Provvedimento del 3 luglio 2026 [10269571]
Provvedimento del 3 luglio 2026 [10269571]
VEDI ANCHE Comunicato del 9 luglio 2026
[doc. web n. 10269571]
Provvedimento del 3 luglio 2026
Registro dei provvedimenti
n. 487 del 3 luglio 2026
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia, componente ed il dott. Luigi Montuori, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);
VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), (di seguito “Codice”);
VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “regolamento del Garante n. 1/2019”);
VISTA la documentazione in atti;
VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, adottato con deliberazione del 28 giugno 2000 (doc. web n. 1098801);
RELATORE il prof. Pasquale Stanzione;
1. FATTO E SVOLGIMENTO DELL’ISTRUTTORIA
1.1. Origine dell’istruttoria preliminare
Il procedimento ha avuto origine da una attività istruttoria avviata d’ufficio dall’Autorità nel novembre 2024, previo accertamento che il servizio di intelligenza artificiale generativa Character.AI (di seguito “Character.AI” o il “Servizio”), offerto dalla società statunitense Character Technologies, Inc. (di seguito, “Character”, il “Titolare” o la “Società”), con sede in Menlo Park, California, era disponibile in Italia tramite applicazione mobile e piattaforma web, che la privacy policy, all’epoca vigente, si rivolgeva ad interessati dell’area SEE e che il Servizio era offerto anche in lingua italiana.
Character.AI è un servizio di intelligenza artificiale generativa che permette agli utenti di creare ed interagire, via chat, con personaggi virtuali già esistenti o creati ad hoc (di seguito “Personaggi”), consentendo loro, attraverso l'intrattenimento interattivo e la tecnologia, di esprimersi, esplorare idee e dare sfogo ad immaginazione e creatività.
Character, società costituita in data 3 novembre 2021, ha lanciato la versione beta del Servizio in modalità web in data 16 settembre 2022 ed in modalità app in data 23 maggio 2023. In data 8 aprile 2024 la versione beta è stata sostituita dalla versione definitiva, reperibile al dominio di primo livello www.character.ai ed offerta anche in lingua italiana. Nel novembre 2024 è stata lanciata una versione ad hoc del Servizio riservata ai soggetti minorenni.
Character utilizza un sistema di intelligenza artificiale generativa basato su modelli linguistici di grandi dimensioni (Large Language Model, di seguito anche “LLM”) proprietari, perfezionati dall’interazione degli utenti con il Servizio (alla data del 30 aprile 2026 gli utenti dell’area SEE non sono compresi). Tali LLM non sono più stati pre-addestrati … OMISSIS.
Ai fini del presente provvedimento, per “intelligenza artificiale generativa” si intende il campo dell’intelligenza artificiale che si dedica alla creazione di contenuti nuovi e originali rispetto alle richieste (prompt) degli utenti, attraverso l’utilizzo di algoritmi prevalentemente di tipo neurale e che si basa tipicamente su modelli linguistici di grandi dimensioni. Ai fini del presente provvedimento, inoltre, per LLM si intende un modello probabilistico di un linguaggio naturale, come la lingua italiana, che si fonda sull’assunto per cui tutti i linguaggi naturali sono fortemente ridondanti e correlati; da ciò deriva la capacità del LLM di individuare la parola o il simbolo che, probabilisticamente, sono immediatamente successivi ad un determinato dato.
1.2. Attività svolta
1.2.1 La prima richiesta di informazioni
In data 7 novembre 2024 l’Ufficio notificava (prot. n. 131170/24) a Character una richiesta di informazioni, ai sensi dell’art. 57, par. 1, lett. a), del Regolamento con cui chiedeva alla Società chiarimenti in ordine all’esistenza di uno stabilimento o alla nomina, ai sensi e per gli effetti dell’art. 27 del Regolamento, di un rappresentante nell’Unione europea, alle misure adottate ai fini della verifica dell’età degli utenti del Servizio nonché alle attività di trattamento svolte, tra cui, in particolare, quelle finalizzate all’addestramento (di seguito anche “training”) dei modelli di intelligenza artificiale sottesi al Servizio.
In data 20 dicembre 2024 l’Ufficio accoglieva (prot. n. 150217/24) una richiesta di proroga del termine, per fornire riscontro, avanzata dalla Società in pari data (prot. n. 150737/24), in ragione dell’ampiezza della richiesta e della difficoltà a reperire le informazioni necessarie nel corso del periodo natalizio.
In data 21 gennaio 2025 la Società rispondeva alla richiesta di informazioni (prot. n. 6935/25), producendo copia della valutazione di impatto (in seguito anche “DPIA”) ai sensi dell’art. 35 del Regolamento e della valutazione del legittimo interesse (in seguito anche “LIA”) di cui all’art. 6, par. 1, lett. f) del Regolamento. Quanto al Servizio, il Titolare dichiarava:
• di aver sviluppato i suoi LLM proprietari addestrandoli principalmente con dati pubblicamente disponibili in Internet;
• di aver effettuato la fase di post-addestramento utilizzando …OMISSIS.
Quanto alla verifica dell’età, Character dichiarava di aver introdotto nell’autunno 2023 un sistema di sbarramento all’uso del Servizio basato su di un meccanismo neutro di cd. age gate operante attraverso la richiesta di inserimento della data di nascita e di aver chiesto, nel novembre 2024, agli utenti che si erano registrati in epoca anteriore all’introduzione di tale sistema, la verifica dell’età per poter continuare ad usufruire del Servizio. Riferiva altresì di aver implementato, sempre nel mese di novembre 2024, una versione separata del Servizio basato su di un LLM specificamente addestrato per gli utenti di età inferiore ai diciotto anni e di aver impedito agli stessi di accedere indiscriminatamente a tutti i Personaggi e di rendere pubblici i propri Personaggi.
Con una nota di aggiornamento, spontaneamente trasmessa in data 29 luglio 2025 (prot. n. 106560/25), la Società riferiva di aver designato, quale rappresentante nell’Unione europea la società VeraSafe Ireland Ltd. (di seguito anche “VeraSafe”) con sede a Cork, in Irlanda e di aver aggiornato la privacy policy del Servizio con effetto dal 27 agosto 2025.
1.2.2 La seconda richiesta di informazioni
In data 6 agosto 2025 l’Ufficio indirizzava a Character una richiesta di informazioni integrativa (prot. n. 109878/25) con cui chiedeva precisazioni in relazione ai trattamenti di dati personali connessi: i) al funzionamento dei modelli di intelligenza artificiale generativa sottesi al Servizio; ii) all’offerta del Servizio; iii) al trasferimento di dati personali al di fuori dell’Unione europea. L’Ufficio chiedeva, inoltre, chiarimenti in merito ad alcune delle misure di sicurezza indicate nella DPIA, nonché la trasmissione di copia dell’atto con cui era stato designato il rappresentante ex art. 27 del Regolamento.
In data 30 settembre 2025 la Società forniva riscontro alla seconda richiesta di informazioni (prot. n. 129329/25), nel rispetto dei termini concessi, producendo copia della privacy policy aggiornata al 27 agosto 2025, copia della DPIA aggiornata al 30 settembre 2025, copia della LIA aggiornata al 29 settembre 2025 e copia dell’atto di designazione del rappresentante ex art. 27 del Regolamento. In tale riscontro la Società confermava che il Servizio si basava su modelli di grandi dimensioni proprietari, ma che tali modelli nell’anno precedente al riscontro non erano più stati oggetto di pre-addestramento.
1.2.3 La terza richiesta di informazioni
In data 4 novembre 2025, a seguito della pubblicazione di alcune notizie di stampa secondo cui la Società stava programmando di impedire l’accesso degli utenti minorenni alle chat aperte del Servizio a far data dal 25 novembre 2025, l’Ufficio inviava una terza richiesta di informazioni (prot. n. 146211/25) chiedendo chiarimenti sul predetto tema nonché in merito al progetto, annunciato dalla Società stessa nella nota di riscontro del 30 settembre 2025, di iniziare a trattare i dati personali degli utenti dell’area SEE per finalità di post-addestramento dei suoi sistemi di intelligenza artificiale generativa.
La Società rispondeva con nota del 9 dicembre 2025 (prot. n. 171362/25) con cui, quanto al profilo relativo agli utenti minorenni, confermava la veridicità della notizia relativa al progetto di eliminare la possibilità per i minori di 18 anni di partecipare a conversazioni aperte con i Personaggi del Servizio a partire dal 24 novembre 2025 negli Stati Uniti ed entro la fine di febbraio 2026 in Italia. Inoltre, la Società informava l’Ufficio di aver introdotto un sistema di verifica dell’età operante nella fase di utilizzo del Servizio al fine di offrire agli utenti minorenni un’esperienza adeguata alla loro età. Il meccanismo di cd. age assurance si affianca alle misure tecniche di age verification già adottate per impedire l’accesso ai soggetti di età inferiore ai 13 anni, attraverso un modello proprietario di verifica dell’età unitamente all’intervento di un soggetto terzo, la società Persona Identities, Inc. (di seguito “Persona”).
… OMISSIS.
2. AVVIO DEL PROCEDIMENTO PER L’ADOZIONE DEI PROVVEDIMENTI CORRETTIVI E SANZIONATORI E DIFESE DELLA PARTE
2.1. Avvio del procedimento (art. 166, co. 5, del Codice)
In base agli elementi acquisiti nel corso dell’attività istruttoria sopra descritta, con nota del 26 gennaio 2026 (prot. n. 10830/26), notificata ai sensi dell’art. 166, co. 5, del Codice, l’Ufficio avviava il procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento nei confronti del Titolare, invitando lo stesso a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, co. 6 e 7, del Codice, nonché art. 18, co. 1, della l. 24 novembre 1981, n. 689).
Le presunte violazioni contestate sono:
1) artt. 12, par. 1, 13, parr.1 e 2 e 14, parr.1 e 2 del Regolamento per avere Character omesso di fornire, sia nell’ambito della privacy policy del 23 ottobre 2023 che in quella aggiornata del 27 agosto 2025, informazioni chiare, intellegibili e complete in merito alle varie operazioni di trattamento effettuate attraverso il Servizio;
2) artt. 14, parr. 1 e 2 e 21, parr. 1 e 4, del Regolamento per avere Character omesso di fornire un’adeguata informativa agli interessati italiani in merito alle attività di pre-addestramento degli LLM proprietari sottesi al Servizio nonché di predisporre idonei meccanismi per consentire agli stessi di esercitare il diritto di opposizione;
3) artt. 24, par. 1 e 25, par. 2, del Regolamento per avere Character omesso di adottare misure tecniche ed organizzative adeguate, per impostazione predefinita, in relazione al trattamento dei dati degli utenti minorenni relativamente al periodo precedente alla implementazione di un meccanismo di age gate (novembre 2024) e degli utenti minorenni infra-sedicenni relativamente al periodo successivo a tale implementazione, quanto meno sino all’8 aprile 2025;
4) artt. 5, par. 2 e 35, par. 1, del Regolamento per avere Character adottato tardivamente, essendone tenuta, la valutazione d’impatto sulla protezione dei dati personali (prima versione in data 14 novembre 2024, aggiornata il 30 settembre 2025);
5) art. 27, parr. 1 e 4, del Regolamento per avere Character designato tardivamente, essendone tenuta, la società VeraSafe Ireland Ltd. quale proprio rappresentante nell’Unione europea ai sensi e per gli effetti di cui all’art. 27 del Regolamento e per aver indicato nella privacy policy del 27 agosto 2025 un link di contatto che rimanda ad una pagina web irraggiungibile in tal modo rendendo, di fatto, impossibile ogni interlocuzione online con il rappresentante designato.
2.2. Difese della Parte (art. 166, co. 6, del Codice)
In data 31 marzo 2026 (prot. n. 49636/26), la Società Character ha prodotto una memoria difensiva con richiesta di essere sentita, ai sensi dell’art. 166, co. 6 del Codice.
