Salta al contenuto
Sanzione altro Gravità: alta

Il Garante Privacy italiano ha multato la società statunitense Character.AI, che offre un servizio di intelligenza artificiale generativa, per 158.000 euro

Leggi il provvedimento integrale ↗

Il Garante Privacy italiano ha multato la società statunitense Character.AI, che offre un servizio di intelligenza artificiale generativa, per 158.000 euro

In sintesi

Il Garante Privacy italiano ha multato la società statunitense Character.AI, che offre un servizio di intelligenza artificiale generativa, per 158.000 euro. Le violazioni riguardano la mancanza di trasparenza nelle informative sulla privacy, l'insufficiente protezione dei dati dei minori e il ritardo nell'adozione di misure di sicurezza e nella nomina di un referente europeo. Questo caso evidenzia l'importanza per le aziende tech di essere conformi alle normative europee sulla privacy, soprattutto quando si rivolgono a utenti europei e a fasce vulnerabili come i bambini.

Cosa fare

  • Controllare sempre l'informativa privacy di qualsiasi servizio online, specialmente se è basato su AI
  • Fare attenzione se i servizi chiedono dati senza spiegare bene perché e come li useranno
  • Chiedere informazioni chiare su come i propri dati vengono protetti, soprattutto se si tratta di servizi usati dai propri figli
  • Verificare che i servizi online abbiano contatti facili e funzionanti per domande sulla privacy

Cosa evitare

  • Non leggere l'informativa privacy o accettare termini e condizioni senza comprenderli
  • Condividere dati personali con servizi che non sono trasparenti sul loro utilizzo
  • Lasciare che i minori usino servizi online senza adeguate protezioni o controlli sull'età
  • Ignorare le notifiche relative agli aggiornamenti delle informative privacy

Contesto

Il procedimento ha avuto origine da un'attività istruttoria avviata d'ufficio dal Garante Privacy nel novembre 2024, dopo aver accertato che il servizio di intelligenza artificiale generativa Character.AI, offerto dalla società statunitense Character Technologies, Inc., era disponibile in Italia tramite applicazione mobile e piattaforma web, anche in lingua italiana e con una privacy policy rivolta agli interessati dell'area SEE. Character.AI è un servizio di AI generativa che permette agli utenti di creare e interagire via chat con personaggi virtuali, basato su Large Language Models (LLM) proprietari. Nel novembre 2024 è stata lanciata una versione del Servizio riservata ai soggetti minorenni. L'istruttoria del Garante ha richiesto chiarimenti in merito all'esistenza di uno stabilimento o alla nomina di un rappresentante nell'UE, alle misure adottate per la verifica dell'età degli utenti e alle attività di trattamento svolte per l'addestramento dei modelli di intelligenza artificiale. Sono state condotte tre richieste di informazioni tra il novembre 2024 e il novembre 2025.

La decisione

Il Garante ha accertato l'illiceità della condotta di Character Technologies, Inc. per la violazione di numerosi articoli del Regolamento (UE) 2016/679. In particolare, ha rilevato l'omessa fornitura di informazioni chiare, intellegibili e complete nelle privacy policy; l'omessa adeguata informativa agli interessati italiani in merito al pre-addestramento degli LLM; l'omessa adozione di misure tecniche ed organizzative adeguate di verifica dell'età e protezione dei minori; l'adozione tardiva della valutazione d'impatto sulla protezione dei dati (DPIA); e la tardiva designazione del rappresentante nell'Unione europea. Ha ingiunto al Titolare di conformarsi al Regolamento entro 120 giorni mediante l'adozione di specifiche misure correttive relative alla privacy policy, alla conservazione dei dati del pre-addestramento e alle misure di verifica dell'età per i minori. Ha inoltre ordinato il pagamento di una sanzione amministrativa pecuniaria di 158.000,00 euro e la pubblicazione del provvedimento sul sito internet del Garante.

