Menu ---
DANDI

Studio Legale di Proprietà intellettuale, Diritto d'autore, industriale e dello Spettacolo | Consulenza e contrattualistica per artisti, autori e produzioni

✅ Prenota la tua consulenza:

Contatta DANDI con Whatsapp Scrivici su WhatsApp +39 345.717.14.66

ChatGPT privacy: cosa raccoglie, la multa del Garante e come tutelarsi

In Diritto d'Autore, Intelligenza artificiale
ChatGPT privacy: cosa raccoglie, la multa del Garante e come tutelarsi

Usare ChatGPT significa condividere dati con OpenAI — conversazioni, informazioni personali, a volte dati riservati di terzi. La privacy di ChatGPT è stata al centro di un lungo contenzioso in Italia: nel marzo 2023 il Garante ha sospeso il servizio, primo caso in Europa di blocco di un sistema di intelligenza artificiale generativa. Ne è seguita un’indagine di quasi due anni, una multa da 15 milioni di euro e un ricorso al Tribunale di Roma che nel 2026 ha annullato il provvedimento. Il caso è ora nelle mani dell’autorità irlandese. Capire cosa succede ai tuoi dati quando usi ChatGPT — e come tutelarti — è una questione concreta, soprattutto per chi lo usa in ambito professionale.

Cosa raccoglie ChatGPT sui tuoi dati

Quando usi ChatGPT, OpenAI raccoglie diverse categorie di dati personali:

  • Contenuto delle conversazioni — tutto ciò che scrivi nei prompt e le risposte generate dal sistema
  • Dati dell’account — nome, indirizzo email, numero di telefono (per la verifica), dati di fatturazione per gli abbonamenti a pagamento
  • Dati tecnici — indirizzo IP, tipo di browser, sistema operativo, log di utilizzo
  • Metadati delle interazioni — timestamp, frequenza d’uso, preferenze

Per impostazione predefinita, le conversazioni vengono utilizzate da OpenAI per addestrare e migliorare i modelli futuri. Questo è il punto centrale del contenzioso con il Garante per la Protezione dei Dati Personali: su quale base giuridica OpenAI utilizza i dati degli utenti per l’addestramento?

OpenAI ha invocato il legittimo interesse (art. 6(1)(f) GDPR) come base giuridica per il trattamento dei dati degli utenti a fini di addestramento. Il Garante ha contestato questa scelta, ritenendo inadeguata la base giuridica individuata.

Il blocco del Garante del 2023: cosa è successo

Il 30 marzo 2023 il Garante per la Protezione dei Dati Personali ha adottato un provvedimento d’urgenza che ha disposto la limitazione provvisoria del trattamento dei dati degli utenti italiani da parte di OpenAI — il primo blocco europeo di un sistema di AI generativa.

Le contestazioni iniziali erano quattro: assenza di un’informativa agli utenti, assenza di una base giuridica per la raccolta massiva di dati personali utilizzati per addestrare gli algoritmi, assenza di sistemi di verifica dell’età dei minori, e una violazione della sicurezza verificatasi il 20 marzo 2023 — un bug interno che aveva esposto le conversazioni e i dati di pagamento di alcuni utenti di ChatGPT Plus.

OpenAI ha implementato le modifiche richieste — informativa privacy aggiornata, meccanismo di opt-out per l’addestramento, strumento per la rettifica o cancellazione delle proprie informazioni personali — e ChatGPT è tornato accessibile in Italia alla fine di aprile 2023.

L’indagine del 2024 e la multa da 15 milioni

Il blocco del 2023 non ha chiuso il caso. Il 29 gennaio 2024 il Garante ha notificato a OpenAI l’atto di contestazione per le violazioni accertate, avviando formalmente il procedimento sanzionatorio.

