Midjourney e GDPR: immagini AI e dati personali
Midjourney produce alcune delle immagini generate da AI di qualità più alta disponibili oggi. Ma dal punto di vista della conformità GDPR è il caso più problematico tra i tool analizzati su questo sito. Al marzo 2026, nelle fonti pubbliche ufficiali esaminate non risultano un DPA standard dedicato ai clienti enterprise, un’opzione di data residency UE o una documentazione security/compliance comparabile a quella dei principali tool business. Questo non significa che non si possa usare — significa che va usato sapendo cosa si sta facendo.
✓ Aggiornata a marzo 2026 · ✓ Fonti ufficiali Midjourney e GDPR · ✓ Non è consulenza legale
⚠️ Verdetto nel nostro comparatore: aziendale con cautela — Midjourney è adatto per uso creativo e brainstorming visivo. Non è adatto per elaborare dati personali di clienti, dipendenti o candidati. Verifica sempre cosa inserisci nei prompt.
Il profilo GDPR di Midjourney: cosa manca
Midjourney è una società statunitense con sede a San Francisco. A differenza degli altri tool analizzati su questo sito, la documentazione GDPR disponibile pubblicamente è limitata e non include gli elementi che le PMI devono verificare prima di usare uno strumento su dati personali.
| Elemento | Situazione al marzo 2026 |
|---|---|
| DPA (art. 28 GDPR) | ⚠️ Nelle fonti pubbliche ufficiali esaminate non risulta un DPA standard dedicato ai clienti enterprise |
| Server in UE | ⚠️ Dati personali archiviati su server Midjourney negli Stati Uniti; nelle fonti pubbliche esaminate non risulta un’opzione UE |
| Training sui prompt | ⚠️ Le fonti ufficiali indicano raccolta di prompt e contenuti e uso dei dati per fornire, mantenere e migliorare il servizio; nelle fonti pubbliche esaminate non risulta una garanzia enterprise di no-training |
| Certificazioni sicurezza | ⚠️ Nelle principali fonti pubbliche ufficiali esaminate non risultano pubblicate certificazioni come SOC 2 o ISO 27001 |
| Privacy Policy GDPR | ⚠️ Presente ma limitata: riconosce diritti GDPR per utenti UE, non offre garanzie enterprise |
| Stealth mode | ⚠️ Solo nei piani Pro e Mega — riduce la visibilità pubblica delle creazioni sul sito, non sostituisce un DPA |
Dati basati sulla documentazione pubblica disponibile a marzo 2026. Verifica sempre la versione aggiornata su docs.midjourney.com.
La privacy policy di Midjourney riconosce i diritti GDPR degli utenti UE (accesso, rettifica, cancellazione) e dichiara di non vendere dati personali a terzi. Tuttavia non è strutturata come uno strumento di compliance enterprise: non prevede DPA, non offre garanzie sul ruolo di responsabile del trattamento, e non include documentazione sui trasferimenti internazionali.
→ Cos’è il DPA e perché è obbligatorio — Guida GDPR completa →
I prompt di Midjourney e i dati personali: il rischio concreto
Il GDPR si applica quando un prompt contiene dati personali — e succede più spesso di quanto si pensi. Non è necessario che il prompt citi esplicitamente un nome: è sufficiente includere caratteristiche riconoscibili di una persona reale, riferimenti a individui specifici, o usare fotografie come riferimento visivo.
⚠️ Prompt che possono contenere dati personali
• “Crea un ritratto nello stile della foto profilo LinkedIn di [nome dipendente]”
• Uso di --cref con la foto di un cliente o collaboratore
• Prompt che descrivono in modo riconoscibile una persona fisica specifica
✅ Cosa deve fare una PMI
• Non inserire mai nomi, descrizioni riconoscibili o foto di persone reali nei prompt
• Non usare --cref o --sref con immagini di clienti, dipendenti o candidati
• Trattare Midjourney come tool creativo generico, non per elaborazioni che coinvolgono persone identificabili
Cosa succede a quel prompt
Il prompt viene trasmesso ai sistemi Midjourney e trattato dal servizio secondo le condizioni d’uso vigenti. Le fonti ufficiali esaminate non documentano garanzie enterprise sul no-training, né un DPA art. 28 che regoli il ruolo di Midjourney come responsabile del trattamento. Se un prompt riguarda una persona identificabile, la sua elaborazione aumenta in modo rilevante il rischio privacy e richiede una verifica attenta della base giuridica, del trasferimento internazionale e dei diritti della persona coinvolta.
Le immagini generate sono pubbliche? Come funziona la Stealth mode
Per impostazione predefinita, le immagini generate sono visibili nella galleria pubblica di Midjourney. La Stealth mode riduce questa visibilità, ma va compresa correttamente nel suo perimetro.
| Piano | Stealth mode | Note |
|---|---|---|
| Basic — $10/mese | ❌ | Non disponibile — immagini visibili nella galleria pubblica |
| Standard — $30/mese | ❌ | Non disponibile — come Basic |
| Pro — $60/mese | ✅ | Disponibile — da attivare esplicitamente nelle impostazioni |
| Mega — $120/mese | ✅ | Disponibile — da attivare esplicitamente nelle impostazioni |
Cosa fa e cosa non fa la Stealth mode
✅ Cosa fa
Riduce la visibilità delle creazioni nella galleria pubblica del sito Midjourney. Per la massima riservatezza disponibile, Midjourney indica l’uso della Create page sul sito web o di un server Discord privato con Stealth mode attivo.
