Argomenti

Deepfake e privacy: l’avvertimento del Garante sui rischi per i dati personali

Pubblicato il

Con il provvedimento n. 789 del 18 dicembre 2025, il Garante per la protezione dei dati personali è intervenuto sul fenomeno dei servizi di generazione di contenuti basati sull’intelligenza artificiale che utilizzano voci e immagini reali di terze persone, richiamando l’attenzione sui rilevanti rischi per i diritti e le libertà fondamentali degli interessati.

L’atto è stato successivamente illustrato con un comunicato stampa dell’8 gennaio 2026, volto a sensibilizzare utilizzatori e fornitori di tali strumenti.

Il provvedimento assume particolare rilievo nel contesto della crescente diffusione dei deepfake, ossia contenuti multimediali artificiali idonei a manipolare la realtà, con potenziali impatti giuridici, reputazionali ed economici.

Deepfake e intelligenza artificiale: l’avvertimento del Garante

Ambito di applicazione e contesto dell’intervento  

L’istruttoria, avviata d’ufficio dal Garante, ha evidenziato la presenza sul mercato di numerosi servizi online che consentono agli utenti di generare e condividere contenuti audio, fotografici o audiovisivi utilizzando la voce o l’immagine di persone reali, anche estranee all’utilizzatore del servizio.

Secondo l’Autorità, tali strumenti rendono in molti casi estremamente agevole l’uso illecito di dati personali di soggetti terzi, spesso inconsapevoli del trattamento in corso. La condivisione dei contenuti attraverso piattaforme social o servizi di messaggistica amplifica ulteriormente i rischi, estendendo la potenziale lesione dei diritti degli interessati.

Voce e immagine come dati personali (e biometrici)  

Il Garante, in particolare, ribadisce che voce e immagine rientrano nella definizione di dato personale di cui all’articolo 4, punto 1), del Regolamento (UE) 2016/679 (GDPR), in quanto informazioni riferibili a una persona fisica identificata o identificabile.

In presenza di specifici presupposti tecnici e finalità di identificazione univoca, tali dati possono inoltre qualificarsi come dati biometrici, con conseguente applicazione dell’articolo 9 del GDPR. In tali ipotesi, il trattamento richiede non solo una base giuridica ai sensi dell’articolo 6, ma anche una delle condizioni di liceità rafforzata previste per le categorie particolari di dati.

Rischi per i diritti e le libertà fondamentali  

Il provvedimento pone l’accento sui rischi elevati derivanti dall’uso dei deepfake, richiamando in particolare:

  • la compromissione dell’autodeterminazione informativa dell’interessato;
  • il rischio di usurpazione d’identità e sostituzione di persona;
  • i danni reputazionali e le possibili perdite economiche;
  • l’utilizzo dei contenuti artefatti per fini fraudolenti o diffamatori.

Tali rischi risultano aggravati dal fatto che i soggetti cui appartengono voci e immagini possono vedersi attribuire idee, comportamenti o dichiarazioni mai espresse, senza alcuna possibilità di controllo preventivo.

Avvertimento agli utilizzatori e responsabilità privacy  

Alla luce di tali criticità, il Garante ha adottato un provvedimento di avvertimento ai sensi dell’articolo 58, paragrafo 2, lettera a), del GDPR, rivolto a persone fisiche e giuridiche che utilizzano servizi di intelligenza artificiale basati su voci o immagini reali di terzi.

NOTA BENE: L’Autorità chiarisce che il trattamento effettuato in assenza di un’idonea base giuridica e senza un’adeguata informativa agli interessati può configurare violazioni degli articoli 5, 6 e 9 del GDPR, con tutte le conseguenze, anche di natura sanzionatoria, previste dalla normativa europea.

Richiamo ai fornitori e protezione dei dati by design  

Il provvedimento richiama inoltre i fornitori dei servizi alla necessità di progettare e sviluppare applicazioni conformi ai principi di protezione dei dati fin dalla progettazione e per impostazione predefinita (articolo 25 del GDPR).

Secondo il Garante, lo stato dell’arte tecnologico impone che le piattaforme siano strutturate in modo da consentire agli utenti un utilizzo conforme alla disciplina privacy, riducendo il rischio di trattamenti illeciti di dati personali di terzi.

Pubblicazione e sviluppi futuri  

Per rafforzare la funzione di prevenzione e sensibilizzazione, l’Autorità ha deliberato la pubblicazione del provvedimento nella Gazzetta Ufficiale della Repubblica italiana, pubblicazione avvenuta nella edizione n. 5 dell'8 gennaio 2026.

Nel comunicato stampa, il Garante segnala inoltre la collaborazione in corso con l’Autorità irlandese competente per alcuni servizi transfrontalieri e si riserva l’adozione di ulteriori iniziative.

L’intervento si inserisce in un quadro di crescente attenzione istituzionale verso l’impatto dell’intelligenza artificiale sulla tutela dei dati personali e sulla salvaguardia dei diritti fondamentali delle persone coinvolte.

Allegati

Ricevi GRATIS la nostra newsletter

Ogni giorno sarai aggiornato con le notizie più importanti, documenti originali, anteprime e anticipazioni, informazioni sui contratti e scadenze.

Richiedila subito