Con provvedimento n. 755 del 2 novembre 2024, il Garante ha adottato il provvedimento correttivo e sanzionatorio definitivo:

  • Sanzione di 15 milioni di euro — la prima multa europea irrogata a un sistema di AI generativa per violazioni del GDPR
  • Campagna informativa — OpenAI obbligata a realizzare una campagna informativa di sei mesi rivolta al pubblico italiano
  • Violazioni accertate — assenza di base giuridica adeguata per il trattamento dei dati usati per l’addestramento nel periodo fino al 15 febbraio 2024; inosservanza degli obblighi di trasparenza; assenza di sistemi di verifica dell’età; mancata notifica del data breach del 20 marzo 2023 (art. 33 GDPR) — che aveva coinvolto 440 utenti italiani

Il Garante ha inoltre trasmesso gli atti del procedimento all’autorità irlandese DPC (Data Protection Commission), divenuta autorità capofila ai sensi del meccanismo one stop shop del GDPR, dopo che OpenAI ha stabilito il proprio quartier generale europeo in Irlanda.

La sentenza del Tribunale di Roma del 2026

OpenAI ha impugnato il provvedimento sanzionatorio davanti al Tribunale di Roma. Con ordinanza del 21 marzo 2025 (procedimento n. 4785/2025), il Tribunale ha disposto la sospensione cautelare della multa da 15 milioni di euro, subordinatamente alla prestazione di una cauzione.

Con sentenza n. 4153/2026 del 18 marzo 2026, il Tribunale di Roma ha poi accolto l’opposizione di OpenAI, annullando il provvedimento del Garante. A seguito di questa decisione, il provvedimento n. 755 è stato rimosso dal sito del Garante.

Il caso non è tuttavia chiuso: l’istruttoria per le eventuali violazioni di natura continuativa è ora nelle mani del DPC irlandese, che ha giurisdizione come autorità capofila per OpenAI a livello europeo.

→ La pagina aggiornata del Garante è disponibile su garanteprivacy.it

ChatGPT e AI Act: il nuovo quadro normativo

Al GDPR si affianca ora un secondo livello normativo: il Regolamento UE sull’intelligenza artificiale (AI Act, Reg. UE 2024/1689), in vigore dal 2024 e applicabile progressivamente entro il 2026.

ChatGPT è classificato come GPAI — General Purpose AI Model ai sensi dell’AI Act. I modelli GPAI di uso generale sono soggetti a obblighi specifici di trasparenza: OpenAI deve documentare come è stato addestrato il modello, quali dati sono stati usati e come vengono gestiti i diritti d’autore e i dati personali nel processo di training.

Per le aziende e i professionisti che usano ChatGPT in contesti lavorativi, l’AI Act introduce un ulteriore livello di responsabilità: chi integra un sistema AI nel proprio flusso di lavoro può avere obblighi propri di valutazione del rischio e di trasparenza verso clienti o dipendenti, a seconda dell’uso specifico.

Un avvocato specializzato in intelligenza artificiale può valutare se l’uso che la tua azienda fa di ChatGPT è compatibile con il quadro normativo europeo — GDPR + AI Act — e aiutarti a strutturare una policy interna adeguata.

Approfondisci: intelligenza artificiale e diritto d’autore in Italia

ChatGPT privacy e uso professionale: i rischi concreti

Il contenzioso istituzionale tra Garante e OpenAI riguarda le violazioni sistemiche del GDPR. Ma per professionisti, aziende e studi legali c’è un piano di rischio più immediato: quello che succede quando si inserisce nel prompt il nome di un cliente, una clausola contrattuale riservata, un dato sensibile.

Violazione del GDPR — inserire in ChatGPT dati personali di terzi — clienti, dipendenti, pazienti, controparti — significa trasferire quei dati a OpenAI senza una base giuridica e senza informare le persone interessate. Questo viola gli artt. 5, 6 e 13 del GDPR (Reg. 2016/679).

Violazione della riservatezza professionale — avvocati, commercialisti, medici, consulenti hanno obblighi deontologici di riservatezza. Condividere informazioni riservate dei clienti con un sistema AI di terze parti può integrare una violazione di quegli obblighi, indipendentemente dal GDPR.

