OpenAI vs Garante: il Tribunale di Roma annulla la sanzione da 15 milioni. Cosa cambia davvero per le PMI italiane?
Aggiornamento editoriale – 21 marzo 2026
Il Tribunale di Roma ha annullato il provvedimento sanzionatorio del Garante nei confronti di OpenAI (sentenza n. 4153/2026, depositata il 18 marzo 2026). Il provvedimento è stato temporaneamente rimosso dal sito del Garante a seguito della sentenza. Le motivazioni non sono ancora pubbliche. Gli obblighi GDPR per le aziende che usano ChatGPT restano invariati.
La sanzione da 15 milioni di euro del Garante a OpenAI è stata annullata dal Tribunale di Roma. Con sentenza n. 4153/2026, depositata il 18 marzo 2026, il Tribunale ha accolto il ricorso di OpenAI avverso il provvedimento sanzionatorio del Garante Privacy italiano. Il provvedimento è stato temporaneamente rimosso dal sito del Garante a seguito della decisione. Le motivazioni della sentenza non sono ancora state rese pubbliche.
È una notizia giuridicamente rilevante, ma con impatto indiretto sulle aziende utenti. Prima di trarne conclusioni affrettate, vale la pena capire cosa è successo davvero, cosa rimane aperto, e soprattutto cosa cambia – o non cambia – per chi usa ChatGPT in azienda.
Il Garante blocca ChatGPT
L’Italia è il primo paese al mondo a sospendere temporaneamente il servizio. Avvio dell’istruttoria su OpenAI per violazioni GDPR.
Sanzione da 15 milioni di euro
Il Garante chiude l’istruttoria con multa a OpenAI e obbligo di campagna informativa nazionale di 6 mesi su radio, TV e internet.
Tribunale di Roma accoglie il ricorso
Sentenza n. 4153/2026 del 18 marzo 2026. Il provvedimento è stato temporaneamente rimosso dal sito del Garante. L’istruttoria prosegue in Irlanda presso il DPC.
Nota: la sentenza riguarda esclusivamente il provvedimento sanzionatorio del Garante italiano. Non modifica il GDPR né gli obblighi delle aziende che usano tool AI.
Cosa ha contestato il Garante a OpenAI
L’istruttoria del Garante, avviata nel marzo 2023 dopo il blocco temporaneo di ChatGPT in Italia, si era conclusa nel dicembre 2024 con un provvedimento che contestava a OpenAI principalmente tre violazioni.
La prima riguardava l’assenza di una base giuridica adeguata per il trattamento dei dati personali usati per addestrare il modello. La seconda era la mancanza di trasparenza verso utenti e non-utenti i cui dati erano stati raccolti. La terza l’assenza di sistemi di verifica dell’età, con il rischio concreto di esporre minori sotto i 13 anni a contenuti non appropriati. Al quadro si aggiungevano profili relativi a un data breach del marzo 2023 e alla mancata notifica tempestiva all’Autorità.
Il Garante aveva applicato per la prima volta i poteri previsti dall’art. 166, comma 7 del Codice Privacy, ordinando oltre alla multa una campagna informativa nazionale di sei mesi su radio, televisione e internet.
Cosa significa “sanzione annullata” in termini pratici
È importante non sopravvalutare questa sentenza. Il Tribunale si è pronunciato sulla legittimità del provvedimento del Garante italiano, non sulla liceità generale del trattamento dei dati da parte di OpenAI. Finché le motivazioni non saranno pubbliche, non è possibile stabilire con certezza se l’annullamento dipenda da ragioni di merito, proporzionalità o profili procedurali. La sentenza non costituisce in ogni caso un via libera all’uso dei dati per addestrare modelli AI.
Un elemento rilevante da seguire: durante l’evoluzione del caso, la dimensione europea del gruppo OpenAI e il possibile rilievo dell’autorità irlandese (DPC) nel quadro del meccanismo one stop shop del GDPR hanno assunto importanza. Questo non elimina però gli obblighi GDPR delle aziende utenti, né chiude la partita a livello europeo.
Cosa non cambia per le PMI e i freelance italiani
Questo è il punto più importante per chi usa ChatGPT in azienda.
Gli obblighi GDPR restano invariati. La sentenza riguarda il rapporto tra il Garante e OpenAI – non il rapporto tra le aziende italiane e il GDPR.
