L'8 gennaio è stata pubblicata in Gazzetta Ufficiale la delibera del 18 dicembre 2025 del Garante della privacy, che contiene un avvertimento agli utilizzatori di servizi di generazione di contenuti multimediali, i cosiddetti deepfake.
L'iniziativa trae origine da un'attività istruttoria interna che ha evidenziato la presenza sul mercato di numerosi servizi in grado di replicare esattamente la voce e/o le immagini di terze persone, successivamente divulgate soprattutto attraverso le principali piattaforme social, che potrebbero non essere a conoscenza del trattamento dei loro dati personali.
Il Garante ricorda che, ai sensi dell'articolo 4, paragrafo 1, del GDPR, per dato personale si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile; è identificabile la persona che può essere individuata, direttamente o indirettamente, con riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
Ai sensi di quanto sopra, la voce e l'immagine rientrano tra gli identificatori diretti di una persona e possono essere utilizzati solo nel rispetto della liceità del trattamento, ossia in presenza di almeno una delle condizioni previste dall'articolo 6 del GDPR.
Il trattamento di dati personali relativi a terzi può comportare rischi quali violazioni dei diritti e delle libertà fondamentali, oltre a integrare in taluni casi fattispecie di reato quando l'uso ingannevole è finalizzato alla sostituzione di persona o alla frode.
Sulla base di tali presupposti, il Garante ha invitato i fornitori di servizi in grado di generare contenuti artificiali replicando immagini e/o voce di terzi a considerare il diritto alla protezione dei dati sin dalla progettazione e dallo sviluppo dei prodotti, affinché i titolari e i responsabili del trattamento possano adempiere all'obbligo di protezione dei dati, come previsto dall'articolo 25 del GDPR.
Il Garante ha inoltre avvertito tutte le persone fisiche o giuridiche che utilizzano, in qualità di titolari o responsabili del trattamento, servizi di generazione di contenuti basati sull'intelligenza artificiale a partire da voci o immagini reali di terzi, che tale trattamento, se effettuato in assenza di una idonea condizione di liceità e senza fornire preventivamente agli interessati informazioni corrette e trasparenti, può violare le disposizioni del GDPR, in particolare gli articoli 5, paragrafo 1, lettera a), 6 e 9, con tutte le conseguenze, anche sanzionatorie, previste dalla disciplina in materia di protezione dei dati personali.
L'uso dell'intelligenza artificiale generativa presenta punti di forza e può supportare alcuni settori; è tuttavia necessario delineare chiaramente modalità e limiti di impiego per evitare che i rischi superino i benefici.
