l’applicazione di misure proporzionate alla gravità della violazione e alla disponibilità dell’azienda a conformarsi. Il blocco immediato di un servizio dovrebbe essere riservato solo ai casi più gravi, mentre per le violazioni meno critiche si potrebbero adottare sanzioni scalari e obblighi correttivi. Ad esempio, se un’azienda come DeepSeek non fornisce informazioni sufficienti sulla gestione dei dati, il Garante potrebbe inizialmente imporre un obbligo di trasparenza con un termine di adeguamento piuttosto che procedere subito al blocco. Solo se l’azienda non rispetta i termini imposti, si potrebbe passare a misure più drastiche, come la sospensione del servizio o multe significative.
Il quarto aspetto è la necessità di una governance europea coordinata, che assicuri un’applicazione uniforme delle regole nei vari Stati membri dell’UE. Il rischio di regolamentazioni troppo frammentate e divergenti tra i diversi Paesi potrebbe incentivare le aziende a operare in mercati più permissivi, aggirando le restrizioni imposte dalle singole autorità nazionali. Per evitare questa situazione, sarebbe utile istituire un organismo europeo centrale per la regolamentazione dell’IA, che collabori con le autorità nazionali e intervenga nei casi più complessi, garantendo un approccio armonizzato. Questo organismo potrebbe anche fungere da mediatore tra aziende e autorità, riducendo il rischio di blocchi arbitrari o interpretazioni discordanti delle norme.
Un ulteriore elemento che potrebbe migliorare l’approccio regolatorio è l’introduzione di certificazioni per la conformità ai principi di trasparenza e protezione dei dati nell’IA. Invece di limitarsi a sanzionare le aziende che non rispettano le norme, le autorità potrebbero incentivare l’adozione di modelli etici e sicuri attraverso sistemi di certificazione, simili a quelli già utilizzati nel settore della cybersicurezza. Le aziende che dimostrano di rispettare determinati standard potrebbero ottenere marchi di conformità riconosciuti a livello europeo, aumentando la loro affidabilità e riducendo il rischio di interventi regolatori successivi.
La soluzione migliore, quindi, sarebbe un’applicazione graduale e proporzionata delle nuove normative, combinata con un monitoraggio attivo da parte delle autorità. Il Garante potrebbe adottare approcci alternativi, come ordinare a DeepSeek di conformarsi entro un determinato periodo prima di imporre il blocco definitivo, oppure collaborare con le autorità di altri Stati membri per verificare se esistano già precedenti su questo specifico fornitore. In un contesto globale, in cui molte aziende di IA operano su scala internazionale, una regolamentazione efficace deve essere coordinata a livello europeo e non gestita singolarmente dai singoli Stati.
