Author: Prof. Marco Bacini
Committee: Cybersecurity strategic Committee
Date: 20/02/2025
Il provvedimento del Garante per la protezione dei dati personali del 30 gennaio 2025 (10098477)[1] nei confronti delle società Hangzhou DeepSeek Artificial Intelligence Co., Ltd. e Beijing DeepSeek Artificial Intelligence Co., Ltd. sollecita riflessioni di ampia portata non solo sul tema della protezione della privacy, ma anche sotto il profilo della cybersecurity e della governance delle tecnologie basate sull’intelligenza artificiale. L’analisi delle motivazioni che hanno portato a una misura di limitazione definitiva del trattamento dei dati personali da parte di DeepSeek in Italia consente di individuare criticità sistemiche che investono l’intero ecosistema digitale europeo, con riflessi sul lavoro della Procura Europea (EPPO).
Il provvedimento adottato dal Garante sancisce l’illegittimità del trattamento dei dati effettuato da DeepSeek, evidenziando molteplici violazioni del Regolamento Generale sulla Protezione dei Dati (GDPR) e tra le principali contestazioni emergono:
• Violazione dell’ambito di applicazione territoriale del GDPR: le società hanno sostenuto di non operare nel mercato italiano e di aver rimosso l’app dagli store locali, ma il servizio risultava ancora accessibile via web, dimostrando un trattamento effettivo di dati appartenenti a cittadini europei.
• Mancata trasparenza e carenze nella privacy policy: il documento informativo era disponibile solo in lingua inglese e non forniva indicazioni precise sulle basi giuridiche del trattamento, in violazione degli articoli 12, 13 e 14 del GDPR.
• Trasferimento illecito dei dati in Cina: la conservazione dei dati personali in un Paese terzo senza adeguate garanzie contrasta con le disposizioni dell’art. 32 del GDPR sulla sicurezza del trattamento.
• Assenza di un rappresentante in UE: la mancata designazione di un rappresentante per il mercato europeo, obbligatoria ai sensi dell’art. 27 del GDPR, ha aggravato la posizione di DeepSeek.
Il provvedimento del Garante assume quindi una particolare rilevanza nel contesto attuale di una sempre maggiore attenzione verso i rischi connessi all’utilizzo dell’intelligenza artificiale e alla conseguente protezione dei dati personali. L’Europa, con l’approvazione dell’AI Act, sta ponendo le basi per una regolamentazione che non solo tuteli i diritti fondamentali, ma che garantisca anche quella che definirei una maggiore accountability dei soggetti che operano nel settore tecnologico.
Il caso DeepSeek, a mio avviso, va inserito in un quadro più ampio che riguarda l’espansione globale delle soluzioni di AI e il loro impatto sulla sicurezza dei dati. L’adozione di sistemi di AI nel trattamento dei dati personali evidenzia criticità sulla capacità di garantire il rispetto delle normative europee quando questi strumenti vengono sviluppati e gestiti da entità esterne al mercato UE.
Il caso DeepSeek riapre violentemente il dibattito sulla sovranità digitale europea, che implica la necessità di definire strategie per evitare che dati sensibili di cittadini europei siano trattati in giurisdizioni in cui la normativa locale non garantisce adeguati livelli di protezione. Ed è qui che la cybersecurity assume un ruolo importante, poiché la protezione dei dati non può prescindere dalla sicurezza delle infrastrutture che li gestiscono. L’informazione diffusa dal Garante sugli “attacchi malevoli su larga scala” subiti da DeepSeek ha sottolineato la vulnerabilità dei sistemi di AI a intrusioni esterne, mettendo in luce il rischio che tali tecnologie diventino vettori per minacce anche di cyber intelligence.
Un altro aspetto importante riguarda l’uso dell’intelligenza artificiale nei processi di raccolta e analisi dei dati: il mancato rispetto delle regole di trasparenza sui meccanismi di trattamento algoritmico apre a scenari di possibile manipolazione dei dati. L’assenza di una chiara indicazione sulle finalità del trattamento da parte di DeepSeek suggerisce la possibilità che i dati raccolti possano essere utilizzati per scopi non dichiarati, inclusa la profilazione occulta degli utenti. Questa problematica richiama l’attenzione delle autorità di enforcement, in particolare quelle deputate alla tutela degli interessi finanziari dell’UE, come EPPO.
Il lavoro della Procura Europea (EPPO) si concentra sulla tutela degli interessi finanziari dell’Unione, ma il suo raggio d’azione si estende sempre più anche alle frodi connesse all’uso illecito delle tecnologie digitali. Il caso DeepSeek introduce la necessità di una sinergia tra autorità di protezione dati e organismi di enforcement transnazionale per contrastare minacce ibride che combinano violazione della privacy e cyber criminalità.
Da un punto di vista legal l’elaborazione di policy che integrino la protezione dei dati con strategie avanzate di cyber intelligence rappresenta una priorità per prevenire l’utilizzo fraudolento di strumenti di AI nelle pratiche di data exploitation.
Non dimentichiamoci che l’assenza di una chiara rendicontazione delle attività di trattamento dei dati da parte di società extraeuropee rende difficile l’individuazione di responsabilità in caso di violazioni. E anche questo aspetto si ricollega al ruolo di EPPO nella lotta contro frodi e crimini finanziari, che sempre più spesso si avvalgono di infrastrutture tecnologiche per eludere i controlli tradizionali.
Per concludere, il provvedimento del Garante nei confronti di DeepSeek sicuramente segna un precedente importante nella regolamentazione delle attività di intelligenza artificiale e nella difesa della sovranità digitale europea. La tutela della privacy non può essere considerata un aspetto secondario nel dibattito sulla cybersecurity, poiché la protezione dei dati è oggi una componente imprescindibile della sicurezza nazionale e della tutela degli interessi nazionali (ed Europei).
L’azione delle autorità di protezione dati deve essere affiancata da una strategia più ampia che coinvolga istituzioni a più livelli per sviluppare un approccio integrato alla gestione dei rischi digitali. La creazione di un quadro normativo e tecnologico in grado di garantire trasparenza e sicurezza nell’uso dell’intelligenza artificiale rappresenta un banco di prova per l’Europa, che non può permettersi di rimanere vulnerabile alle dinamiche di potere globali nel settore digitale. L’urgenza di misure concrete si evince con forza dal caso DeepSeek: proteggere i dati personali non è solo un dovere giuridico, ma una necessità strategica per l’Europa del futuro.
[1] https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10098477