OpenAI vs Garante Privacy – Il Tribunale di Roma annulla la multa da 15 milioni

I fatti

Nel dicembre 2024, il Garante Privacy sanziona OpenAI con una multa da 15 milioni di euro per violazioni GDPR legate a ChatGPT. Le contestazioni: uso di dati personali per il training dei modelli senza base giuridica adeguata, carenze nella trasparenza informativa, protezione insufficiente dei minori, assenza di meccanismi accessibili di opt-out.

OpenAI ricorre al Tribunale di Roma. Con sentenza n. 4153/2026, depositata il 18 marzo 2026, il Tribunale accoglie il ricorso e annulla la sanzione.

I tre segnali della sentenza

Le motivazioni complete non sono ancora pubbliche. Ma dall’analisi disponibile emergono tre punti chiave.

1. Competenza territoriale limitata

Il Tribunale ha evidenziato che, in assenza di uno stabilimento europeo di OpenAI al momento dei fatti, il Garante poteva intervenire solo entro limiti ben definiti. La competenza nazionale non si estende automaticamente a trattamenti globali.

2. Legittimo interesse per il training AI

Il Tribunale sembra accettare che il training di modelli AI possa fondarsi sul legittimo interesse (art. 6, par. 1, lett. f GDPR). Questo ridimensiona la tesi secondo cui servirebbe il consenso per il web scraping finalizzato all’addestramento.

3. Distinzione tra fasi di trattamento

Il Tribunale ha distinto tra pre-training (raccolta dati), sviluppo del modello e erogazione del servizio. Il training effettuato prima della distribuzione in UE non ricade automaticamente sotto il GDPR.

Cosa significa per le aziende

Per chi usa AI generativa in azienda

La sentenza riduce il rischio di sanzioni per il semplice utilizzo di strumenti commerciali come ChatGPT, Copilot o Gemini. Se il provider è stato “assolto”, l’utilizzatore ha meno esposizione.

Ma non è un via libera. L’azienda resta titolare del trattamento per i dati che inserisce nei prompt. Serve sempre una base giuridica per i dati personali processati tramite AI.

Per chi sviluppa modelli AI propri

• Il legittimo interesse per il training su dati pubblici diventa più difendibile
• Resta obbligatoria la DPIA per qualsiasi attività di training su dati personali su larga scala
• Servono meccanismi di opt-out accessibili

Attenzione: non abbassare la guardia

Tre motivi per restare vigili:

1. Primo grado. La sentenza non crea un precedente vincolante. Il Garante potrebbe impugnare.
2. Motivazioni non pubbliche. Fino a quando non leggiamo il testo completo, le implicazioni restano parziali.
3. AI Act in arrivo. Da agosto 2026 entrano in vigore i requisiti per sistemi AI ad alto rischio e gli obblighi di trasparenza. La compliance GDPR da sola non basta più.

Questa era l’unica azione di enforcement GDPR definitiva in Europa riguardo all’AI generativa. Il suo annullamento potrebbe rendere le altre DPA europee più caute, spostando il focus da sanzioni a supervisione collaborativa.

Il vento sta cambiando direzione. Ma le regole del gioco stanno cambiando ancora più velocemente.

Fonti: Wilson Sonsini | Diritto.it | Federprivacy