In tale memoria la Società ha respinto tutte le contestazioni e, ritenendo di aver adempiuto a tutti gli obblighi gravanti ai sensi del Regolamento, ha chiesto l’archiviazione del procedimento.
Sotto il profilo oggettivo, il Titolare ha rigettato ogni contestazione nei termini che seguono.
Quanto ai profili relativi alla contestata mancata osservanza degli obblighi di trasparenza nei confronti degli utenti, la Società ha giudicato infondate le contestazioni sollevate dall’Ufficio con riferimento ad entrambe le versioni della privacy policy. In particolare, in merito alle contestazioni relative alla privacy policy del 25 ottobre 2023, il Titolare ha ritenuto irrilevante la disponibilità della stessa solamente in lingua in inglese e rigettato le accuse di incompletezza, scarsa intelligibilità e scarsa chiarezza sollevate dall’Ufficio; parimenti, in merito alla privacy policy del 27 agosto 2025, la Società ha rigettato la contestazione relativa alle carenze sintattiche e terminologiche della versione italiana, alle modalità di indicazione dei periodi di conservazione dei dati, delle basi giuridiche, dei trasferimenti extra UE e del processo di de-identificazione dei dati personali. La Società ha altresì annunciato, per spirito di cooperazione con l’Autorità e in virtù del principio di accountability, un imminente ulteriore aggiornamento della privacy policy.
Quanto ai profili relativi alla contestata mancata osservanza degli obblighi di trasparenza e mancato rispetto del diritto di opposizione nei confronti degli interessati europei, segnatamente italiani, relativamente ai dati personali utilizzati nelle attività di pre-addestramento degli LLM proprietari sottesi a Chararacte.AI, il Titolare ha rimarcato il quadro di incertezza giuridica nell’applicazione della normativa a tutela dei dati personali nel contesto dei servizi di intelligenza artificiale all’epoca della costituzione della società (novembre 2021) e dell’inizio della sua attività (settembre 2022) ed ha dichiarato di aver cessato ogni operazione di pre-addestramento dei suoi LLM … OMISSIS. Nel merito, il Titolare ha dichiarato che la presenza di dati personali all’interno dei data set di addestramento, “generalmente costituiti da raccolte di dati di terze parti, su larga scala e open source”, dataset pubblicamente disponibili e comunemente impiegati nel settore, deve ritenersi incidentale ed il relativo trattamento non intenzionale. Ha, inoltre, riferito che nel caso di specie sarebbe applicabile l’eccezione di cui all’art. 14, par. 5, del Regolamento (impossibilità o sforzo sproporzionato nella comunicazione delle informazioni) e, in ogni caso, di aver rispettato gli obblighi di cui all’art. 14 del Regolamento mediante la pubblicazione di aggiornamenti sul proprio blog, nell’Help Center e su forum ospitati da siti web di terze parti (ad es. Reddit e Discord). In relazione al diritto di opposizione la Società ha ribadito i) che anche i non utenti hanno avuto, a partire dalla versione ufficiale del Servizio lanciata nel 2023, la possibilità di opporsi al trattamento dei loro dati personali inviando una richiesta (ticket) tramite l’Help Center oppure una email all’indirizzo indicato nella privacy policy (del 23 ottobre 2023) e ii) che le ulteriori argomentazioni dell’Ufficio sul punto non possono trovare accoglimento in quanto riferite al parere del Comitato europeo per la protezione dei dati personali (di seguito “EDPB”) n. 28/2024, adottato successivamente alle operazioni di pre-addestramento e dunque non applicabile retroattivamente.
Quanto alla contestata mancata adozione di un idoneo sistema di verifica dell’età, dopo aver sostenuto che il Regolamento non impone un obbligo giuridico specifico di verifica dell’età degli utenti e che tale verifica deve essere implementata sulla base di una valutazione basata sul rischio, la Società ha affermato che l’adozione iniziale di un age gate neutro era conforme allo stato dell’arte dell’epoca (ottobre 2023) nel contesto tecnico e normativo dell’intelligenza artificiale generativa e la successiva introduzione (novembre 2025) di un sistema di age assurance a più livelli è da considerarsi in linea con le successive prassi di settore, settore peraltro ancora in via di sviluppo atteso che, tutt’oggi, non esiste uno standard tecnico unico e vincolante. Il Titolare ha sottolineato, inoltre, la circostanza di aver implementato nel novembre 2024, una versione ad hoc del Servizio dedicata ai minorenni “progettata per ridurre la probabilità che i minori incontrino o generino contenuti sensibili o suggestivi”, basata su di LLM dedicato e caratterizzata da misure di sicurezza rafforzate quali la limitazione dei Personaggi disponibili, la limitazione del tempo di interazione, la presenza di classificatori di contenuti più conservativi e l’introduzione di uno strumento denominato “Parental Insight” che fornisce a chi esercita la responsabilità genitoriale informazioni sull’attività dei minori su Character.AI. La Società ha, infine, ricordato di aver escluso, nel novembre 2025, la facoltà per i minorenni di partecipare a conversazioni aperte con i Personaggi e di aver implementato un sistema di age assurance che combina un modello proprietario di previsione dell’età sviluppato dalla stessa Character (che valuta una combinazione di segnali raccolti dalle interazioni dell’utente con il Servizio) con un processo di verifica dell’età del fornitore terzo. L’intervento del soggetto terzo viene attivato solo in caso di contestazione delle risultanze del sistema interno e si snoda in due fasi: invio di un selfie da parte dell’utente e, solo in caso l’età non possa ancora essere determinata con sufficiente attendibilità, invio di un documento di identità (entrambi i dati vengono conservati solo sette giorni).
Quanto alla contestata tardiva redazione della valutazione di impatto sulla protezione dei dati personali, dopo aver sostenuto che l’obbligo di redazione della DPIA presuppone una valutazione di sussistenza di un rischio elevato per i diritti e le libertà delle persone fisiche e che il principio di accountability non impone una responsabilità oggettiva, la Società ha affermato di aver condotto delle valutazioni interne sul rischio in maniera graduale e con un metodo multidisciplinare sin dal lancio del Servizio (settembre 2022) ma di aver formalizzato tali valutazioni in forma strutturata in una DPIA solo a seguito della prima richiesta di informazioni dell’Autorità (8 novembre 2024). Il documento è stato successivamente aggiornato nel febbraio 2025 e nel settembre 2025.
Quanto, infine, alla contestata tardiva designazione di un rappresentante nell’Unione europea, ai sensi dell’art. 27 del Regolamento e, successivamente alla sua designazione, alla carenza di valide indicazioni di contatto online, la Società ha sostenuto di non aver avuto alcun obbligo di designazione fino al 31 maggio 2025 (data di nomina di VeraSafe) in quanto nel periodo precedente le sue attività di trattamento rientravano nell’esenzione di cui all’art. 27, par. 2, del Regolamento in quanto si trattava di un trattamento occasionale e che non comportava un rischio probabile per i diritti e le libertà delle persone fisiche, considerato che il mercato dell’area SEE non era prioritario rispetto alle attività commerciali di Character. In merito al mancato funzionamento del link di contatto di VeraSafe, il Titolare ha sostenuto trattarsi di un “piccolo errore materiale nel collegamento ipertestuale”, come tale ininfluente sulla sostanza e sull’accessibilità delle informazioni, medio tempore corretto, anche nell’indicazione riportata sulla privacy policy.
Sotto il profilo soggettivo, nella memoria difensiva, Character ha affermato che l’atto di avvio del procedimento non dimostra che le presunte violazioni siano state commesse con dolo o colpa, come richiesto dalla Corte di Giustizia UE nella sentenza del 5 dicembre 2023, causa C-807/21. Da parte sua il Titolare ha considerato inesistente ogni profilo di dolo o colpa in quanto, quando ha iniziato a offrire il proprio Servizio agli utenti dell’area SEE, “ha prontamente adottato misure per migliorare le proprie pratiche in materia di protezione dei dati”.
Da ultimo, nella memoria del 31 marzo 2026, Character ha indicato, argomentandoli, tutti fattori attenuanti, specifici per ogni singola contestazione (sovrapponibili alle attenuanti generali di seguito riportate, ad eccezione dell’adozione di misure atte a mitigare il danno subito dagli interessati - art. 83, par. 2, lett. c, del Regolamento - con riferimento alla seconda, terza e quinta contestazione e insussistenza di alcun danno concreto per gli interessati - art. 83, par. 2, lett. a - con riferimento alla prima e quarta contestazione) e generali che l’Autorità dovrebbe prendere in considerazione nella determinazione dell’importo della sanzione, nella denegata ipotesi di accertamento delle violazioni. In particolare, il Titolare ha sottolineato, ai sensi e per gli effetti di cui all’art. 83, par. 2, lett. f, del Regolamento, la sua costante e piena collaborazione con l’Autorità durante l’intera fase istruttoria, collaborazione che ha rappresentato un volano per il miglioramento ed il rafforzamento delle pratiche e delle misure a protezione dei dati personali, specie quelli dei minorenni; ai sensi e per gli effetti di cui all’art. 83, par. 2, lett. a, del Regolamento, la durata limitata delle violazioni; ai sensi e per gli effetti di cui all’art. 83, par. 2, lett. b, del Regolamento, l’assenza del carattere doloso delle violazioni; ai sensi e per gli effetti di cui all’art. 83, par. 2, lett. e, del Regolamento, l’assenza di precedenti violazioni; ai sensi e per gli effetti di cui all’art. 83, par. 2, lett. k, del Regolamento, l’assenza di vantaggi finanziari derivante dalle violazioni.
Character ha inoltre fornito gli elementi richiesti in ordine al fatturato mondiale annuo relativo all’anno 2025.
In occasione dell’audizione, richiesta ai sensi dell’art. 166, co. 6, del Codice e tenutasi in data 15 aprile 2026 (v. verbale prot. n. 60939/26), il General Counsel della Società ha illustrato le caratteristiche del Servizio ed ha precisato che Character deve ancora essere considerata una start-up in quanto impiega … OMISSIS persone e si pone in un mercato fortemente competitivo con alti costi di gestione. I legali della Società hanno sottolineato lo spirito di leale collaborazione di Character con l’Autorità, nonché il graduale, costante e progressivo impegno profuso nella compliance al Regolamento, pur a fronte dell’incerto quadro tecnico-giuridico di riferimento, sia con riferimento all’intelligenza artificiale generativa che ai sistemi di age verification.
Con nota trasmessa in data 30 aprile 2026 (prot. n. 71632/26), a scioglimento della riserva presa in sede di audizione, il Titolare ha fornito l’indirizzo esatto di VeraSafe e copia della privacy policy del febbraio 2023. Ha altresì precisato che il numero di utenti attivi giornalieri in Italia è pari a … OMISSIS, numero calcolato sulla base dei dati più recenti e dell’indirizzo IP (italiano) di connessione (la Società non richiede agli utenti di indicare il Paese di residenza). Quanto al trattamento dei dati personali degli utenti dell’area SEE per finalità di post-addestramento, Character ha dichiarato che quest’attività di trattamento, … OMISSIS.
Infine, quanto all’attuale trattamento dei dati personali utilizzati per il pre-addestramento dei LLM, Character ha ribadito che l’ultima attività di trattamento ha avuto luogo nel … OMISSIS.
Con nota trasmessa il 10 giugno 2026 (prot. n. 88645/26), la Società ha comunicato di aver notificato agli utenti italiani l’aggiornamento della propria privacy policy (preannunciato in sede di audizione), la quale fornisce informazioni più chiare e dettagliate “in merito alle pratiche della Società e alle basi giuridiche applicabili ai trattamenti effettuati, anche al fine di recepire le osservazioni formulate dal Garante nel corso del procedimento”. L’ultima versione della privacy policy ed il relativo supplemento regionale entrano in vigore il 1° luglio 2026.
