Utilizziamo cookie tecnici per personalizzare il sito web e offrire all’utente un servizio di maggior valore. Chiudendo il banner e continuando con la navigazione verranno installati nel Suo dispositivo i cookie tecnici necessari ai fini della navigazione nel Sito. L’installazione dei cookie tecnici non richiede alcun consenso da parte Sua. Ulteriori informazioni sono contenute nella nostra Cookie Policy.



A.I. generativa, tutela dei minori e trasparenza: il Garante sanziona il chatbot Replika

PrintMailRate-it

​​​​​​​​​​​​​​​​​​​​​​​​Ultimo aggiornamento del 26.05.2025 | Tempo di lettura ca. 3 minuti


Prendendo le mosse da un’istruttoria avviata nel 2023 a seguito di una serie di articoli pubblicati dagli organi di stampa, con provvedimento del 10 aprile 2025 il Garante per la Protezione dei Dati Personali (il “Garante”) ha sanzionato la società statunitense Luka Inc., sviluppatrice del noto chatbot per adulti “Replika”, per gravi e sistematiche violazioni nella gestione dei dati personali degli utenti del servizio. 

L’intervento giunge dopo una prima limitazione provvisoria del trattamento, imposta in via d’urgenza dall’Autorità e poi sospesa nel giro di tre mesi a fronte degli impegni assunti dalla società statunitense. Ma, soprattutto, si inserisce in un contesto di vigilanza rafforzata da parte del Garante sull’utilizzo di sistemi di A.I. generativa. Basti ricordare che, nel novembre del 2024, l’Autorità aveva già adottato una maxi-sanzione da 15 milioni di euro nei confronti di OpenAI per violazioni legate all’utilizzo di ChatGPT, mettendo in evidenza profili di criticità quasi del tutto sovrapponibili rispetto al provvedimento in commento: trasparenza, identificazione della base giuridica dei trattamenti e tutela degli utenti minori.

Per sintetizzare, il Garante ha evidenziato tre principali profili di non conformità in relazione all’A.I companion Replika: 
  • la mancata individuazione - puntuale e granulare - delle basi giuridiche in connessione alle finalità del trattamento perseguite mediante il chatbot;
  • l’adozione di una privacy policy assolutamente generica, opaca e ambigua, disponibile peraltro unicamente in lingua inglese;
  • l’inadeguatezza delle misure adottate per impedire l’accesso ai minori, che avrebbero comunque avuto la possibilità di accedere al servizio in maniera piuttosto agevole, a dispetto delle dichiarazioni contrarie del titolare.

Il provvedimento non ha solo imposto alla società statunitense il pagamento di una sanzione amministrativa di importo pari a 5 milioni di euro, bensì anche l’implementazione di una serie di misure correttive volte a ricondurre i trattamenti in un ambito di conformità normativa, quali l’adozione di sistemi di age verification realmente efficaci e la revisione - e traduzione in lingua italiana - della privacy policy relativa al servizio. 

Il caso Replika offre uno spunto importante anche per interrogarsi sull’applicazione del recente A.I. Act e sul suo coordinamento con il vigente quadro normativo in materia di protezione dei dati personali. Sebbene il Regolamento europeo sull’intelligenza artificiale sia destinato ad operare parallelamente rispetto al GDPR, i due strumenti condividono una comune attenzione alla trasparenza, alla valutazione del rischio e alla protezione degli utenti vulnerabili. L’individuazione del livello di rischio associato al singolo sistema e la definizione delle misure di conformità sin dalle prime fasi di progettazione saranno elementi chiave per gli sviluppatori, chiamati a gestire un duplice piano di compliance.

In conclusione, la decisione del Garante può essere letta come un promemoria per tutti coloro che progettano o utilizzano soluzioni basate su intelligenza artificiale: l’Autorità di controllo monitora con attenzione le soluzioni disponibili sul mercato ed è pronta a intervenire in maniera chirurgica e tempestiva, se necessario anche con provvedimenti d’urgenza. 

Liceità, correttezza e trasparenza, adesione ai principi di privacy by design e by default e sicurezza e robustezza delle misure tecniche costituiscono prerequisiti normativi. Saper integrare idonei presidi a tutela di questi principi nell’ambito di una robusta strategia di compliance multidimensionale non significa solo evitare sanzioni: significa costruire prodotti affidabili, pronti per il mercato europeo. Questo, oggi, è già un vantaggio competitivo​.​​​​​

dalla newsletter

Legal Newsletter​​​​​​​

autore

Contact Person Picture

Nicola Sandon

Avvocato

Senior Associate

+39 049 8046 911

Invia richiesta

Profilo

Skip Ribbon Commands
Skip to main content
Deutschland Weltweit Search Menu