Esposizione di segreti aziendali — strategie commerciali, contratti in negoziazione, dati finanziari: una volta inseriti nel prompt, escono dal perimetro aziendale controllato. L’art. 98 CPI tutela le informazioni aziendali segrete solo se sono adottate misure ragionevolmente adeguate a mantenerle tali — il loro inserimento in un sistema AI esterno può compromettere questa tutela.

Versioni enterprise — ChatGPT Teams e ChatGPT Enterprise hanno condizioni contrattuali diverse dalla versione gratuita: OpenAI dichiara di non usare i dati delle conversazioni aziendali per addestrare i modelli. Per l’uso professionale strutturato è necessario valutare queste opzioni — e verificare le condizioni contrattuali aggiornate.

Leggi anche: NDA e clausole di riservatezza nelle collaborazioni professionali

Come tutelarsi: impostazioni e diritti GDPR

Disabilita l’uso delle conversazioni per l’addestramento

  1. Accedi a ChatGPT e vai su Impostazioni (icona in basso a sinistra)
  2. Seleziona Controlli dei dati
  3. Disattiva l’opzione “Migliora il modello per tutti”

Questa impostazione impedisce che le conversazioni vengano usate per l’addestramento futuro. Non elimina i dati già raccolti, ma interrompe la raccolta futura.

Esercita i tuoi diritti GDPR

Come interessato ai sensi del GDPR hai il diritto di:

  • Accesso (art. 15) — richiedere copia dei tuoi dati personali trattati da OpenAI
  • Cancellazione (art. 17) — richiedere l’eliminazione dell’account e di tutti i dati associati tramite il modulo sul sito di OpenAI
  • Portabilità (art. 20) — esportare i tuoi dati in formato leggibile
  • Opposizione (art. 21) — opporti al trattamento per finalità di addestramento o profilazione

Per uso professionale: alcune regole pratiche

  • Non inserire mai nomi, codici fiscali, dati sanitari o finanziari di clienti o dipendenti
  • Anonimizza i dati prima di usarli come input: usa “il cliente X” invece del nome reale
  • Non inserire testi contrattuali riservati, strategie commerciali o informazioni protette da NDA
  • Per uso aziendale strutturato, valuta le versioni Teams o Enterprise con condizioni contrattuali specifiche
  • Adotta una policy interna sull’uso degli strumenti AI che definisca cosa i dipendenti possono o non possono inserire nei prompt

In sintesi

  • ChatGPT raccoglie conversazioni, dati account e metadati; per impostazione predefinita li usa per addestrare i modelli — disattivabile nelle impostazioni
  • Il Garante italiano ha multato OpenAI 15 milioni di euro (2024); il Tribunale di Roma ha annullato la sanzione nel 2026; il caso è ora all’autorità irlandese DPC
  • Inserire dati di clienti o dipendenti in ChatGPT viola il GDPR (artt. 5, 6, 13) e può violare obblighi deontologici di riservatezza
  • ChatGPT è classificato come GPAI ai sensi dell’AI Act (Reg. UE 2024/1689): al GDPR si aggiunge un secondo livello di obblighi per chi lo usa professionalmente
  • Per l’uso aziendale strutturato esistono versioni Teams ed Enterprise con condizioni contrattuali diverse — da valutare con un avvocato esperto in intelligenza artificiale
  • I diritti GDPR (accesso, cancellazione, portabilità, opposizione) si esercitano direttamente su OpenAI o tramite il Garante italiano

Domande frequenti

ChatGPT raccoglie i miei dati personali?

Sì — conversazioni, nome, email, dati di fatturazione, IP e dati del dispositivo. Per impostazione predefinita, le conversazioni vengono usate per addestrare i modelli futuri. Puoi disabilitare questa funzione in Impostazioni → Controlli dei dati → Migliora il modello per tutti.

Perché il Garante ha multato OpenAI?