3. VALUTAZIONI DELL’AUTORITÀ
3.1 Giurisdizione europea e competenza del Garante
Preliminarmente l’Autorità ritiene opportuno affrontare brevemente i temi relativi all’applicabilità della normativa europea in materia di protezione dei dati personali ai trattamenti connessi al Servizio offerto dalla Società ed alla competenza del Garante, sebbene non contestati dal Titolare.
L’art. 3 del Regolamento disciplina le condizioni per l’applicazione territoriale delle disposizioni in esso contenute, stabilendo al primo paragrafo il criterio dello “stabilimento” ed al secondo, nell’ipotesi di titolari non stabiliti nell’Unione europea, il criterio dell’indirizzamento (targeting), a sua volta distinto in due ipotesi: 1) offerta di beni o prestazione di servizi ad interessati che si trovano nell’Unione, anche a titolo gratuito, oppure 2) monitoraggio del comportamento dei suddetti interessati nella misura in cui tale comportamento abbia luogo nell’Unione (si vedano in materia, le linee guida del Comitato europeo per la protezione dei dati personali - di seguito nell’acronimo inglese “EDPB” - n. 3/2018 sull’ambito di applicazione territoriale del Regolamento).
Considerato che il Servizio è stato reso disponibile in Italia quanto meno dall’8 aprile 2024, data in cui, come dichiarato dalla Società in sede di audizione, è stata dismessa la versione beta del Servizio (rilasciata il 16 settembre 2022 in modalità web ed in data 23 maggio 2023 in modalità app) e lanciato il dominio di primo livello www.character.ai con la nuova versione web del servizio, anche in lingua italiana e che la privacy policy del 25 ottobre 2023 si rivolgeva anche ai residenti dell’area SEE, l’Autorità ritiene sussistente la giurisdizione europea, ai sensi dell’art. 3, par. 2, del Regolamento. In particolare, nel caso di specie, è applicabile il criterio del targeting di cui all’art. 3, par. 2, lett. a), del Regolamento, ovverosia l’offerta di beni o servizi ad interessati nell’Unione, in quanto il servizio Character AI è liberamente fruibile da utenti situati nel territorio europeo e, segnatamente, in Italia, a far data dall’8 aprile 2024.
Considerato che la giurisdizione determinata ai sensi dell’art. 3, par. 2, del Regolamento comporta la deroga al meccanismo del one-stop-shop (l’art. 56 del Regolamento si applica, infatti, solo nelle ipotesi in cui il titolare abbia uno stabilimento, unico o principale, nella UE) la competenza ad esercitare i poteri di cui all’art. 58 del Regolamento spetta autonomamente ad ogni autorità di controllo europea (cfr. linee guida dell’EDPB n. 8/2022 sull'individuazione dell'autorità di controllo capofila in relazione a uno specifico titolare del trattamento o responsabile del trattamento, par. 49).
Sulla scorta di tali considerazioni risulta pertanto pacificamente radicata la giurisdizione europea nonché la competenza di questa Autorità.
3.2. Violazione di cui agli artt. 12, par. 1, 13, parr.1 e 2 e 14, parr.1 e 2 del Regolamento
L’Ufficio ha contestato a Character la violazione degli artt. 12, par. 1, 13, parr.1 e 2 e 14, parr.1 e 2 del Regolamento per aver omesso di fornire, sia nell’ambito della privacy policy del 23 ottobre 2023 che in quella aggiornata del 27 agosto 2025, informazioni chiare, intellegibili e complete in merito alle varie operazioni di trattamento effettuate attraverso il Servizio.
L’art. 12 ed il considerando 58 del Regolamento prescrivono che le informazioni destinate al pubblico o all'interessato debbano essere concise, facilmente accessibili e siano rese in un linguaggio semplice e chiaro.
Ai sensi degli artt. 13 e 14 del Regolamento, il titolare che raccolga i dati personali presso lo stesso interessato o presso terzi, è tenuto a fornire informazioni specifiche in ordine ad una serie di elementi che caratterizzano il trattamento che si intende porre in essere.
Come specificato nelle linee guida sulla trasparenza adottate dal Working Party Articolo 29 in data 11 aprile 2018 e convalidate dall’EDPB nella Plenaria del 25 maggio 2018 (linee guida WP 260), il principio di trasparenza non è legalistico e si concreta in specifici obblighi informativi indicati negli artt. da 12 a 14 del Regolamento (cfr. par. 4); tali informazioni debbono essere fornite agli interessato “prima o all’inizio del ciclo di trattamento dei dati, vale a dire quando i dati personali sono raccolti presso l’interessato od ottenuti in altro modo” (indicazione confermata anche nelle linee guida dell’EDPB n. 2/2019 sul trattamento di dati personali ai sensi dell’art. 6, par. 1, lett. b), del Regolamento nel contesto della fornitura di servizi online) e in occasione di modifiche rilevanti del trattamento (cfr. par. 5).
Le stesse linee guida chiariscono ancora che: i) le informazioni dovrebbero essere concrete e certe, non dovrebbero essere formulate in termini astratti o ambigui né lasciare spazio a interpretazioni multiple, in particolare con riferimento alle finalità ed alla base giuridica del trattamento dei dati personali (cfr. par. 12); ii) se il titolare del trattamento sceglie di usare un linguaggio vago, conformemente al principio di responsabilizzazione dovrebbe essere in grado di dimostrare il motivo per cui tale linguaggio è inevitabile e il motivo per cui non compromette la correttezza del trattamento (cfr. par. 13); iii) le informazioni agli interessati non dovrebbero contenere un linguaggio o una terminologia eccessivamente legalistica, tecnica o specialistica (cfr. par. 13); iv) le informazioni dovrebbero essere tradotte in una o più lingue nel caso in cui il titolare del trattamento si rivolga ad interessati che parlano lingue diverse (come nel caso in cui abbia un sito Internet in una data lingua) e, se tradotte, il titolare del trattamento dovrebbe accertare che tutte le traduzioni siano corrette e la fraseologia e la sintassi risultino comprensibili, in maniera tale da non costringere il lettore a decifrare o reinterpretare il testo tradotto (cfr. par. 13).
Alla luce dei principi, delle disposizioni normative e dell’interpretazione delle stesse fornite dall’EDPB (si ricorda che alle linee guida degli organi e delle istituzioni europee è stato riconosciuto valore di soft law dalla Corte di Giustizia UE, con sentenza del 15 luglio 2021, nella causa C-911/19) sopra richiamati, l’Autorità ritiene configurata la violazione contestata con riferimento e limitatamente ai seguenti profili.
Per quanto concerne la privacy policy del 25 ottobre 2023, in vigore fino al 27 agosto 2025, in relazione:
- alla disponibilità della stessa esclusivamente in lingua inglese nel periodo successivo all’8 aprile 2024 (data del rilascio del Servizio in lingua italiana) e fino al 27 agosto 2025 (data della successiva versione, resa anche in italiano). Sul punto l’Autorità ritiene che non possa trovare accoglimento, alla luce da sopra citata interpretazione fornita dall’EDPB nelle linee guida sulla trasparenza, la tesi difensiva secondo cui la traduzione in lingua italiana non sarebbe stata necessaria in quanto gli utenti medi del Servizio sarebbero abituati ad accedere a servizi e materiali forniti principalmente in lingua inglese;
- all’indicazione non chiara della facoltà in capo agli interessati di esercitare il diritto di opposizione, ai sensi dell’art. 21 del Regolamento, con riferimento alle operazioni di trattamento che, fondandosi sulle basi giuridiche di cui all’art. 6, par. 1, lett. e) ed f), del Regolamento, legittimano l’esercizio dell’opt-out. A tal proposito, l’Autorità osserva come l’argomentazione difensiva secondo cui sia gli utenti che i non utenti potessero, sin dall’ottobre 2023, esercitare i loro diritti attraverso un sistema di ticketing non sia pertinente in quanto la garanzia dell’effettività dell’esercizio del diritto di opposizione è questione giuridica che attiene alla tutela sostanziale di tale diritto e non all’obbligo informativo circa le modalità per l’esercizio del diritto stesso;
- alla mancata indicazione del rappresentante nell’Unione europea ex art. 27 del Regolamento nel periodo successivo all’8 aprile 2024 (data del rilascio del Servizio in lingua italiana) e fino al 27 agosto 2025 (data della successiva versione della privacy policy). Al riguardo, l’Autorità non condivide l’assunto difensivo secondo cui, all’epoca dei fatti trovasse applicazione la deroga di cui all’art. 27, par. 2, del Regolamento in quanto l’ipotesi che si trattasse di un trattamento occasionale di dati personali è pacificamente esclusa dalla duplice circostanza che la privacy policy era rivolta anche agli utenti dell’area SEE (cfr. punto 6 relativo alle Regional Privacy Disclosures) ed il Servizio è stato offerto in lingua italiana sin dall’8 aprile 2024;
- alla indicazione fuorviante ed imprecisa circa il trattamento di dati personali degli utenti dell’area SEE per finalità di post-training dei LLM sottesi al Servizio; segnatamente, dal testo delle privacy policy gli utenti italiani avrebbero potuto suppore che i propri dati personali fossero utilizzati ai fini di tale attività di trattamento (quanto meno dal lancio del Servizio in Italia). Richiamata l’interpretazione dell’EDPB secondo cui le informazioni fornite agli interessati debbono essere concrete e certe, l’Autorità respinge la tesi difensiva circa l’irrilevanza della provenienza degli interessati coinvolti nelle attività di post-training, specie alla luce del fatto che tale trattamento, previsto per gli utenti dell’area SEE a partire dal … OMISSIS, alla data del … OMISSIS non era ancora stato iniziato.
Per quanto concerne la privacy policy del 27 agosto 2025, compresa l’informativa regionale dedicata all’area SEE a cui la prima rinvia:
- sussistenza di imprecisioni linguistiche nella versione in lingua italiana che rendono il testo non intellegibile e dal significato falsante rispetto alle informazioni che la Società intende fornire. Sotto tale profilo, vista l’interpretazione dell’EDPB secondo cui le informazioni agli interessati non dovrebbero contenere un linguaggio o una terminologia eccessivamente legalistica, tecnica o specialistica, l’Autorità accoglie il rilievo difensivo secondo cui alcuni termini utilizzati nella traduzione, sebbene non corrispondenti al vocabolario giuridico europeo, siano comunque di facile e comune comprensione. Per contro, considerato che il testo tradotto deve essere chiaro e non fuorviante rispetto alla sostanza del trattamento effettuato, si ritiene che la violazione sia comunque configurabile in relazione alle locuzioni seguenti: i) nella sezione “informazioni che ci fornisci direttamente” le inferenze sono indicate “quali preferenze basate sulle impostazioni dell'account o feedback sui Servizi”, laddove il temine inferenza si riferisce a dati personali non raccolti direttamente presso l’interessato con conseguente forte impatto sostanziale sul trattamento realmente effettuato; ii) nell’informativa dedicata alla regione europea, con riferimento all’informazione secondo cui l’interessato ha il diritto “di presentare una lamentela all'autorità di vigilanza competente”, il termine generico “lamentela” anziché quello tecnico-giuridico “reclamo” risulta fuorviante in quanto il significato del termine reclamo è ormai notorio ed entrato nel linguaggio comune con la conseguenza che la sua mancanza potrebbe interferire negativamente con l’effettivo esercizio dei diritti da parte degli interessati (lo stesso termine usato con riferimento all’interpello preventivo al titolare non è, al contrario, foriero di fraintendimenti); iii) la qualificazione delle “credenziali di accesso e delle “comunicazioni personali ricevute o inviate” come informazioni sensibili non esclude la necessità di precisare, se del caso, la differenza tra tale tipologia di dati e le categorie particolari di dati di cui agli artt. 9 e 10 del Regolamento;
- mancata indicazione, con riferimento al trasferimento di dati trattati fuori dal territorio europeo, dei Paesi extra UE, a cui i dati potrebbero essere trasferiti, che non sarebbero “in grado di garantire un livello adeguato di protezione dei dati personali ai sensi della legge locale” e delle decisioni di adeguatezza ovvero delle garanzie appropriate o opportune di cui al Capo V del Regolamento adottate. Sul punto, l’Autorità non condivide le argomentazioni difensive e sottolinea nuovamente come, atteso che le informazioni fornite debbono essere concrete e certe, l’uso di verbi probabilistici (“le tue informazioni possono essere archiviate e trattate negli Stati Uniti e in altri paesi al di fuori degli Stati Uniti”) per giunta al condizionale (“che potrebbero avere leggi sulla protezione dei dati diverse da quelle del tuo paese, e i dati potrebbero essere accessibili da parte delle forze dell'ordine e delle autorità di sicurezza nazionale in determinate circostanze”) non rispetti il dettato normativo europeo;
- indicazione fuorviante in merito al concetto di dati anonimi connesso all’impossibilità di de-identificarli “tranne che allo scopo di confermare che sono de-identificati”. L’Autorità prende atto che tale locuzione, come chiarito in sede di audizione, discende dal concetto statunitense della procedura di anonimizzazione, ma rileva che il significato è diverso da quello europeo e risulta pertanto non chiaro agli interessati italiani.
