Una sentenza destinata a fare giurisprudenza, anche se per ora resta avvolta da un’alea di mistero. Il Tribunale di Roma ha annullato la sanzione da 15 milioni di euro inflitta nel 2024 dal Garante Privacy a OpenAI, chiudendo uno dei contenziosi più osservati in Europa sul rapporto tra intelligenza artificiale e protezione dei dati personali. Il dettaglio più interessante, almeno per chi ama i colpi di scena, è che le motivazioni non sono ancora state rese pubbliche. Una decisione forte, dunque, ma senza spiegazione ufficiale.
Il caso: AI, dati e GDPR sotto la lente
La vicenda nasce nel 2024, quando il Garante per la protezione dei dati personali conclude un’istruttoria complessa nei confronti di OpenAI.
Le contestazioni riguardavano presunte violazioni del Regolamento Generale sulla Protezione dei Dati. In particolare, al centro della disputa, una questione tanto tecnica quanto cruciale: quale base giuridica legittima l’uso massivo di dati raccolti dal web per addestrare modelli di intelligenza artificiale?
Secondo il Garante, quella base non era stata individuata in modo adeguato. A questa prima osservazione si aggiungevano poi dubbi sulla trasparenza verso gli utenti, sulla gestione dei dati dei minori e sulla mancata comunicazione tempestiva di un incidente di sicurezza avvenuto nel 2023.
Un impianto accusatorio articolato, che aveva portato alla sanzione da 15 milioni di euro e che aveva trasformato l’Italia nel primo Paese occidentale a intervenire in modo così diretto sull’AI generativa.
Dal ricorso alla vittoria: un anno di sospensione
Va detto che OpenAI non ha mai accettato l’impostazione del Garante, definendo la multa sproporzionata e difendendo la compatibilità dei propri sistemi con il quadro normativo europeo. Il ricorso al Tribunale di Roma ha prodotto un primo risultato già nel marzo 2025, quando i giudici avevano disposto la sospensione cautelare della sanzione. Un segnale che, letto con il senno di poi, anticipava l’esito finale.
Oggi quella sospensione si è trasformata in annullamento definitivo. La multa non esiste più. Il contenzioso si chiude, almeno formalmente, con una vittoria per la società americana.
L’attesa delle motivazioni e il rumore delle implicazioni
L’attesa della pubblicazione delle motivazioni ufficiali apre nel frattempo uno spazio interpretativo che giuristi e osservatori stanno già riempiendo con ipotesi più o meno plausibili. La decisione potrebbe riflettere una lettura meno rigida del GDPR rispetto a quella adottata dal Garante, oppure una valutazione diversa sulla proporzionalità della sanzione.
In ogni caso, il segnale è chiaro. Il rapporto tra diritto e intelligenza artificiale è ancora in fase di definizione e i tribunali stanno iniziando a giocare un ruolo sempre più centrale accanto alle autorità indipendenti.
OpenAI ha accolto con favore il verdetto, ribadendo il proprio impegno sulla privacy e sottolineando l’interesse a sviluppare ulteriormente l’ecosistema italiano dell’AI. Dal canto suo, il Garante non ha ancora commentato. Una pausa che, nel linguaggio istituzionale, vale spesso più di molte dichiarazioni.
Italia laboratorio normativo dell’AI
Il caso italiano è stato osservato con attenzione in tutta Europa. Non solo per la rilevanza della sanzione, ma per il tempismo: l’Italia è stata tra i primi Paesi a confrontarsi direttamente dal punto di vista del rispetto della normativa con l’impatto dell’AI generativa.
Questa sentenza potrebbe ridisegnare gli equilibri tra innovazione e regolazione. Da un lato, rafforza la posizione delle aziende tecnologiche nel difendere modelli di business basati su grandi volumi di dati. Dall’altro, impone alle autorità un livello di precisione giuridica ancora più elevato.
Da questo punto di vista, il rischio, neanche troppo nascosto, è quello di creare un effetto deterrente al contrario. Non più per le aziende, ma per i regolatori.
AI, privacy e futuro: una partita ancora aperta
Chi si aspettava una parola definitiva sul tema resterà probabilmente deluso. Questa decisione non chiude il dibattito, anzi lo rilancia. Il nodo centrale resta irrisolto: come conciliare lo sviluppo di modelli di intelligenza artificiale sempre più potenti con la tutela effettiva dei dati personali? La risposta, almeno per ora, sembra essere una negoziazione continua tra tecnologia, diritto e politica, tra AI Act, GDPR e giurisprudenza nazionale.