Con provvedimento n. 755/2024, il Garante ha accertato: assenza di base giuridica per il trattamento dei dati di addestramento, violazioni degli obblighi di trasparenza, assenza di verifica dell’età per i minori, e mancata notifica di un data breach del marzo 2023 che aveva coinvolto 440 utenti italiani. La sanzione era di 15 milioni di euro. Il Tribunale di Roma l’ha annullata con sentenza n. 4153/2026; il caso è ora all’autorità irlandese DPC.

È legale inserire dati di clienti in ChatGPT?

No, nella maggior parte dei casi. Significa trasferire dati personali di terzi a OpenAI senza base giuridica e senza informarli — violando il GDPR (artt. 5, 6, 13). Per i professionisti c’è anche il rischio di violare gli obblighi deontologici di riservatezza. Anonimizza i dati o valuta le versioni enterprise con condizioni contrattuali differenti.

Come disabilito l’uso dei miei dati per addestrare ChatGPT?

Impostazioni → Controlli dei dati → disattiva “Migliora il modello per tutti”. Puoi anche richiedere la cancellazione completa dell’account e dei dati associati tramite il modulo sul sito di OpenAI.

Ho diritto alla cancellazione dei miei dati da ChatGPT?

Sì — artt. 17 e 21 GDPR. Puoi richiedere cancellazione, accesso e portabilità dei tuoi dati. Per segnalare violazioni in Italia, puoi rivolgerti al Garante per la Protezione dei Dati Personali su garanteprivacy.it.

ChatGPT è soggetto all’AI Act europeo?

Sì — è classificato come GPAI (General Purpose AI Model) ai sensi del Reg. UE 2024/1689. Le aziende che lo usano professionalmente possono avere obblighi propri di valutazione del rischio e trasparenza. Un avvocato specializzato in intelligenza artificiale può valutare la conformità dell’uso aziendale al quadro GDPR + AI Act.

Cosa fa un avvocato specializzato in intelligenza artificiale?

Assiste aziende e professionisti nella valutazione della conformità degli strumenti AI al GDPR e all’AI Act, nella redazione di policy aziendali per l’uso dei sistemi AI, nella gestione di violazioni di dati che coinvolgono sistemi AI, e nella tutela dei diritti d’autore su contenuti generati da AI. DANDI assiste produttori, studi professionali e aziende nell’adozione di strumenti AI nel rispetto del quadro normativo europeo.

La tua azienda usa strumenti AI come ChatGPT e vuoi verificare se il trattamento dei dati è conforme a GDPR e AI Act? Contattaci — DANDI assiste aziende e professionisti nella conformità all’uso degli strumenti di intelligenza artificiale, nella redazione di policy AI e nella gestione dei rischi privacy.

Leggi anche: AI e diritto d’autore in Italia · Accordo di non divulgazione (NDA) · GDPR e diritto alla privacy · Clonazione vocale AI e deepfake: cosa fare · Segreto industriale e tutela delle informazioni riservate

Lo Studio Legale Dandi fornisce assistenza legale in Diritto d'autore. Dai un'occhiata ai nostri servizi oppure contattaci!

Avvocata specializzata in diritto d'autore, proprietà intellettuale e diritto dello spettacolo. A Roma dal 2003, lavoro con registi, musicisti e produttori indipendenti — dalla fase di sviluppo fino alla distribuzione.

Post Navigation

Licenze SIAE per eventi e web radio: cosa coprono e cosa no

Related Posts:

Idee e opere d'arte: il caso goldfish phone booth e il diritto d'autore

Idee e opere d’arte: il caso goldfish phone booth e il diritto d’autore

manager musicale

Allen Klein e la Nanker Phelge USA: la truffa che costò i diritti ai Rolling Stones

Kiss Cam

Kiss Cam e diritto all’immagine: quando l’amore in pubblico sconfina nella privacy (e nel diritto d’autore)

Site Footer

© DANDI • Cookie & Privacy PolicyTags Cloud • Developed by Paluma