Si riferiscono ad entrambe le versioni della privacy policy e si confermano carenti, anche a seguito dell’attento esame delle difese del Titolare, le indicazioni fornite agli interessati in merito al periodo di conservazione ed alle categorie di dati personali trattati rispetto alle corrispondenti basi giuridiche e alle specifiche finalità del trattamento.
Quanto alla prima lacuna, l’Autorità non condivide l’argomento difensivo secondo cui la formulazione generica utilizzata sarebbe conforme alle prassi di settore: l’ancoramento dei periodi di conservazione alla finalità del trattamento non è, infatti, conforme al dettato normativo che impone l’indicazione precisa dei periodi di conservazione o, in assenza, dei criteri utilizzati per determinare tali periodi. Nel caso di specie, inoltre, come meglio illustrato infra, nelle versioni sia del 25 ottobre 2023 che del 27 agosto 2025 della privacy policy, le finalità non sono associate alle specifiche categorie di dati trattati con la conseguenza che gli interessati non sono in grado di sapere quali dati vengono trattati, per quale finalità e per quanto tempo. Ed ancora, l’inciso “a meno che la legge non preveda un periodo di conservazione più breve” risulta eccessivamente generico ed inammissibile se solo i periodi di conservazione fossero stati determinati con riferimento alle specifiche categorie di dati trattate. Da ultimo, l’indicazione che al termine del periodo di conservazione, le informazioni “potrebbero” essere cancellate o aggregate sconta l’uso di una terminologia probabilistica che si pone in contrasto con la necessità che le informazioni siano concrete e certe.
Quanto alla mancanza di una indicazione puntuale per ogni categoria di dati personali trattati, delle corrispondenti basi giuridiche e finalità del trattamento, l’Autorità osserva come le linee guida dell’EDPB siano esplicite nel richiedere che le informazioni agli interessati non siano formulate in termini astratti o ambigui né possano dare adito ad interpretazioni multiple, in particolare con riferimento alle finalità ed alla base giuridica del trattamento dei dati personali. Le basi giuridiche e le finalità del trattamento non possono essere descritte in astratto; esse devono essere descritte con riferimento ed in correlazione con le specifiche categorie di dati trattati. Deve, inoltre, essere, rigettato in toto l’assunto difensivo secondo cui l’indicazione di plurime basi giuridiche per la medesima finalità di trattamento rafforzi la trasparenza. Al contrario, la base giuridica deve essere unica e chiaramente comunicata agli interessati in quanto incide sui diritti agli stessi riconosciuti dal Regolamento. Ad esempio, un trattamento per finalità di pubblicità personalizzata non può, come indicato nella privacy policy del 27 agosto 2025, basarsi sia il presupposto giuridico del legittimo interesse di cui all’art. 6, par. 1, lett. f), del Regolamento che su quello del consenso di cui all’art. 6, par. 1, lett. a), del Regolamento. Parimenti, un trattamento per finalità di autenticazione delle credenziali dell’account, non può avere come condizione di liceità indifferentemente la base giuridica contrattuale di cui all’art. 6, par. 1, lett. b), del Regolamento e quella del legittimo interesse. Sul punto non convince neppure la tesi del Titolare, sostenuta nella nota di riscontro alla seconda richiesta di informazioni (… OMISSIS), secondo cui tale approccio rifletterebbe l’esigenza di contemperare gli obblighi informativi con giurisdizioni diverse. A tal proposito l’Autorità rileva come l’approccio multi base giuridica sia stato adottato anche nell’informativa regionale dedicata all’area SEE ove si applica il Regolamento, normativa unica ed armonizzata, e dove, pertanto, non è ipotizzabile che lo stesso trattamento possa avere basi giuridiche diverse.
Per quanto e nei limiti di quanto sopra rappresentato, l’Autorità ritiene pertanto che Character abbia violato gli artt. 12, par.1, 13, parr.1 e 2 e 14, parr.1 e 2 del Regolamento per aver omesso di fornire, sia nell’ambito della privacy policy del 23 ottobre 2023 che in quella aggiornata del 27 agosto 2025, informazioni chiare, intellegibili e complete in merito alle varie operazioni di trattamento effettuate attraverso il Servizio.
Per completezza, l’Autorità dà atto che la Società ha, in sede di audizione, rappresentato di aver adottato una primissima privacy policy nel febbraio 2023 in relazione alla versione beta del Servizio, disponibile al sottodominio http://beta.character.ai, versione non offerta agli utenti italiani e che il testo di tale informativa è stato prodotto all’Ufficio unitamente alla nota del 30 aprile 2026.
L’Autorità rileva altresì che la Società ha i) modificato più volte la privacy policy in occasione e conformemente a modifiche rilevanti nel trattamento, ii) comunicato spontaneamente all’Autorità l’adozione della terza versione della privacy policy in data 29 luglio 2025 e, iii) annunciato, in sede di audizione, l’imminente pubblicazione di una nuova, ulteriormente aggiornata, versione della privacy policy, la quale è stata, in effetti, adottata a far data dal 1° luglio ed anticipata in copia all’Ufficio in data 10 giugno 2026.
Nell’ultima versione della privacy policy sono state recepite alcune delle criticità sopra illustrate ed il testo dell’informativa è stato modificato di conseguenza.
In particolare, è stata revisionata la traduzione in italiano mediante l’utilizzo di un linguaggio più chiaro, intelligibile e conforme alla sostanza dei trattamenti effettuati: nello specifico, i) è stato eliminato il termine improprio “inferenze”; ii) sono stati sostituiti il termine “lamentela” con “reclamo” ed il termine “divulgare” con “condividere” o “comunicare”, a seconda delle circostanze; iii) la locuzione “dati sensibili” è stato meglio precisata e circoscritta ed è stato inserito, a parte, un riferimento specifico al trattamento di categorie particolati di dati personali. In generale, è stato eliminato l’uso di verbi non certi al condizionale, come “potrebbe” /” potrebbero”.
L’ultima versione della privacy policy associa ad ogni categoria di dati personali la corrispondente base giuridica e relativa finalità di trattamento ed apporta modifiche alla descrizione dei periodi di conservazione dei dati personali e del trasferimento di dati in Paesi extra UE.
Da ultimo, la versione aggiornata del supplemento regionale contiene in testa un riferimento al trattamento di dati personali per finalità di post-addestramento dei LLM sottesi al Servizio, senza tuttavia distinguere gli utenti dell’area SEE rispetto agli utenti residenti negli U.S.A
3.3 Violazione degli artt. 14, parr. 1 e 2 e 21, parr. 1 e 4, del Regolamento
L’Ufficio ha contestato a Character la violazione degli artt. 14, parr. 1 e 2 e 21, parr. 1 e 4, del Regolamento per aver omesso di fornire una adeguata informativa agli interessati italiani in merito alle attività di pre-addestramento degli LLM proprietari sottesi al Servizio nonché di predisporre idonei meccanismi per consentire agli stessi di esercitare il diritto di opposizione.
L’art. 14 del Regolamento prescrive le informazioni che il titolare è tenuto a fornire all'interessato per garantire un trattamento corretto e trasparente allorquando i dati personali non siano stati ottenuti presso l'interessato stesso.
I considerando 60 e 61 del Regolamento affermano rispettivamente che i “principi di trattamento corretto e trasparente implicano che l’interessato sia informato dell'esistenza del trattamento e delle sue finalità” e che “l’interessato dovrebbe ricevere le informazioni relative al trattamento di dati personali che lo riguardano al momento della raccolta presso l'interessato o, se i dati sono ottenuti da altra fonte, entro un termine ragionevole, in funzione delle circostanze del caso”.
L’art. 21, parr. 1 e 4, del Regolamento prescrive che l’interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano ai sensi dell’art. 6, par. 1, lett. e) o f) e che il titolare del trattamento si astiene dal trattare ulteriormente i dati personali salvo che dimostri l’esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgano sugli interessi, sui diritti e sulle libertà dell’interessato. Il diritto di opposizione deve essere esplicitamente portato all’attenzione dell'interessato ed è presentato chiaramente e separatamente da qualsiasi altra informazione al più tardi al momento della prima comunicazione con l’interessato stesso.
Le linee guida dell’EDPB sulla trasparenza sopra citate chiariscono che gli obblighi di trasparenza si applicano al titolare prima o all’inizio del ciclo di trattamento dei dati, vale a dire quando i dati personali sono raccolti presso l’interessato od ottenuti in altro modo (cfr. par. 5). Tali linee guida prevedono altresì che, qualora il titolare intenda avvalersi dell’eccezione di cui all’art. 14, par. 5, lett. b), del Regolamento perché la comunicazione delle informazioni implicherebbe uno sforzo sproporzionato, dovrebbe effettuare un bilanciamento tra lo sforzo richiesto e l’impatto dell’omessa comunicazione sull’interessato e documentare tale valutazione conformemente agli obblighi di accountability. Nell’ipotesi di ritenuta dell’impossibilità o grande difficoltà a comunicare le informazioni, il titolare deve adottare misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato, come rendere pubbliche le informazioni ad es. pubblicando le informazioni sul proprio sito web (cfr. par. 64). Con riferimento alla condizione di liceità del legittimo interesse ed al diritto di opposizione, le linee guida dell’EDPB n. 1/2024 sul trattamento di dati personali basato sull’art. 6, par. 1, lett. f), del Regolamento ribadiscono che l’interessato ha diritto di opporsi a tale trattamento nei modi e nei tempi di cui all’art. 21 del Regolamento (cfr. par.71).
Infine, l’EDPB, nel parere n. 28/2024, afferma che, laddove il titolare tratti i dati personali nel contesto dei modelli di intelligenza artificiale sulla base del presupposto di liceità del legittimo interesse, è tenuto a garantire il diritto di opposizione ai sensi dell’art. 21 del Regolamento (cfr. par. 65). Il suddetto parere categorizza le diverse fasi del trattamento che interessano il ciclo di vita dei modelli di intelligenza artificiale, segnatamente la fase di sviluppo e la fase di diffusione, ricomprendendo nella prima tutte le fasi che precedono la diffusione del modello, tra cui lo sviluppo del codice, la raccolta dei dati personali di addestramento, la pre-elaborazione dei dati di addestramento e l’addestramento tout court. In relazione alla fase di sviluppo, con particolare riferimento alle misure tecniche, l’EDPB precisa che, per attenuare i rischi derivanti dal trattamento dei dati di prima e di terza parte, il titolare dovrebbe “Proporre, fin dall’inizio, la possibilità di «opposizione» incondizionata, ad esempio prevedendo per gli interessati un diritto discrezionale di opposizione prima che il trattamento abbia luogo, al fine di rafforzare il controllo che le persone hanno sui propri dati, che va al di là delle condizioni di cui all’art. 21 del RGPD” (cfr. par. 102).
