Il Tribunale di Roma annulla la sanzione da 15 milioni contro OpenAI: un caso simbolo che evidenzia criticità nella governance europea della privacy e nell’applicazione del GDPR all’intelligenza artificiale.
Il 20 marzo 2026 segna un passaggio cruciale nel rapporto tra regolatori e Big Tech. Il Tribunale di Roma ha annullato la sanzione da 15 milioni di euro inflitta dal Garante per la protezione dei dati personali a OpenAI per presunte violazioni del GDPR legate a ChatGPT. La decisione arriva dopo la sospensione cautelare del marzo 2025 e rappresenta una battuta d’arresto significativa per l’autorità italiana.
La vicenda risale al marzo 2023, quando un bug tecnico espose dati degli utenti, spingendo il Garante a bloccare temporaneamente ChatGPT in Italia. Nel novembre 2024, l’Autorità contestò quattro violazioni: mancata notifica del data breach, assenza di base giuridica per l’addestramento dei modelli, carenze nella trasparenza e insufficienti tutele per i minori.
OpenAI ha impugnato la decisione, definendo la sanzione sproporzionata rispetto al fatturato italiano. Il Tribunale ha ora accolto il ricorso, anche se le motivazioni non sono ancora pubbliche. Tra le ipotesi: criticità procedurali, problemi di competenza legati al meccanismo europeo “one-stop-shop” e dubbi sulla base giuridica del training dei modelli AI.
Il contesto istituzionale pesa. Il Garante attraversa una crisi reputazionale, aggravata dalle dimissioni nel gennaio 2026 del componente Guido Scorza e da indagini giudiziarie in corso. In parallelo, anche altre sanzioni europee — come quella contro Amazon annullata in Lussemburgo — mostrano una fragilità crescente dell’enforcement.
Resta però aperto il nodo centrale: il GDPR, concepito prima dell’era dell’AI generativa, fatica a regolamentare modelli addestrati su dati web su larga scala. L’AI Act europeo, entrato in vigore nell’agosto 2024, introduce nuovi strumenti ma non risolve completamente il problema.
La competenza passa ora alla Data Protection Commission irlandese, che dovrà gestire il caso a livello europeo. L’esito sarà decisivo per il futuro della regolazione dell’intelligenza artificiale nel continente.
Approfondimento e cronologia
- Marzo 2023 – Blocco temporaneo di ChatGPT in Italia
https://www.garanteprivacy.it - Novembre 2024 – Sanzione da 15 milioni (Provvedimento n. 755)
https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/ - Marzo 2025 – Sospensione cautelare del Tribunale di Roma
- Agosto 2024 – Entrata in vigore AI Act UE
https://eur-lex.europa.eu - 2026 – Annullamento sanzione OpenAI
Consigli di approfondimento
- European Data Protection Board (EDPB) – pareri su AI e dati
https://edpb.europa.eu - Commissione Europea – AI Act
https://digital-strategy.ec.europa.eu - OECD AI Policy Observatory
https://oecd.ai
Abstract: impatti, rischi e prospettive
Pro
- Maggiore chiarezza giuridica sui limiti delle sanzioni
- Rafforzamento del principio di proporzionalità
- Spinta verso armonizzazione europea
Rischi
- Indebolimento della credibilità delle autorità di controllo
- Incentivo alle Big Tech a contestare sistematicamente le sanzioni
- Ritardi nella tutela effettiva dei cittadini
Conseguenze future
La sentenza potrebbe accelerare una revisione del quadro normativo europeo, rafforzando il coordinamento tra autorità e spingendo verso standard tecnici più solidi. Tuttavia, senza una governance credibile e condivisa, il rischio è una regolazione inefficace in un settore strategico come l’intelligenza artificiale.
