Deep Seek bloccato in Italia dal garante. Renato Reggiani “serve più dialogo tra regolatori e imprese” – UniversiNet Magazine

Roma – Il recente provvedimento del Garante della Privacy italiano, volto a limitare il trattamento dei dati degli utenti italiani da parte delle società cinesi Hangzhou DeepSeek Artificial Intelligence e Beijing DeepSeek Artificial Intelligence, solleva interrogativi giuridici e procedurali che meritano una riflessione più approfondita, nel rispetto del dialogo tra autorità e soggetti regolati.
Abbiamo sentito al riguardo Renato Reggiani Esperto in Diritto dell’Intelligenza Artificiale autore di pubblicazioni al riguardo e consulente Ai in Italia ed all’estero.
Renato Reggiani: La contestazione delle società in merito all’applicabilità del GDPR si basa sull’assunto di non operare direttamente in Italia. Tuttavia, ai sensi dell’articolo 3 del Regolamento Generale sulla Protezione dei Dati (GDPR), la normativa europea si applica anche a enti extra-UE che offrono beni o servizi a persone fisiche nell’Unione Europea o ne monitorano il comportamento, indipendentemente dalla presenza fisica nel territorio. Se il servizio DeepSeek è accessibile agli utenti italiani (ad esempio, attraverso interfacce in lingua italiana, marketing mirato o collaborazioni con enti locali), potrebbe configurarsi un’offerta intenzionale di servizi al mercato UE, rendendo il GDPR pienamente applicabile. Una valutazione di merito su questi elementi, anziché una dichiarazione unilaterale delle società, sarebbe auspicabile per garantire equità processuale.Il provvedimento d’urgenza adottato dal Garante, sebbene motivato dalla tutela dei diritti degli utenti, potrebbe essere considerato sproporzionato alla luce del principio di necessità e proporzionalità sancito dall’articolo 5 del GDPR. Prima di imporre una limitazione immediata, sarebbe stato opportuno avviare un confronto tecnico con le società per chiarire eventuali ambiguità o consentire l’adeguamento volontario, come previsto dalle linee guida del Comitato Europeo per la Protezione dei Dati (EDPB).

UniversiNet: Il Garante della Privacy italiano ha limitato l’operato di DeepSeek, chatbot cinese, ritenendo insufficienti le garanzie sulla privacy. Le società sostengono però di non essere soggette al GDPR. Cosa ne pensa?

Renato Reggiani: Il tema è complesso, ma il GDPR è chiaro: l’articolo 3 prevede l’applicazione extraterritoriale della normativa europea a qualsiasi azienda che offra servizi a utenti UE, anche senza sede fisica in Europa. Se DeepSeek permette a cittadini italiani di accedere al chatbot in lingua locale, con logiche di mercato mirate (ad esempio, pubblicità in italiano o partnership con aziende UE), il GDPR si applica. Tuttavia, le autorità dovrebbero favorire un dialogo preliminare con le imprese, anziché ricorrere subito a provvedimenti d’urgenza. Serve equilibrio tra tutela dei dati e certezza del diritto per le aziende.

UniversiNet: Il Garante ha agito in via cautelare, definendo “insufficienti” le risposte di DeepSeek. È una scelta giustificata?

Renato Reggiani: La protezione dei dati è un diritto fondamentale, e le autorità hanno il dovere di intervenire in casi di rischio concreto. Tuttavia, il principio di proporzionalità richiede che misure così invasive siano adottate solo dopo aver esaurito ogni tentativo di cooperazione. Se DeepSeek ha fornito risposte incomplete, sarebbe stato utile un engagement tecnico: richieste specifiche, termini per integrarle, verifica delle soluzioni proposte. Agire d’imperio rischia di creare un precedente conflittuale, scoraggiando gli investimenti esteri senza migliorare la compliance.

UniversiNet: Le aziende extra-UE spesso contestano l’applicazione del GDPR. Come si concilia questa posizione con la globalità del digitale?

Renato Reggiani: È una sfida cruciale. Il GDPR è un modello globale, ma la sua attuazione richiede pragmatismo. Molte aziende cinesi o statunitensi adottano oggi clausole contrattuali standard (SCCs) o designano rappresentanti in UE per dimostrare compliance. Se DeepSeek non lo ha fatto, è legittimo chiedersi se vi sia stata negligenza o un’effettiva estraneità al mercato europeo. Servirebbe una “zona grigia” di collaborazione: le autorità potrebbero pubblicare linee guida per chiarire quando un servizio è considerato “orientato all’UE”, evitando ambiguità.

UniversiNet: Cosa consiglierebbe a un CEO che vuole operare in Europa con strumenti di AI?

Renato Reggiani: Tre passi. Primo: mappare i dati. Quali informazioni vengono processate, dove risiedono i server, chi è il responsabile del trattamento. Secondo: designare un rappresentante in UE, figura obbligatoria per le aziende extra-UE sotto GDPR. Terzo: investire in trasparenza, con policy chiare e audit indipendenti. Nel mio libro “Intelligenza Artificiale per CEO” dedico un capitolo a questi casi: non basta sviluppare algoritmi potenti, serve una strategia legale by design.

UniversiNet: Ultima domanda: l’Italia rischia di isolarsi con provvedimenti come questo?

Renato Reggiani: L’Italia ha una tradizione di rigore nella privacy, ma deve evitare di essere percepita come un Paese anti-tech. La sfida è essere severi con chi viola le regole, ma aperti al dialogo con chi vuole rispettarle. Un Garante più propositivo, che pubblichi standard tecnici per l’AI e offra pre-consulenze alle aziende, attirerebbe innovazione senza sacrificare i diritti. La reputazione si costruisce bilanciando tutela e pragmatismo.