L’iniziativa del Garante in ambito deepfake prende le mosse da un’attività istruttoria interna che ha portato alla luce la presenza sul mercato di numerosi servizi di generazione di contenuti artificiali in grado di replicare esattamente la voce e/o le immagini di terze persone – successivamente divulgate soprattutto attraverso le principali piattaforme social – che potrebbero non essere a conoscenza del trattamento dei loro dati personali.
Il Garante ricorda che, come riportato all’art. 4.1 del GDPR, si definisce “dato personale” qualunque
“informazione riguardante una persona fisica identificata o identificabile” e che “si considera identificabile la persona che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.
Ai sensi di quanto sopra, la voce e l’immagine sono certamente tra gli identificatori diretti di una persona e possono essere utilizzati solo avendo cura della liceità del trattamento, ossia sussistendo almeno una delle condizioni di cui all’art. 6 del GDPR.
Il trattamento di dati personali relativi a terzi può pertanto far incorrere i fruitori in svariati rischi quali gravi violazioni dei diritti e delle liberà fondamentali delle persone, oltre che in talune fattispecie di reato quando l’uso ingannevole è finalizzato alla sostituzione di persona ossia finalizzato alla frode.
Sulla scorta di tali presupposi, il Garante della Privacy ha ritenuto opportuno invitare i fornitori dei servizi in grado di generare contenuti artificiali replicando immagini e/o voce di terzi sollecitandoli a tenere conto del diritto alla protezione dei dati già nel momento in cui progettano e sviluppano tali prodotti, cercando di fare in modo che i titolari e i responsabili del trattamento possano adempiere all’obbligo di protezione dei dati, come previsto dall’art. 25 del GDPR.
Esplicitate tutte le precedenti ragioni, il Garante ha quindi espressamente avvertito
“tutte le persone fisiche o giuridiche che utilizzano, in qualità di titolari o di responsabili del trattamento, servizi di generazione di contenuti basati sull’intelligenza artificiale partendo da voci o immagini reali di terze persone che tale trattamento dei dati personali, qualora sia effettuato in assenza di una idonea condizione di liceità e senza che siano preliminarmente fornite agli interessati informazioni corrette e trasparenti, può, verosimilmente, violare le disposizioni del Regolamento, in particolare gli articoli 5, par. 1, lettera a), 6 e 9 del Regolamento, con tutte le conseguenze, anche di carattere sanzionatorio, previste dalla disciplina in materia di protezione dei dati personali”.
L’utilizzo dell’intelligenza artificiale generativa ha sicuramente dei punti di forza e supportare in particolare alcuni settori ma, ad oggi, è assolutamente necessario delineare chiaramente le modalità e i limiti di utilizzo per evitare che i rischi risultino maggiori dei benefici.
Di Mariaserena Penta, Partner di La Scala Società tra Avvocati