Le violazioni contestate dall’Ufficio nell’atto di avvio del procedimento ex art. 166 del Codice riguardano le operazioni di trattamento effettuate dalla Società con riferimento ai dati personali di interessati che si trovano nell’Unione europea per finalità di pre-addestramento degli LLM proprietari e dunque per lo sviluppo degli stessi.
Nel corso dell’attività istruttoria, in riscontro alla seconda richiesta di informazioni dell’Ufficio, il Titolare ha dichiarato di aver adempiuto all’obbligo di trasparenza nei confronti dei soggetti i cui dati sono stati trattati per la predetta finalità, fornendo agli stessi le informazioni relative alla fase di sviluppo dei suoi LLM proprietari attraverso la privacy policy del 25 ottobre 2023, nella misura in cui essa “descriveva le attività di trattamento e comprendeva una sezione dedicata sia agli utenti che ai non utenti residenti nello Spazio Economico Europeo - compresa l'Italia - in cui erano indicati gli elementi principali del trattamento”, nonché in vari forum pubblici ospitati su siti web di soggetti di terzi (ad esempio, una community pubblica Reddit creata il 26 agosto 2022 e un server Discord ufficiale creato il 7 settembre 2023).
Tale posizione è stata ribadita in sede di memoria difensiva ex art. 166, co. 6, del Codice, in cui la Società ha rimarcato di avere, negli ultimi anni - ma senza fornire riferimenti temporali precisi - aggiornato i Termini di Servizio e le Linee guida della Community e di aver incoraggiato l’invio, attraverso il proprio Blog, di feedback sulla qualità dei propri modelli.
Al riguardo l’Autorità rileva che:
- la privacy policy del 25 ottobre 2023 si riferisce esclusivamente alle attività di trattamento relative alla fase di diffusione del modello, vale a dire al post-addestramento dei LLM; infatti, nella sezione “How We Use the Information We Collect” si informa l’utente che i suoi dati potrebbero essere trattati per “Analyze, maintain, improve, modify, customize, and measure the Services, including to train our artificial intelligence/machine learning models”. Ne consegue che, contrariamente a quanto asserito dalla Società, le informazioni da un lato nulla dicono in merito al trattamento relativo alle attività di pre-addestramento dei LLM proprietari e dall’altro sono rivolte solo agli utenti del Servizio. A conferma del fatto che la privacy policy de qua si rivolgeva esclusivamente agli utenti, si riportano i seguenti riferimenti: “By using the Services, you are agreeing to the practices described in this Policy”, “When you access or otherwise use our Services, we may collect information from you”;
- gli aggiornamenti sui forum pubblici ospitati su siti web di terze parti non possono essere considerati idonei strumenti informativi ai sensi del Regolamento. La documentazione citata non può, infatti, sopperire all’obbligo di trasparenza che il legislatore europeo ha declinato nelle modalità previste agli artt. 12, 13 e 14 del Regolamento. In assenza, non è dimostrabile, neppure da parte del Titolare in regime di accountability, che gli interessati, soprattutto i non utenti, abbiano potuto accedere a tali documenti e, tramite essi, prendere conoscenza, in particolare, del diritto di opposizione loro garantito dalla normativa europea;
- la raccolta dei feedback sulla qualità dei LLM, al pari dei documenti di cui sopra, si riferisce solamente agli utenti ed alla fase di uso (rectius, diffusione) dei modelli, come confermato dallo stesso collegamento ipertestuale indicato dalla Società nel riscontro alla seconda richiesta di informazioni che indirizza ad una pagina che si rivolge ai soli utenti ed è finalizzata al miglioramento dei Personaggi, non certo a soddisfare l’onere di trasparenza ai sensi della normativa in materia di dati personali.
L’Autorità ritiene non accoglibili anche gli ulteriori argomenti difensivi esposti dal Titolare nella memoria ex art. 166 del Codice. Quanto all’assunto per cui non sussisterebbe alcun obbligo informativo in relazione al trattamento di dati personali per finalità di pre-addestramento in quanto tali operazioni “potrebbero non aver comportato il trattamento di dati personali” poiché basato su dataset pubblicamente disponibili reperiti su Internet, costituiti da dati raccolti da terze parti, su larga scala, open source ed utilizzati secondo le prassi di settore nello sviluppo di LLM, l’Autorità rileva che la verifica circa la presenza o meno di dati personali nei dataset di addestramento è precipuo onere del titolare del trattamento in virtù del principio di accountability. Sostenere, in via meramente ipotetica, che i dataset di addestramento potevano non contenere dati personali, significa ammettere che non vi è stato alcun accertamento effettivo sulla presenza o meno di dati personali nei dataset di addestramento, omissione di cui il Titolare deve assumere la piena responsabilità. Parimenti, la tesi per cui Character non avrebbe trattato intenzionalmente dati personali nella fase di sviluppo dei suoi LLM attiene solamente all’elemento soggettivo della condotta e non alla sua qualificazione oggettiva. Quanto all’ultimo argomento difensivo addotto, relativo all’applicabilità, nel caso di specie, dell’eccezione di all’art. 14, par. 5, lett. b), del Regolamento, l’Autorità osserva come l’impossibilità o la grave difficoltà nel comunicare le informazioni agli interessati, oltre a dover essere oggetto di specifica e documentata valutazione, non esime il titolare dall’onere di adottare misure appropriate per tutelare i diritti, le libertà ed i legittimi interessi degli interessati, rendendo altrimenti pubbliche le informazioni necessarie, come espressamente delineato nelle linee guida dell’EDPB sulla trasparenza sopra menzionate.
Per quanto concerne, invece, l’omessa predisposizione di meccanismi di opt-out, l’Autorità ritiene che le argomentazioni difensive del Titolare consentano di superare le valutazioni dell’Ufficio in sede di contestazione. Sebbene risulti provato, sulla scorta delle dichiarazioni rilasciate in riscontro alla seconda richiesta di informazioni, che la Società ha svolto le attività di trattamento finalizzate al pre-addestramento dei propri LLM proprietari sulla base del legittimo interesse e senza informare gli interessati sulle modalità per esercitare il diritto di opposizione, si rileva, per contro, che l’obbligo specifico di predisporre meccanismi di opt-out ad hoc che consentano agli interessati di opporsi preventivamente e senza motivazione a tale tipologia di trattamento, ai sensi dell’art. 21 del Regolamento, discende da una interpretazione resa dall’EDPB con il parere n. 28/2024. Nello specifico, l’EDPB ha raccomandato l’adozione, da parte dei titolari del trattamento, di misure che facilitino l’esercizio dei diritti individuali, tra cui, la predisposizione della possibilità di opposizione incondizionata da parte degli interessati prima che il trattamento abbia luogo, al fine di rafforzare il controllo che le persone hanno sui propri dati (cfr. par. 102.b). Tale raccomandazione va al di là della lettera del disposto normativo di cui al combinato disposto di cui agli artt. 14 e 21 del Regolamento e costituisce una sorta di interpretazione autentica delle suddette norme scaturita dall’esigenza di adeguamento della normativa ai mutamenti tecnologici, sociali e giuridici connessi all’implementazione dei servizi di intelligenza artificiale generativa. Considerato che il suddetto parere è stato adottato in data 17 dicembre 2024, si conviene con il Titolare che le raccomandazioni ivi contenute non possano applicarsi retroattivamente, in particolare rispetto all’attività di pre-addestramento dei LLM proprietari effettuati da Character in epoca anteriore a tale data. L’Autorità prende altresì atto della circostanza, emersa durante l’istruttoria e precisata puntualmente con nota del 30 aprile, di cui il Titolare assume piena responsabilità circa la sua veridicità, che “l’ultima attività di trattamento di dati personali per finalità di pre-addestramento del proprio modello proprietario si è svolta nel … OMISSIS, e dunque in epoca precedente all’adozione del parere n. 28/2024 da parte dell’EDPB. L’Autorità rileva, infine, che nella memoria difensiva Character ha confermato quanto già dichiarato nella risposta alla seconda richiesta di informazioni in ordine al fatto che sia gli utenti che i non utenti avevano la possibilità, a partire dal lancio del servizio del Servizio nel 2023, di esercitare i propri diritti, compreso quello di opposizione, attraverso un sistema di ticketing (ovverosia inviando un ticket all’Help Center attraverso la sezione “GDPR request”) oppure inviando una richiesta ad un indirizzo di posta elettronica indicato nella privacy policy.
In conclusione, quanto alle attività di trattamento finalizzate al pre-addestramento dei suoi LLM proprietari, l’Autorità ritiene che Character abbia violato l’art. 14, parr. 1 e 2 Regolamento per aver omesso di fornire una adeguata informativa agli interessati italiani in merito a tali operazioni di trattamento, ma non l’art. 21, parr. 1 e 4, del Regolamento atteso che l’esercizio del diritto di opposizione non doveva, in epoca precedente al 17 dicembre 2024, essere dal Titolare garantito secondo le modalità previste nel parere dell’EDPB n. 28/2024.
Per completezza, l’Autorità prende atto della cessazione del trattamento dei dati personali per finalità di sviluppo dei LLM proprietari a far data dal … OMISSIS, come conseguenza di un … OMISSIS.
3.4 Violazione degli artt. 24, par. 1 e 25, par. 2, del Regolamento
L’Ufficio ha contestato a Character la violazione degli artt. 24, par. 1 e 25, par. 2, del Regolamento per aver omesso di adottare misure tecniche ed organizzative adeguate, per impostazione predefinita, in relazione al trattamento dei dati degli utenti minorenni relativamente al periodo precedente alla implementazione di un meccanismo neutro di age gate (novembre 2024) e degli utenti minorenni infra-sedicenni relativamente al periodo successivo a tale implementazione, quanto meno sino all’8 aprile 2025.
L’art. 24, par. 1, della Carta dei diritti fondamentali dell’uomo stabilisce che i minori hanno diritto alla protezione ed alle cure necessarie per il loro benessere. Il paragrafo 2 della stessa norma afferma che in tutti gli atti compiuti da autorità pubbliche o da istituzioni private l’interesse del minore deve essere preso in considerazione in via prioritaria.
Il medesimo principio è enucleato nel considerando 38 del Regolamento, il quale recita: “I minori meritano una specifica protezione relativamente ai loro dati personali, in quanto possono essere meno consapevoli dei rischi, delle conseguenze e delle misure di salvaguardia interessate nonché dei loro diritti in relazione al trattamento dei dati personali”.
La normativa europea in materia di protezione dei dati personali richiede al titolare del trattamento di adottare adeguate misure tecniche e organizzative volte ad attuare in modo efficace i principi di protezione dei dati e di integrare nel trattamento le garanzie necessarie al fine di soddisfare i requisiti previsti dal Regolamento e tutelare i diritti degli interessati.
Ai sensi dell’art. 24, par. 1, del Regolamento, il titolare è tenuto a mettere in atto, aggiornandole se necessario, misure tecniche e organizzative adeguate volte e garantire che il trattamento sia effettuato conformemente al Regolamento, alla luce della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche.
Ai sensi dell’art. 25, par. 2, del Regolamento, il titolare deve adottare, per impostazione predefinita, misure tecniche ed organizzative per garantire che siano trattati soli i dati personali necessari per ogni specifica finalità di trattamento.