Ratio decidendi Il Garante ha affermato la propria giurisdizione e competenza sulla base dell'art. 3, par. 2, lett. a) del GDPR (criterio del targeting), escludendo l'applicazione del meccanismo one-stop-shop. Ha ritenuto violate le disposizioni sulla trasparenza (artt. 12, 13, 14 GDPR) per informative incomplete, non chiare e non sempre in lingua italiana, e per la carenza di indicazioni sul diritto di opposizione e sui trasferimenti extra-UE. Ha accertato la violazione degli artt. 24 e 25 GDPR (privacy by design e by default) per la mancata adozione di misure adeguate di verifica dell'età e protezione dei dati dei minorenni, considerati soggetti vulnerabili. Ha stabilito la tardività della DPIA (artt. 5, par. 2, e 35, par. 1 GDPR), in quanto il rischio elevato derivante dall'uso di AI generativa, dal trattamento su larga scala e dal coinvolgimento di minori, rendeva la DPIA obbligatoria sin dall'inizio del servizio e la non documentazione delle valutazioni interne non soddisfaceva il principio di accountability. Ha riscontrato la tardiva designazione del rappresentante nell'UE (art. 27, par. 1 GDPR), respingendo l'eccezione di trattamento occasionale. Le violazioni sono state considerate di natura colposa, data la non ignorabilità della normativa GDPR per il core business aziendale, ma la colpa non grave in virtù della collaborazione e degli sforzi di compliance della Società.

Articoli GDPR violati

ArticoloDescrizioneRilevanza
5 par.2
GDPR
Principio di responsabilizzazione (accountability) l'azienda ha adottato tardivamente la dpia e non ha dimostrato di aver condotto e documentato adeguatamente la valutazione dei rischi sin dall'inizio del trattamento.
12 par.1
GDPR
Trasparenza, modalità per l'esercizio dei diritti dell'interessato l'informativa privacy non era chiara, intellegibile e completa, disponibile solo in inglese per un periodo, con imprecise indicazioni su diritto di opposizione e trasferimenti extra-ue.
13 par.1
GDPR
Informazioni da fornire qualora i dati personali siano raccolti presso l'interessato carenze nell'informativa fornita direttamente agli utenti, relative a basi giuridiche, tempi di conservazione e trasferimenti extra-ue.
13 par.2
GDPR
Informazioni da fornire qualora i dati personali siano raccolti presso l'interessato carenze nell'informativa fornita direttamente agli utenti, relative a basi giuridiche, tempi di conservazione e trasferimenti extra-ue.
14 par.1
GDPR
Informazioni da fornire qualora i dati personali non siano stati ottenuti presso l'interessato omessa adeguata informativa agli interessati italiani sui dati usati per il pre-addestramento degli llm, raccolti da fonti pubbliche esterne.
14 par.2
GDPR
Informazioni da fornire qualora i dati personali non siano stati ottenuti presso l'interessato omessa adeguata informativa agli interessati italiani sui dati usati per il pre-addestramento degli llm, raccolti da fonti pubbliche esterne.
24 par.1
GDPR
Responsabilità del titolare del trattamento mancata adozione di misure tecniche ed organizzative adeguate per la verifica dell'età degli utenti, specialmente minorenni.
25 par.2
GDPR
Protezione dei dati per impostazione predefinita (privacy by default) mancata predisposizione, per impostazione predefinita, di misure adeguate per la protezione dei dati dei minori, in particolare per la verifica dell'età e la configurazione privata dei profili.
27 par.1
GDPR
Rappresentante di titolari o responsabili del trattamento non stabiliti nell'Unione tardiva designazione del rappresentante nell'unione europea, nonostante il servizio fosse offerto a interessati ue.
35 par.1
GDPR
Valutazione d'impatto sulla protezione dei dati (DPIA) tardiva adozione della dpia, obbligatoria data la natura del trattamento (ai generativa, larga scala, minori) e i rischi elevati.

Misure imposte

Conformare la propria privacy policy (versione dal 1° luglio 2026) agli artt. 12, par. 1, 13, parr. 1 e 2 e 14, parr. 1 e 2, del Regolamento, ponendo rimedio alle lacune indicate in motivazione; Conformare la conservazione dei dati personali riferiti ad interessati italiani raccolti per la finalità di pre-addestramento dei LLM proprietari, valutando l’eventuale sussistenza di una finalità diversa ma compatibile o, in assenza, disponendone l’integrale cancellazione; Conformare le misure tecniche ed organizzative di verifica dell’età, garantendo: i) il corretto funzionamento rispetto agli utenti italiani delle misure di sbarramento all’accesso al Servizio (age gate) all’età di sedici anni; ii) il corretto funzionamento del periodo di blocco per impedire ulteriori tentativi di registrazione da parte di utenti minorenni; iii) la predisposizione del profilo dei minorenni in modalità privata by default; Comunicare all'Autorità, nel termine di 120 giorni dalla notifica del provvedimento, le iniziative intraprese al fine di dare attuazione alle misure correttive.

