Esercitare il diritto di accesso ai dati previsto dal Gdpr nei confronti di OpenAI si è rivelato un percorso opaco, tecnico e poco comprensibile. Un’inchiesta di Wired Italia, condotta con il supporto legale, mostra come la promessa di trasparenza si traduca in una matassa di file incomprensibili e procedure automatizzate che svuotano di senso l’articolo 15 del regolamento europeo.
Un diritto europeo, una risposta automatica
Il Regolamento generale sulla protezione dei dati (Gdpr) garantisce ai cittadini il diritto di conoscere quali dati personali vengano trattati da aziende e piattaforme digitali. Wired Italia ha testato questo diritto nei confronti di OpenAI, inviando una richiesta formale a dsar@openai.com.
La risposta è arrivata in 48 ore, ma in forma automatica e in inglese, con link generici al portale privacy. Secondo l’avvocato Diego Dimalta (BSD Legal), questo non rispetta pienamente l’obbligo di trasparenza previsto dall’art. 12 del Gdpr, che impone un linguaggio “chiaro e intellegibile” .
Un archivio incomprensibile
Il file zip ricevuto conteneva 248 file distribuiti in 64 cartelle, con percorsi superiori ai limiti di Windows. Le informazioni risultavano frammentate, duplicate e prive di spiegazioni. I dati, in gran parte esportazioni grezze da Salesforce, includevano:
- metadati delle chat,
- log tecnici,
- informazioni su IP, browser e geolocalizzazione,
- file audio e immagini generate.
Secondo Wired, il formato non consente a un cittadino medio di comprendere cosa venga realmente conservato .
Addestramento e consenso: un controllo solo parziale
OpenAI consente di opporsi all’uso dei dati per l’addestramento dei modelli, ma solo per le attività future. Non è possibile sapere con precisione quali conversazioni siano già state utilizzate, né ricevere chiarimenti umani: tutte le richieste di follow-up hanno generato risposte automatiche .
Cronologia essenziale e fonti
- 2018 – Entra in vigore il Gdpr (UE)
https://eur-lex.europa.eu/eli/reg/2016/679/oj - Ottobre 2025 – Wired Italia invia DSAR a OpenAI
- 2026 – Pubblicazione dell’inchiesta
https://www.wired.it/article/chatgpt-openai-gdpr-accesso-dati/
Approfondimenti
- EDPB, Linee guida sulla trasparenza:
https://edpb.europa.eu - Garante Privacy Italia:
https://www.garanteprivacy.it
Abstract – Pro e rischi etici
Pro: tutela dei diritti, consapevolezza, controllo sui dati.
Rischi: opacità tecnica, automazione cieca, asimmetria informativa.
Conseguenze future: erosione della fiducia, richieste di riforma del Gdpr, nuove pressioni regolatorie sull’AI generativa.