L’EDPB ha chiarito, nelle linee guida n. 4/2019 sulla protezione dei dati fin dalla progettazione e per impostazione predefinita che “il fulcro della disposizione [art. 25 .n.d.r.] è garantire una adeguata ed efficace protezione dei dati fin dalla progettazione e una protezione per impostazione predefinita, il che significa che i titolari dovrebbero essere in grado di dimostrare che incorporano nel trattamento le misure e le garanzie adeguate ad assicurare l’efficacia dei principi di protezione dei dati, dei diritti e delle libertà degli interessati” (cfr. par. 2) e, nell’ambito delle raccomandazioni, ha invitato i titolari a tenere conto, nell’ambito della progettazione e impostazione del trattamento in un’ottica privacy oriented, anche degli obblighi di fornire una tutela specifica ai minori e ad altri gruppi vulnerabili (cfr. par. 96).
Character, nelle risposte alla seconda ed alla terza richiesta di informazioni nonché nella memoria difensiva ed in sede di audizione, ha specificato di aver implementato le seguenti misure progressive di verifica dell’età e di tutela degli utenti minorenni:
- ad ottobre 2023, adozione un meccanismo neutro di verifica dell’età in fase di registrazione che richiede ai nuovi utenti di dichiarare la propria data di nascita per accedere al Servizio; in caso di utente minore di 16 anni residente nell’area SEE, tale meccanismo impedisce la creazione di un account; in caso di mancato superamento dell’age gate, … OMISSIS;
- a novembre 2024, applicazione del predetto meccanismo di age gate a tutti gli utenti che si erano registrati al Servizio in epoca anteriore alla sua adozione;
- a novembre 2024, implementazione di un LLM separato dedicato agli utenti minorenni al fine di creare per tali soggetti vulnerabili un’esperienza diversa nell’uso del Servizio progettata per ridurre la probabilità che i minori incontrino o generino contenuti non appropriati (Personaggi limitati, classificatori più conservativi, notifiche sul tempo trascorso online e limitazione dello stesso, outcome più appropriati ai minorenni);
- a marzo 2025, introduzione della funzionalità Parental Insight, la quale fornisce ai soggetti esercenti la responsabilità genitoriale una sintesi delle interazioni del minorenne col Servizio, incluso il tempo di utilizzo medio giornaliero, il tempo trascorso con ciascun Personaggio ed i Personaggi con cui vengono riscontrate le interazioni più frequenti;
- a novembre 2025 (febbraio 2026 in Italia), eliminazione della possibilità per i minorenni di effettuare conversazioni aperte con i Personaggi;
- a novembre 2025, implementazione di sistema avanzato di age assurance durante l’utilizzo del Servizio che combina un modello proprietario di previsione dell’età (che verifica gli account degli utenti autodichiaratisi maggiorenni mediante dati raccolti dalle interazioni con il Servizio), con un processo di verifica affidato al fornitore terzo Persona (verifica di secondo livello che si attiva solamente nel caso in cui il modello indichi che l’utente è verosimilmente minorenne, con immediato trasferimento dell’utente stesso nel Servizio dedicato ai minori di 18 anni); l’intervento del soggetto terzo è subordinato ad una contestazione dell’utente e si snoda in due fasi: richiesta all’utente di invio di un selfie e, solo qualora l’età non possa ancora essere determinata con sufficiente attendibilità, richiesta di invio di un documento di identità (in entrambi i casi i dati vengono conservati sette giorni).
Da verifiche tecniche effettuate dall’Ufficio nel contesto della creazione di un account sulla versione web del Servizio in data 8 aprile 2025 (prot. n. 349/25), sono emerse le seguenti circostanze:
- nell’ipotesi di registrazione con inserimento di una data di nascita relativa ad una età inferiore a 13 anni, l’utente non riesce a creare l’account in quanto il sistema, rilevata l’anomalia, impedisce l’accesso e rinvia automaticamente l’utente alla homepage;
- … OMISSIS;
- nell’ipotesi di accesso al Servizio da parte di un soggetto dichiaratosi minorenne, il Servizio è disponibile in italiano ed il profilo dell’utente è impostato come profilo pubblico; all’utente minorenne viene offerta la facoltà, non l’obbligo, di inserire l’email di un esercente la responsabilità genitoriale per l’invio di statistiche settimanali sull’attività svolta, ad esclusione dei contenuti delle chat private;
- nell’ipotesi di accesso al Servizio da parte di un soggetto dichiaratosi maggiorenne, il Servizio è disponibile in italiano, il profilo è pubblico, non è presente l’opzione relativa al coinvolgimento di un esercente la responsabilità genitoriale ed i contenuti consigliati appaiono, prima facie, diversi da quelli mostrati nella ipotesi di accesso da parte di soggetto minorenne.
L’Autorità rileva innanzitutto che, alla data della verifica tecnica (8 aprile 2025), il meccanismo di age gate predisposto dalla Società per impedire l’accesso al servizio ai minori di 16 anni che si trovano nel territorio europeo, segnatamente in Italia, non è risultato conforme a quanto dichiarato dal Titolare in quanto, da un lato non ha funzionato il … OMISSIS e dall’altro è stato possibile per un potenziale utente italiano autodichiaratosi quindicenne (quindi di età inferiore ai 16 anni) registrarsi al Servizio.
Nella memoria difensiva il Titolare non ha giustificato in alcun modo tali risultanze di fatto.
Al contrario, la difesa è stata prettamente giuridica. La Società ha, infatti, sostenuto che il Regolamento non impone a carico dei titolari un “obbligo generale ed autonomo di confermare o verificare l’età di ogni utente attraverso meccanismi di identificazione rigorosi”, che non esiste, allo stato, a livello europeo, uno standard armonizzato e vincolante per la verifica dell’età degli utenti nell’accesso e nell’uso dei servizi online e che l’art. 25 non può essere interpretato “come se richiedesse l’implementazione di una verifica dell’identità in assenza di un obbligo giuridico specifico” interpretazione che “creerebbe di fatto un nuovo obbligo sostanziale non previsto dal GDPR, mentre gli articoli 24 e 25 non possono essere utilizzati per imporre obblighi che il legislatore non ha previsto”.
Al riguardo l’Autorità concorda sul fatto che gli artt. 24 e 25 del Regolamento non obblighino i titolari del trattamento ad adottare specifiche misure di age verification (che, come correttamente sottolineato, non sono ancora state messe a punto a livello europeo), ma osserva che tali norme obbligano i titolari ad adottate misure adeguate a garantire che il trattamento sia effettuato conformemente al Regolamento. In altri termini, il fatto che non esista ancora uno standard armonizzato e vincolante per la verifica dell’età non esime un titolare, nel caso di specie Character, ad adottare misure adeguate (e dimostrarne l’adeguatezza), tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche.
Si osserva altresì che dalla verifica effettuata dall’Ufficio è emerso che il profilo del sedicente utente minorenne registratosi al Servizio è risultato impostato, by default, come profilo pubblico. Tale circostanza si pone in contrasto con le linee guida dell’EDPB n. 4/2019, ove si legge che “rendere disponibili i dati personali a un numero indefinito di persone potrebbe comportare una divulgazione dei dati ancora più ampia rispetto a quella inizialmente prevista, il che è particolarmente pertinente nel contesto di Internet e dei motori di ricerca; perciò i titolari dovrebbero, per impostazione predefinita, dare agli interessati l’opportunità di intervenire prima che i dati personali vengano messi a disposizione pubblicamente su Internet. Questo aspetto è particolarmente importante nel caso di minori e gruppi vulnerabili” (cfr. par. 57).
L’EDPB nella decisione vincolante n. 2/2023 relativa alla controversia presentata dall’autorità di controllo irlandese nei confronti di TikTok Technology Ltd., ha enunciato che: “Sebbene l’articolo 25, paragrafo 1, del RGPD non richieda l’attuazione di misure tecniche e organizzative specifiche e il titolare del trattamento disponga di un potere discrezionale in relazione alla scelta delle misure e delle garanzie, le misure e le garanzie scelte dal titolare del trattamento devono essere concepite in modo da essere solide tenendo conto dei rischi associati al trattamento. L’EDPB ritiene che, ai sensi dell’articolo 25, paragrafo 1, del RGPD, il requisito di adeguatezza sia quindi strettamente correlato al requisito di efficacia. L’adeguatezza o meno delle misure scelte dal titolare del trattamento nel caso specifico dipende dalla valutazione degli elementi elencati nell’articolo 25, paragrafo 1, del RGPD” (cfr. par. 180).
Volendo trasporre tale principio alla fattispecie in esame, sulla base dei parametri parzialmente sovrapponibili previsti dagli artt. 24 e 25, par. 2, del Regolamento, l’Autorità rileva quanto segue.
In merito alla natura, all’ambito di applicazione, al contesto ed alla finalità del trattamento, si osserva che, nel caso di specie: i) il trattamento di dati personali di minorenni è connesso alla fornitura di un servizio che, sebbene non rivolto espressamente ai minorenni, per le sue caratteristiche intrinseche, è ampiamente utilizzato da quest’ultimi; ii) dall’accertamento tecnico è emerso che, in un tentativo di registrazione, il dichiarato sbarramento di ingresso a sedici anni nell’area SEE non è stato rispettato; iii) dall’accertamento tecnico è emerso che l’account di un sedicente utente minorenne registratosi al Servizio era pubblico per impostazione predefinita e iv) fino a novembre 2025 erano aperte anche le conversazioni con i Personaggi.
Quanto ai rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, si osserva che, come correttamente riconosciuto dalla stessa Società nella memoria difensiva, il titolare del trattamento deve valutare l’adeguatezza delle misure di verifica dell’età da adottare sulla base del concetto di rischio. A tal proposito, le sopra citate linee guida n. 4/2019 stabiliscono che è onere del titolare del trattamento non solo individuare i rischi per i diritti degli interessati ma anche determinarne la probabilità e la gravità al fine di adottare misure idonee a mitigare efficacemente i rischi individuati (cfr. par. 30). Nel caso di specie, l’Autorità rileva innanzitutto che Character ha condotto una valutazione dei rischi sull’uso del Servizio da parte di utenti minorenni solamente nella versione della DPIA aggiornata al 30 settembre 2025, prodotta in allegato al riscontro alla seconda richiesta di informazioni (non ve n’è traccia nella DPIA del 14 novembre 2024). Nella suddetta DPIA viene dato delle misure sopra descritte e del fatto che la Società ha collaborato con diversi esperti di sicurezza online per adolescenti al fine di assicurare che l’esperienza degli utenti minorenni sia progettata ponendo la sicurezza come priorità assoluta (tra gli esperti viene menzionata ConnectSafely, un’organizzazione con esperienza ventennale nell’educazione delle persone in materia di sicurezza online, privacy, protezione e benessere digitale).
… OMISSIS.
L’Autorità prende atto della valutazione effettuata dalla Società nella DPIA del 30 settembre 2025 e ritiene che il sistema di age gate basato sulla mera autodichiarazione applicato in combinazione con il sistema di age assurance adottato nella fase di utilizzo del Servizio nonché le ulteriori misure di sicurezza per la limitazione dei contenuti e delle interazioni implementate a novembre 2025, consentano di ritenere raggiunto un livello di protezione adeguato ai rischi rilevati, garantendo un trattamento di dati personali proporzionato all’offerta del Servizio (anche ai minorenni) nel rispetto dei diritti e degli interessi primari dei minorenni.
La DPIA sopra menzionata e le argomentazioni difensive del titolare non consentono, tuttavia, di superare le valutazioni sostenute dall’Ufficio in sede di contestazione con riferimento al sistema di age gate nel periodo compreso tra l’8 aprile 2024 (data del rilascio del servizio in Italia) ed il novembre 2024 (mese in cui l’age gate è stato applicato a tutti gli utenti già registrati ed in è stato implementato una versione ad hoc del Servizio dedicata ai minorenni), nonché con riferimento agli utenti infra-sedicenni italiani anche successivamente a tale implementazione, quanto meno sino all’8 aprile 2025, data in cui l’Ufficio ha accertato il mancato funzionamento di alcune misure dell’age gate, segnatamente lo sbarramento europeo a sedici anni ed il … OMISSIS.