Sanzione

Il Garante ha ordinato a Character Technologies, Inc. di pagare la somma di euro 158.000,00 a titolo di sanzione amministrativa pecuniaria per le violazioni degli artt. 5, par. 2; 12, par. 1; 13, parr. 1 e 2; 14, parr. 1 e 2; 24, par. 1; 25, par. 2; 27, par. 1 e 35, par. 1, del Regolamento. In caso di mancata definizione della controversia ai sensi dell'art. 166, co. 8, del Codice, è ingiunto il pagamento della stessa somma. È disposta la pubblicazione del capo del provvedimento contenente l’ordinanza-ingiunzione sul sito internet del Garante.

Termini: entro 30 giorni dalla notificazione del presente provvedimento

Implicazioni pratiche

Questo provvedimento sottolinea l'importanza cruciale della conformità al GDPR per le aziende che operano a livello globale, in particolare quelle che offrono servizi basati su tecnologie innovative come l'intelligenza artificiale generativa e che si rivolgono a un pubblico ampio, inclusi i minori. Le aziende devono assicurare una trasparenza completa e accessibile riguardo ai trattamenti di dati, sin dalle prime fasi di progettazione del servizio (privacy by design). La documentazione delle valutazioni d'impatto (DPIA) non è solo un adempimento formale, ma uno strumento essenziale per dimostrare l'accountability e la gestione dei rischi, soprattutto in contesti ad alto rischio come l'AI e i dati dei minori. È fondamentale nominare tempestivamente un rappresentante nell'UE se si opera nel mercato europeo e garantire che le informazioni di contatto siano funzionanti e chiare. Le misure di verifica dell'età e di protezione dei minori devono essere integrate by design e by default e costantemente aggiornate.

Domande di self-assessment

  • La nostra informativa privacy è chiara, completa e accessibile in tutte le lingue rilevanti per i nostri utenti?
  • Abbiamo una base giuridica valida e chiaramente indicata per ogni trattamento di dati personali?
  • Abbiamo condotto una DPIA per tutti i trattamenti ad alto rischio, in particolare per quelli che coinvolgono tecnologie innovative o minori?
  • Abbiamo nominato un rappresentante UE se non siamo stabiliti nell'Unione e i suoi contatti sono facilmente accessibili e funzionanti?
  • Come garantiamo la protezione dei dati dei minori nei nostri servizi, in particolare per la verifica dell'età e le impostazioni predefinite?
  • Abbiamo meccanismi efficaci per consentire agli interessati di esercitare i loro diritti, incluso quello di opposizione?
  • Come gestiamo i trasferimenti di dati extra-UE e quali garanzie abbiamo implementato?
  • Siamo in grado di dimostrare la nostra accountability rispetto al GDPR, con documentazione adeguata per ogni aspetto del trattamento?

Riferimenti

Linee guida EDPB: Linee guida EDPB n. 3/2018 sull’ambito di applicazione territoriale del Regolamento · Linee guida EDPB n. 8/2022 sull'individuazione dell'autorità di controllo capofila · Linee guida WP 260 sulla trasparenza (convalidate da EDPB) · Linee guida EDPB n. 2/2019 sul trattamento di dati personali ai sensi dell’art. 6, par. 1, lett. b), del Regolamento nel contesto della fornitura di servizi online · Parere EDPB n. 28/2024 · Linee guida EDPB n. 4/2022 sul calcolo delle sanzioni amministrative pecuniarie · Linee guida WP 253 riguardanti l’applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del regolamento (UE) n. 2016/679

Normativa nazionale: D.Lgs. 30 giugno 2003, n. 196 (Codice Privacy) · Art. 166 Codice Privacy · Art. 157 Codice Privacy · Art. 154-bis Codice Privacy · L. 24 novembre 1981, n. 689, art. 18 · D.Lgs. 1° settembre 2011, n. 150

Note

Il provvedimento evidenzia l'incertezza giuridica e la rapida evoluzione del contesto normativo e tecnico in materia di intelligenza artificiale generativa e age verification, pur ribadendo l'obbligo di diligenza del titolare. L'Autorità ha tenuto conto della qualificazione dell'azienda come 'start-up' e della sua collaborazione durante l'istruttoria come fattori attenuanti. La sanzione è stata determinata secondo il principio di unità dell'azione, con riferimento alla violazione più grave. Il testo omette alcuni dati sensibili con 'OMISSIS' relativi a dettagli specifici del training dei LLM, numero di dipendenti, fatturato e numero di utenti attivi.