L’intelligenza artificiale generativa ha ormai varcato la soglia dei laboratori di ricerca per diventare uno strumento quotidiano, capace di ridefinire i confini tra ciò che è autentico e ciò che è costruito algoritmicamente.
In questo scenario di rapida evoluzione, la Delibera del 18 dicembre 2025 emanata dal Garante per la protezione dei dati personali si pone come un pilastro normativo di fondamentale importanza, delineando un perimetro di legalità per l’uso dei cosiddetti deepfake.
Si apprezza la tempestività e la profondità di questo provvedimento, identificato come il numero 789, che è stato recentemente pubblicato nella Gazzetta Ufficiale dell’8 gennaio 2026.
Il documento non è un semplice parere consultivo, ma un vero e proprio avvertimento formale rivolto a tutti coloro che utilizzano servizi di generazione di contenuti multimediali idonei a manipolare la realtà partendo da dati biometrici e personali di terzi, siano essi personaggi noti o privati cittadini.
Il Garante rileva come la proliferazione di servizi capaci di clonare la voce umana o di ricostruire sembianze fotografiche e audiovisive rappresenti una minaccia diretta alla dignità della persona.
La completezza del provvedimento è evidente nel modo in cui affronta la questione della manipolazione della realtà: non si limita a descrivere la tecnologia, ma ne indaga le conseguenze ontologiche e giuridiche, arrivando a definire come il deepfake possa privare l’individuo della propria autodeterminazione informativa.
Questo concetto, centrale nel pensiero giuridico moderno, riguarda il diritto di ogni persona di decidere cosa far sapere di sé e di mantenere il controllo sulla propria immagine pubblica e privata. Il testo ribadisce che il trattamento di dati come la voce e l’immagine rientra pienamente nell’ambito di applicazione del Regolamento europeo.
Un punto di particolare interesse riguarda la distinzione tra dato personale generico e dato biometrico. Il Garante chiarisce con precisione che la voce e le immagini, in quanto identificatori diretti della persona, sono dati personali ai sensi dell’articolo 4 del GDPR.
Tuttavia, la delibera compie un passo ulteriore, stabilendo che tali dati possono essere classificati come biometrici qualora il trattamento tecnico sia finalizzato all’identificazione univoca dell’interessato.
Questa precisazione è cruciale perché sposta il baricentro delle responsabilità: se un trattamento riguarda dati biometrici, non è sufficiente una base giuridica ordinaria, ma occorre soddisfare le condizioni più stringenti previste dall’articolo 9 del GDPR.
Molti utenti si chiedono spesso se l’utilizzo di queste tecnologie per fini ludici o creativi possa ritenersi esente da responsabilità.
La delibera risponde implicitamente a questo interrogativo ricordando che, sebbene il GDPR non si applichi ad attività esclusivamente personali o domestiche, la diffusione di contenuti manipolati attraverso le piattaforme social e la potenziale lesione della reputazione altrui portano quasi sempre il trattamento fuori da questa zona franca.
La profondità della riflessione dell’Autorità emerge anche quando si analizzano i rischi elevati connessi alla generazione di contenuti sintetici, che spaziano dalla frode alla diffamazione, fino alla sostituzione di persona.
Il provvedimento sottolinea come il danno causato da un deepfake possa essere non solo materiale o economico, ma anche immateriale e sociale, colpendo la riservatezza e la libertà decisionale del soggetto coinvolto.
È qui che il documento intercetta le preoccupazioni più vive del pubblico: la paura che le proprie idee e i propri pensieri possano essere travisati o attribuiti falsamente attraverso una voce clonata che parla a nostro nome senza il nostro consenso.
Il testo richiama la giurisprudenza europea e ai pareri del Gruppo di Lavoro Articolo 29, citando esplicitamente l’opinione numero 4 del 2007 per ribadire che suoni e immagini costituiscono dati personali in quanto rappresentano informazioni su un individuo.
Questa continuità interpretativa assicura che il provvedimento non sia un’uscita estemporanea, ma parte di un quadro normativo coeso e stabilizzato.
Non si tratta solo di sanzionare, ma di educare alla consapevolezza digitale. Un aspetto fondamentale che ogni azienda e ogni professionista dell’AI dovrebbe considerare è il riferimento all’articolo 25 del GDPR, ovvero la protezione dei dati fin dalla progettazione e per impostazione predefinita.
Il Garante rivolge un invito esplicito ai fornitori di servizi affinché tengano conto del diritto alla protezione dei dati già nelle fasi di sviluppo e selezione delle applicazioni.
Questo significa che la responsabilità non ricade solo sull’utente finale che preme il tasto genera, ma risale la catena del valore fino agli sviluppatori e ai titolari dei sistemi di intelligenza artificiale.
In questo modo, l’accessibilità della norma diventa una guida pratica per l’industria tecnologica.
La delibera analizza con cura anche le possibili violazioni degli articoli 5 e 6 del Regolamento, ricordando che il trattamento dei dati personali di terzi deve sempre basarsi su una condizione di liceità idonea, come il consenso o il legittimo interesse, che raramente sussistono in contesti di manipolazione non autorizzata.
Il provvedimento si conclude con una decisione ferma: un avvertimento generalizzato a tutte le persone fisiche o giuridiche che utilizzano questi strumenti in qualità di titolari o responsabili del trattamento.
L’Autorità avverte che operare in assenza di trasparenza e di informazioni corrette verso gli interessati configura una violazione che comporta pesanti conseguenze sanzionatorie.
La protezione dei dati nell’era dei deepfake non è un mero adempimento burocratico, ma una difesa della nostra stessa identità e libertà.
La sfida per il futuro, come suggerito dal Garante, sarà quella di mantenere alta la guardia di fronte a tecnologie che diventano sempre più sofisticate, garantendo che il progresso non avvenga mai a discapito dell’integrità umana.
𝘼 𝙘𝙪𝙧𝙖 𝙙𝙚𝙡𝙡’𝘼𝙫𝙫. 𝘼𝙡𝙛𝙤𝙣𝙨𝙤 𝙎𝙘𝙖𝙛𝙪𝙧𝙤
𝑅𝑒𝑠𝑝𝑜𝑛𝑠𝑎𝑏𝑖𝑙𝑒 𝐴𝑟𝑒𝑎 𝐼𝑛𝑛𝑜𝑣𝑎𝑧𝑖𝑜𝑛𝑒, 𝐷𝑖𝑔𝑖𝑡𝑎𝑙𝑖𝑧𝑧𝑎𝑧𝑖𝑜𝑛𝑒 𝑒 𝐼𝑛𝑡𝑒𝑙𝑙𝑖𝑔𝑒𝑛𝑧𝑎 𝐴𝑟𝑡𝑖𝑓𝑖𝑐𝑖𝑎𝑙𝑒 𝑑𝑖 𝐹𝑖𝑠𝑎𝑝𝑖