La mancata adozione da parte della Società di misure idonee a salvaguardare l’accesso e l’utilizzo del Servizio ed il mancato parziale funzionamento delle misure successivamente implementate, nei termini sopra descritti, hanno comportato non solo il trattamento sistematico di dati personali ulteriori rispetto a quelli realmente necessari per conseguire la finalità del trattamento (offerta del Servizio ad utenti maggiori di sedici anni nell’area SEE) ma anche il trattamento eccessivo di dati relativi a soggetti vulnerabili (minorenni, potenzialmente di età anche inferiore ai 13 anni). Tali soggetti vulnerabili, a causa delle carenze rilevate, della tecnologia innovativa sottesa al Servizio e della natura sensibile delle conversazioni intercorse con Character.AI, sono stati esposti ad un rischio particolarmente elevato. Le notizie di cronaca relative ad atti di autolesionismo da parte di minorenni connessi a relazioni con chatbot di intelligenza artificiale, … OMISSIS, sono elementi che suffragano le valutazioni dell’Ufficio.
In conclusione, l’Autorità ritiene che Character abbia violato gli artt. 24, par. 1 e 25, par. 2, del Regolamento per aver omesso di adottare misure tecniche ed organizzative adeguate, per impostazione predefinita, di verifica dell’età nel periodo compreso tra l’8 aprile 2024 ed il novembre 2024, nonché con riferimento agli utenti infra-sedicenni italiani nel periodo compreso tra l’8 aprile 2024 e l’8 aprile 2025.
Per completezza, l’Autorità dà atto che la Società ha effettuato un percorso di progressivo innalzamento delle misure a protezione dei soggetti minorenni e vulnerabili e che, come riferito in sede di audizione, la decisione assunta nel novembre 2025 (in vigore in Italia dal febbraio 2026) di limitare la possibilità per gli utenti minori di 18 anni di partecipare a conversazioni aperte con i personaggi di Character AI rappresenta un passo significativo a favore della tutela della privacy e della safety di tali utenti, ai limiti della contro-produttività del business aziendale, in un mercato di settore fortemente spudorato e competitivo.
3.5 Violazione degli artt. 5, par. 2 e 35 del Regolamento
L’Ufficio ha contestato a Character la violazione degli artt. 5, par. 2 e 35, par. 1, del Regolamento per avere adottato tardivamente, essendone tenuta, la valutazione d’impatto sulla protezione dei dati personali (prima versione in data 14 novembre 2024, aggiornata da ultimo il 30 settembre 2025).
L’art. 5, par. 2, del Regolamento prevede il principio di responsabilizzazione (accountability), ovverosia l’obbligo in capo ai titolari del trattamento di dimostrare l’adozione di comportamenti proattivi e tali da provare la conformità al Regolamento sulla scorta del rischio inerente al trattamento. Tale rischio deve essere valutato rispetto alle libertà e i diritti degli interessati, da intendersi non solo con riferimento al diritto alla protezione dei dati ed al diritto alla vita privata, ma anche ad altri diritti fondamentali quali la libertà di parola, la libertà di pensiero, la libertà di circolazione, il divieto di discriminazione, il diritto alla libertà di coscienza e di religione. Lo strumento cardine per la valutazione dell’impatto del rischio di un trattamento sui diritti e sulle libertà degli interessati è il documento sulla valutazione d’impatto sulla protezione dei dati cui all’art. 35 del Regolamento.
L’art. 35 del Regolamento prescrive che il titolare del trattamento debba effettuare, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali, laddove il trattamento, in particolare se prevede l’uso di nuove tecnologie e considerati la natura, l’oggetto, il contesto e le finalità del trattamento, possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche.
L’EDPB, nelle linee guida in materia di valutazione d’impatto sulla protezione dei dati, adottate dal Gruppo di Lavoro Articolo 29, il 4 ottobre 2017, convalidate nella prima Plenaria del 25 maggio 2028 (linee guida WP 248), ha chiarito che “Le valutazioni d’impatto sulla protezione dei dati sono strumenti importanti per la responsabilizzazione in quanto sostengono i titolari del trattamento non soltanto nel rispettare i requisiti del regolamento generale sulla protezione dei dati, ma anche nel dimostrare che sono state adottate misure appropriate per garantire il rispetto del regolamento (cfr. anche l'articolo 24). In altre parole, una valutazione d’impatto sulla protezione dei dati è un processo inteso a garantire e dimostrare la conformità” ed ha precisato, richiamando sia il letterale dettato normativo dell’art. 35 che i considerando 90 e 93 del Regolamento, che “La valutazione d’impatto sulla protezione dei dati va avviata il prima possibile nella fase di progettazione del trattamento anche se alcune delle operazioni di trattamento non sono ancora note”.
L’Autorità ha approvato con provvedimento n. 467 dell’11 ottobre 2018, pubblicato nella Gazzetta Ufficiale, Serie Generale, n. 269 del 19 novembre 2018, l’elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d'impatto sulla protezione dei dati, ai sensi dell’art. 35, par. 4, del Regolamento, includendo espressamente, al punto 7, i trattamenti effettuati attraverso l’uso di tecnologie innovative, tra cui i sistemi di intelligenza artificiale.
Nel caso di specie, il Titolare ha prodotto all’Ufficio, unitamente al riscontro alla prima richiesta di informazioni, una valutazione d’impatto sulla protezione dei dati personali che risulta essere stata redatta in data 14 novembre 2024 e, unitamente al riscontro alla seconda richiesta di informazioni, un aggiornamento della stessa, sottoscritto in data 30 settembre 2025.
Nella DPIA del 14 novembre 2024 la Società dichiara espressamente di aver identificato la necessità di effettuare una valutazione d’impatto a causa dell’utilizzo della tecnologia di intelligenza artificiale generativa per fornire il Servizio.
Nella versione del 14 novembre 2024 della DPIA, come sopra esposto, risulta che Character non ha effettuato alcuna valutazione d’impatto in merito al rischio connesso all’offerta del Servizio ad utenti minorenni (presente, invece, nella versione del 30 settembre 2025) ed in entrambe le versioni risulta che la Società non ha effettuato alcuna valutazione in merito alle operazioni di trattamento per finalità di pre-addestramento dei LLM proprietari, limitandosi a riportare che gli LLM non sono stati “pre-addestrati” su conversazioni o dati degli utenti.
Nella memoria difensiva la Società ha sottolineato che l’obbligo di redigere una DPIA sussiste solo qualora il trattamento comporti un rischio elevato per i diritti e le libertà delle persone fisiche e, dunque, non costituisca un adempimento automatico bensì correlato alla valutazione del rischio. Ha, inoltre, sostenuto che il fatto che la prima DPIA sia stata formalizzata solo nel novembre 2024, a seguito della ricezione della prima richiesta di informazioni dell’Ufficio, “non significa che prima di tale data non fosse stata effettuata una valutazione dei rischi”.
L’Autorità osserva come, nel caso di specie, il rischio elevato per i diritti e le libertà delle persone fisiche debba considerarsi presunto in virtù del dettato letterale dell’art. 35 e della sua interpretazione fornita dall’EDPB e dal Garante nei rispettivi documenti sopra richiamati.
In particolare, nelle linee guida citate l’EDPB ha individuato nove criteri da tenere in considerazione ai fini dell’identificazione dei trattamenti che possono presentare un “rischio elevato”: 1) valutazione o assegnazione di un punteggio, inclusiva di profilazione e previsione, in particolare in considerazione di “aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti dell’interessato”; 2) processo decisionale automatizzato che ha effetto giuridico o incide in modo analogo significativamente sulle persone; 3) monitoraggio sistematico degli interessati; 4) dati sensibili o dati aventi carattere altamente personale; 5) trattamento di dati su larga scala; 6) creazione di corrispondenze o combinazione di insiemi di dati; 7) dati relativi a interessati vulnerabili; 8) uso innovativo o applicazione di nuove soluzioni tecnologiche od organizzative; 9) quando il trattamento in sé “impedisce agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto”: L’EDPB ha precisato la sussistenza di due o più dei predetti criteri è indice di un trattamento che presenta un rischio elevato per i diritti e le libertà degli interessati e per il quale è quindi richiesta una valutazione d’impatto sulla protezione dei dati, ma ha aggiunto che, in alcuni casi, “un titolare del trattamento può ritenere che un trattamento che soddisfa soltanto uno di questi criteri richieda una valutazione d'impatto sulla protezione dei dati” (cfr. linee guida pagg. da 9 a 12).
Nell’elenco (non esaustivo, in quanto restano ferme le indicazioni dell’EDPB sopra riportate) delle tipologie di trattamenti, soggetti al meccanismo di coerenza, da sottoporre a valutazione d’impatto, allegato al provvedimento n. 467 dell’11 ottobre 2018 adottato ai sensi dell’art. 35, par. 4, del Regolamento, il Garante ha espressamente previsto che la valutazione d’impatto è obbligatoria con riferimento a trattamenti effettuati attraverso l’uso di tecnologie innovative (es. IoT; sistemi di intelligenza artificiale; utilizzo di assistenti vocali on-line attraverso lo scanning vocale e testuale; monitoraggi effettuati da dispositivi wearable; tracciamenti di prossimità come ad es. il wi-fi tracking) ogniqualvolta ricorra almeno un altro dei criteri individuati dall’EDBP.
Nel caso di specie, l’Autorità ritiene che Character avrebbe dovuto effettuare la valutazione d’impatto prima del lancio stesso del Servizio nel settembre 2022 in quanto il rischio per le libertà ed i diritti delle persone fisiche doveva presumersi elevato atteso che il trattamento riguardava l’uso di una tecnologia particolarmente innovativa come l’intelligenza artificiale generativa (criterio di per sé sufficiente), un trattamento di dati su larga scala (per lo sviluppo dei LLM proprietari) e dati personali relativi a interessati vulnerabili (utenti minorenni).
Peraltro, anche volendo accedere alla tesi difensiva secondo cui la valutazione del rischio fosse necessaria e sia stata condotta mediante non documentate valutazioni interne del rischio che avrebbero coinvolto vari team interdisciplinari sin dal 2022 (e solo semplicemente formalizzata il 14 novembre 2024), l’Autorità ritiene che le argomentazioni difensive non siano recepibili per due ordini di motivazioni.
Innanzitutto, il principio di accountability trova applicazione esattamente in circostanze come quella descritta da Character al fine di permettere al titolare di dimostrare di aver rispettato il Regolamento mediante la predisposizione di una DPIA e non attraverso non meglio precisate e documentate valutazioni interne aziendali.
In secondo luogo, il fatto che la prima DPIA - tardiva anche volendo assumere come dies a quo dell’obbligo l’8 aprile 2024, data del lancio del Servizio in Italia - fosse carente sia con riferimento al trattamento dei dati dei minorenni che al trattamento per finalità di pre-addestramento dei LLM proprietari, dimostra che la Società non aveva comunque effettuato correttamente la valutazione del rischio.
Per quanto sopra rappresentato, l’Autorità ritiene che Character abbia violato gli artt. 5, par. 2, e dell’art. 35, par. 1, del Regolamento per avere adottato tardivamente, essendone tenuta, la valutazione d’impatto sulla protezione dei dati personali.
Per completezza, l’Autorità dà atto che la Società ha, in sede di audizione, rappresentato di aver aggiornato la DPIA in data 7 febbraio e 30 settembre 2025 e, pertanto di aver progressivamente migliorato, anche sotto tale profilo, la compliance al Regolamento.