⚠️ Cosa non fa
Non sostituisce un DPA e non chiarisce da sola i ruoli privacy. Non elimina il tema dei trasferimenti internazionali. Se usi spazi Discord condivisi, gli altri utenti presenti nel server possono comunque vedere le generazioni anche con Stealth attivo.
→ Mappatura strumenti AI: come censire i tool usati in azienda →
Quando Midjourney è appropriato per una PMI
✅ Casi d’uso appropriati
• Generazione di immagini concettuali, atmosfere, mood board per campagne
• Creazione di illustrazioni, sfondi, texture per materiali di marketing
• Brainstorming visivo su prodotti, ambienti, stili grafici
• Prototipi visual per presentazioni interne senza persone reali identificabili
• Generazione di immagini di stock personalizzate per il proprio brand
⚠️ Casi d’uso da evitare
• Qualsiasi prompt con nome, descrizione riconoscibile o foto di persone reali
• Uso di --cref o --sref con immagini di clienti, dipendenti o fornitori
• Piani Basic e Standard per qualsiasi contenuto riservato
• Generazione di contenuti che rappresentino persone in contesti professionali identificabili
Alternative con profilo GDPR più solido per immagini AI
🏆 Adobe Firefly
DPA tramite Adobe, server in Europa, rischio copyright sensibilmente ridotto rispetto a soluzioni meno orientate al licensing. La scelta più solida per PMI.
🔵 DALL-E Enterprise
DPA disponibile, data residency EU per il piano Enterprise. Ottimo per chi è già nell’ecosistema OpenAI/ChatGPT Business.
⚙️ Stable Diffusion
Self-hosted: massimo controllo, nessun dato trasmesso a terzi se installato sulla tua infrastruttura. Richiede competenze IT interne.
Domande frequenti su Midjourney e GDPR
Sì, per contenuti creativi generici che non coinvolgono persone reali identificabili. Evita di inserire nei prompt nomi, descrizioni di individui specifici o fotografie di persone reali come riferimento. Per uso aziendale continuativo, valuta se Adobe Firefly è più adatto alle tue esigenze di compliance.
Midjourney riconosce alcuni diritti privacy degli utenti UE nella propria Privacy Policy, ma nelle fonti pubbliche ufficiali esaminate non emerge una documentazione enterprise comparabile a quella dei servizi business con DPA art. 28, ruoli privacy chiaramente contrattualizzati e controlli avanzati di data residency. Per usi creativi senza dati personali di terzi il rischio è più contenuto; per usi che coinvolgono persone reali la valutazione va fatta caso per caso.
La foto viene trasmessa ai sistemi Midjourney e trattata dal servizio secondo le condizioni d’uso vigenti. Se riguarda una persona identificabile, la PMI deve considerare il rischio privacy, il trasferimento internazionale verso gli USA e l’assenza, nelle fonti pubbliche esaminate, di un DPA standard enterprise che regoli questo trattamento. È una pratica da evitare.
Parzialmente e in modo limitato. La Stealth mode riduce la visibilità pubblica delle creazioni sul sito Midjourney, ma non sostituisce un DPA, non chiarisce da sola i ruoli privacy e non elimina il tema dei trasferimenti internazionali verso gli USA.
Adobe Firefly è la scelta più solida per PMI: DPA tramite Adobe, server in Europa, rischio copyright sensibilmente ridotto rispetto a soluzioni meno orientate al licensing. DALL-E via ChatGPT Business/Enterprise offre garanzie simili per chi è già nell’ecosistema OpenAI. Stable Diffusion self-hosted offre il massimo controllo tecnico se hai competenze IT interne. → Confronta tutti i tool AI per immagini
Leggi anche
Guida GDPR e AI
Obblighi del titolare, DPA, checklist operativa per PMI.
Leggi la guida →
Confronto 25+ Tool AI
DPA, training, server EU: tutti i tool a confronto per PMI.
Vedi il comparatore →
Claude e GDPR
DPA, training e trasferimenti extra-UE: guida compliance per PMI.
Leggi la guida →
Vuoi vedere le alternative GDPR-friendly a Midjourney?
Abbiamo analizzato 25+ tool AI per immagini, assistenti e produttività su DPA, training, server e conformità GDPR.
Le informazioni contenute in questa guida hanno finalità informative e non costituiscono consulenza legale. Per casi specifici è opportuno verificare con un professionista.
Fonti e riferimenti ufficiali
- Midjourney, Privacy Policy — docs.midjourney.com — Privacy-Policy
- Midjourney, Terms of Service — docs.midjourney.com — Terms-of-Service
- Midjourney, Data Deletion and Privacy FAQ — docs.midjourney.com — Data-Deletion-and-Privacy-FAQ
- Regolamento (UE) 2016/679 (GDPR), testo consolidato EUR-Lex — eur-lex.europa.eu — CELEX:32016R0679
- EDPB, Opinion 28/2024 on certain data protection aspects related to the processing of personal data in the context of AI models, 18 dicembre 2024 — edpb.europa.eu — Opinion 28/2024
- Garante Privacy, sezione Intelligenza Artificiale — garanteprivacy.it/temi/intelligenza-artificiale