Ruolo del provider e DPA
Verifica se il provider agisce come responsabile del trattamento. In quel caso, serve un accordo conforme all’art. 28 GDPR
Registro dei trattamenti
Nella maggior parte dei casi è opportuno aggiornare il registro, soprattutto se l’uso è stabile e coinvolge dati personali o trasferimenti verso fornitori esterni
Trasferimenti extra-UE
Verifica base di trasferimento, clausole contrattuali (es. SCC) e misure supplementari quando il provider opera su server non europei
Policy interna
I collaboratori devono sapere cosa possono e non possono inserire nei prompt dei tool AI
L’esatto insieme di obblighi dipende sempre dal ruolo ricoperto (titolare o responsabile del trattamento), dal tipo di dati trattati e dalle finalità specifiche. Nessuno di questi elementi è cambiato con la sentenza.
Cosa osservare nei prossimi mesi
Le motivazioni della sentenza
La prima cosa da aspettare è la pubblicazione delle motivazioni ufficiali. Su quali basi il Tribunale ha annullato il provvedimento? Se l’annullamento riguarda la proporzionalità della sanzione o vizi procedurali, le implicazioni sono diverse rispetto a una dichiarazione di infondatezza delle violazioni nel merito. Le motivazioni orienteranno le future istruttorie su altri provider AI in tutta Europa.
Il quadro europeo e il DPC irlandese
La dimensione europea del caso resta aperta. Il meccanismo one stop shop del GDPR attribuisce all’autorità del paese in cui il provider ha la sede principale europea un ruolo di coordinamento nelle istruttorie transfrontaliere. Questo non elimina gli obblighi GDPR delle aziende utenti, né chiude automaticamente la valutazione sulle pratiche di OpenAI a livello UE.
L’AI Act dal 2026
Dal 2 agosto 2026 diventeranno applicabili molte disposizioni centrali dell’AI Act, in particolare per diversi sistemi ad alto rischio. Il Parlamento UE ha nel frattempo approvato il rinvio delle scadenze per l’alto rischio al 2027-2028. È però importante ricordare che alcune regole sono già entrate in vigore in date precedenti: i divieti per pratiche AI inaccettabili e gli obblighi di AI literacy sono applicabili dal 2 febbraio 2025, mentre parte del regime per i modelli di uso generale (GPAI) è entrato in vigore dal 2 agosto 2025. Per molti sistemi ad alto rischio, gli obblighi completi decorrono dal 2026 o, in alcuni casi, dal 2027.
La lettura corretta per chi gestisce una PMI
È: “I miei processi interni sono in ordine?”
La sentenza del Tribunale di Roma non è una vittoria per chi usa ChatGPT senza precauzioni. È un episodio in un procedimento lungo e complesso che coinvolge uno dei più grandi provider AI del mondo e le autorità di controllo europee.
L’attenzione delle autorità europee sull’uso dell’AI con dati personali non è diminuita. Un’ispezione del Garante su una PMI italiana si concentrerebbe su DPA, registro dei trattamenti, policy interne e documentazione dei trasferimenti – non sull’esito di un contenzioso tra il Garante e OpenAI.
Alla data del 21 marzo 2026, l’annullamento della sanzione risulta confermato dalla nota pubblicata sul sito del Garante. Le motivazioni integrali della sentenza n. 4153/2026 non risultano ancora pubblicate tra le fonti ufficiali consultate. Questo articolo sarà aggiornato non appena le motivazioni saranno disponibili.
FAQ
Approfondisci
La sentenza non cambia i tuoi obblighi. Se usi ChatGPT o altri tool AI in azienda, il GDPR si applica comunque.
Fonti e riferimenti ufficiali
- Garante per la protezione dei dati personali – Comunicato stampa dicembre 2024 con nota aggiornamento marzo 2026: garanteprivacy.it
- EDPB – Opinion 28/2024 sui modelli AI: edpb.europa.eu
- Regolamento (UE) 2016/679 (GDPR) – art. 28 (DPA), art. 30 (registro), art. 46 (trasferimenti): eur-lex.europa.eu
- Regolamento (UE) 2024/1689 (AI Act): eur-lex.europa.eu
Questo articolo non costituisce consulenza legale.
