Il Garante per la protezione dei dati personali (in breve: Garante Privacy) è l'autorità amministrativa indipendente italiana competente per il rispetto del GDPR e della normativa privacy nazionale. Sede a Roma.
Tra le autorità privacy europee, è una delle più attive sull'IA. Casi celebri:
- Marzo 2023: blocco di ChatGPT. Prima autorità al mondo a bloccare ChatGPT, citando: mancanza di base giuridica per addestramento, no informativa, no verifica età, data breach del 20 marzo 2023. ChatGPT ripristinato dopo un mese, con modifiche imposte (informativa più chiara, age gate, possibilità di opt-out dal training).
- Febbraio 2023: blocco di Replika. Chatbot "amico virtuale" bloccato per rischi minori, contenuti inappropriati, mancanza di verifica età.
- Dicembre 2024: multa di 15 milioni a OpenAI. Per violazioni GDPR sull'addestramento di ChatGPT: trattamento senza base giuridica adeguata, no informativa trasparente, no verifica età, no notifica data breach. Una delle multe IA più alte mai comminate in UE.
- 2024: provvedimento Foodinho/Glovo: per profilazione algoritmica di rider senza adeguata trasparenza.
- 2024: provvedimenti vari su scraping: ammoniti soggetti che scrappano siti italiani per training IA.
Poteri:
- Indagini d'ufficio o su reclamo.
- Ammonimenti, prescrizioni, blocchi temporanei o definitivi.
- Sanzioni amministrative pecuniarie (fino al massimo GDPR: 20M o 4% fatturato).
- Segnalazioni all'autorità giudiziaria penale.
- Pareri preventivi su trattamenti rischiosi.
Per chi opera con IA in Italia: il Garante non è un'autorità decorativa. Le sue decisioni hanno effetti pratici concreti, anche su grandi multinazionali. Tenere d'occhio le sue newsletter ufficiali (sito garanteprivacy.it) e i suoi provvedimenti è prudente.
Con l'AI Act in vigore, il Garante avrà ruolo anche come autorità di vigilanza per gli aspetti che si sovrappongono al GDPR. La governance esatta in Italia tra Garante, AgID e nuova autorità AI Act è ancora in definizione.