3.6 Violazione dell’art. 27, par. 1 e 4, del Regolamento
L’Ufficio ha contestato a Character la violazione dell’art. 27, parr. 1 e 4, del Regolamento per aver designato tardivamente, essendone tenuta, la società VeraSafe Ireland Ltd. quale proprio rappresentante nell’Unione europea, ai sensi e per gli effetti di cui all’art. 27 del Regolamento e per aver indicato nella privacy policy del 27 agosto 2025 un link di contatto che rimanda ad una pagina web irraggiungibile in tal modo rendendo, di fatto, impossibile ogni interlocuzione online con il rappresentante designato.
L’art. 27, par. 1, del Regolamento prescrive che il titolare, qualora non sia stabilito nell’Unione europea, è tenuto a designare per iscritto un rappresentante nell’Unione che, ai sensi del paragrafo 4, funge da interlocutore, in aggiunta o in sostituzione del titolare, delle autorità di controllo e degli interessati.
Dalla documentazione allegata al secondo riscontro della Società, specificamente dal Verasafe Master Services Agreement, risulta che la designazione scritta della società irlandese VeraSafe, quale rappresentante ex art. 27 del Regolamento, è stata perfezionata in data 31 maggio 2025. L’Autorità rileva, pertanto, la Società ha adempiuto all’obbligo di cui all’art. 27 del Regolamento solamente in data 31 maggio 2025, sebbene offrisse pacificamente il Servizio ad interessati dell’area SEE in epoca anteriore, circostanza desumibile dalla predisposizione di un supplemento regionale europeo alla privacy policy del 27 ottobre 2023, e lo offrisse specificamente ad interessati italiani sin dall’8 aprile 2024, circostanza riferita dalla Società stessa in sede di audizione.
La tesi espressa dal Titolare nella memoria difensiva secondo cui, nel caso di specie, troverebbe applicazione il disposto di cui all’art. 27, par. 2, del Regolamento che esclude l’onere di designazione del rappresentante nell’ipotesi di trattamenti occasionali, non consente di superare le valutazioni sostenute dall’Ufficio in sede di contestazione. L’Autorità ritiene, infatti, che tale eccezione non possa essere applicata alla fattispecie in esame in quanto i) non può essere considerato occasionale il trattamento di dati personali connesso ad un Servizio reso, dall’8 aprile 2024, in lingua italiana (circostanza peraltro riscontrata anche dall’Ufficio nel corso dell’accertamento tecnico effettuato in data 8 aprile 2025), ii) il trattamento di dati personali per finalità di pre-addestramento dei LLM proprietari deve essere qualificato su larga scala ed infine iii) non avendo contestato la sussistenza della giurisdizione europea e dunque l’applicabilità dell’art. 3, par. 2, lett. a), del Regolamento, la Società ha implicitamente avallato l’applicabilità dell’art. 27 del Regolamento.
Quanto alla violazione dell’art. 27, par. 4, l’Ufficio ha verificato, come risulta dal verbale di accertamento online in data 7 novembre 2025 (prot. n. 148338/25), che il link di contatto online di VeraSafe, inserito nella privacy policy del 27 agosto 2025, rimandava ad una pagina web irraggiungibile (dicitura di errore tecnico: “404 page non found”) in tal modo rendendo, di fatto, impossibile ogni interlocuzione online con il rappresentante designato.
La Società, nella memoria difensiva, ha confermato l’esistenza di un problema tecnico di funzionamento del collegamento ipertestuale inserito nella privacy policy, ma ha contestato la valutazione dell’Ufficio osservando da un lato come gli interessati fossero comunque in grado di contattare il rappresentante tramite l’indirizzo email ed il numero di telefono riportati in calce alla pagina web raggiunta tramite il link errato e dall’altro come il mancato funzionamento del contatto fosse sussumibile quale “piccolo errore materiale” ininfluente sulla sostanza ed accessibilità delle informazioni.
L’Autorità ritiene che le argomentazioni difensive possano trovare accoglimento atteso che, sebbene privati del mezzo più agevole di comunicazione, gli interessati potevano comunque contattare VeraSafe a mezzo posta ordinaria all’indirizzo fisico o telefonicamente al numero di telefono pubblicati sulla privacy policy del 27 agosto 2025. La violazione contestata, dunque, non raggiuge la soglia di integrazione oggettiva, trattandosi di un errore materiale nella trascrizione dell’indirizzo http che non ha inciso sulla sostanza dei diritti degli utenti di Character.AI e che non può essere imputato soggettivamente al Titolare neppure a titolo di colpa.
Sulla scorta di quanto sopra, anche alla luce del fatto che la Società ha immediatamente provveduto a correggere l’errore materiale, l’Autorità ritiene che Character non abbia violato l’art. 27, par. 4, del Regolamento.
In conclusione, quanto alla nomina del rappresentante nell’Unione europea, ai sensi e per gli effetti di cui all’art. 27 del Regolamento, l’Autorità ritiene che Character abbia violato l’art. 27, par. 1, del Regolamento per aver designato tardivamente, essendone tenuta, la società VeraSafe Ireland Ltd. quale proprio rappresentante nell’Unione europea, ma non l’art. 27, par. 4, del Regolamento atteso che la carenza rilevata deve considerarsi mero errore materiale che non ha inciso sostanzialmente sui diritti degli interessati ed è stato dal Titolare prontamente corretto.
4. CONCLUSIONI
Alla luce delle considerazioni sopra esposte risultano confermati i profili oggetto di contestazione con l’atto di avvio del procedimento di cui all’art. 166 del Codice, in quanto le dichiarazioni rese nel corso dell’istruttoria e le difese addotte non sono risultate idonee a superare i rilievi formulati dall’Ufficio (e non ricorre alcuno dei casi previsti dall’art. 11 del regolamento n. 1/2019) con riferimento alle violazioni di cui agli artt. 5, par. 2; 12, par. 1; 13, parr. 1 e 2; 14, parr. 1 e 2; 24, par. 1; 25, par. 2; 27, par. 1 e 35, par. 1, del Regolamento.
Pertanto, l’Autorità rileva l’illiceità della condotta posta in essere dal Titolare per aver:
1) omesso di fornire, sia nell’ambito della privacy policy del 23 ottobre 2023 che in quella aggiornata del 27 agosto 2025, informazioni chiare, intellegibili e complete in merito alle varie operazioni di trattamento, in violazione degli artt. 12, par. 1, 13, parr.1 e 2 e 14, parr.1 e 2 del Regolamento;
2) omesso di fornire una adeguata informativa agli interessati italiani in merito alle operazioni di trattamento finalizzate al pre-addestramento dei LLM proprietari, in violazione degli artt. 14, parr. 1 e 2 del Regolamento;
3) omesso di adottare misure tecniche ed organizzative adeguate, per impostazione predefinita, di verifica dell’età nel periodo compreso tra l’8 aprile 2024 ed il novembre 2024, nonché con riferimento agli utenti infra-sedicenni italiani nel periodo compreso tra l’8 aprile 2024 e l’8 aprile 2025, in violazione degli artt. 24, par. 1 e 25, par. 2, del Regolamento;
4) adottato tardivamente, essendone tenuta, la valutazione d’impatto sulla protezione dei dati personali, in violazione degli artt. 5, par. 2 e 35, par. 1, del Regolamento;
5) designato tardivamente, essendone tenuta, la società VeraSafe Ireland Ltd. quale proprio rappresentante nell’Union europea, in violazione dell’art. 27, par. 1, del Regolamento.
L’Autorità non ritiene, invece, integrate le contestate violazioni di cui all’art. 21, parr. 1 e 4 e di cui all’art. 27, par. 4, del Regolamento.
5. MISURE CORRETTIVE
L’accertamento della violazione delle predette disposizioni del Regolamento impone, in relazione ad alcune specifiche condotte che non hanno esaurito i loro effetti alla data del presente provvedimento, l’adozione di alcune misure correttive, ai sensi dell’art. 58, par. 2, del Regolamento, segnatamente un ordine alla messa in conformità ex art. 58, par. 2, lett. d), del Regolamento e rende altresì applicabile, ai sensi degli artt. 58, par. 2, lett. i), del Regolamento, la sanzione amministrativa pecuniaria prevista dall’art. 83, par. 3 e 5, del Regolamento, non potendosi ravvisare, nel caso di specie, i presupposti per la qualificazione delle violazioni accertate come “minori”, ai sensi del considerando 148 del Regolamento e della più recente giurisprudenza della Corte di Giustizia dell’Unione europea.
L’art. 58, par. 2, del Regolamento prevede in capo al Garante una serie di poteri correttivi, di natura prescrittiva e sanzionatoria, da esercitare nel caso in cui venga accertato un trattamento illecito di dati personali. Tra questi poteri, l’art. 58, par. 2, lett. d), del Regolamento prevede il potere di “ingiungere al titolare del trattamento … di conformare i trattamenti alle disposizioni del presente regolamento, se del caso, in una determinata maniera ed entro un determinato termine”.
Da quanto rilevato e ritenuto nei paragrafi che precedono è emerso che Character ha violato gli artt. 5, par. 2; 12, par. 1; 13, parr. 1 e 2; 14, parr. 1 e 2; 24, par. 1; 25, par. 2; 27, par. 1 e 35, par. 1, del Regolamento ma che, nel corso dell’istruttoria, ha spontaneamente adottato alcune misure volte a porre rimedio alle criticità sollevate dall’Autorità nelle tre richieste di informazioni e nell’atto di avvio del procedimento ex art. 166 del Codice. Altre misure, segnatamente alcune modifiche alla privacy policy, sono state adottate spontaneamente successivamente all’atto di avvio del procedimento ex art. 166 del Codice e nelle more dell’adozione del presente provvedimento. Di tali misure, che assicurano la parziale conformità del trattamento alla normativa in materia di protezione dei dati personali, si terrà debitamente conto nel paragrafo che segue relativo alla determinazione della sanzione amministrativa. Residuano, tuttavia, le seguenti condotte che non hanno esaurito i loro effetti e che impongono la prescrizione di adeguate misure correttive.
Con riferimento alla violazione degli artt. 12, par. 1, 13, parr. 1 e 2 e 14, parr. 1 e 2, relativamente gli obblighi informativi in merito alle varie operazioni di trattamento effettuate attraverso il Servizio a favore degli utenti, l’Autorità ritiene che, nonostante le revisioni di recente apportate al testo dell’informativa ed al relativo supplemento regionale, che risultano indubbiamente migliorati in termini di chiarezza e fruibilità, la privacy policy in vigore alla data del presente provvedimento (versione effettiva dal 1° luglio 2026) continua a non essere conforme alla normativa in materia di protezione dei dati personali, nella misura in cui:
i) sebbene associ in modo chiaro ad ogni categoria di dati personali trattati, la corrispondente basa giuridica e la rispettiva finalità del trattamento, alcune basi giuridiche appaiono ancora poco chiare o fuorvianti (ad esempio, il riferimento al consenso “richiesto dalla legge”, oppure alla base giuridica del consenso per l’invio di comunicazioni personalizzate, inserito tuttavia nella tabella relativa alla personalizzazione dei servizi, basata sul legittimo interesse, oppure ancora alla base giuridica dell’adempimento di un obbligo legale per i trattamenti finalizzati alla verifica dell’età nell’uso del Servizio);
ii) sebbene indichi in modo più chiaro i criteri utilizzati per determinare i periodi di conservazione dei dati in quanto collegati alle finalità di trattamento, le quali sono state a loro volta più puntualmente delineate, risulta ancora carente l’indicazione dei criteri di conservazione nell’ambito di ogni finalità (ad esempio, i tempi di conservazione delle chat o dei dei dati utilizzati per verificare l’età) nonché l’indicazione delle conseguenze della cessazione della conservazione (ad esempio, eventuali periodi di conservazione tecnica dopo la cancellazione effettuata dall’utente oppure eventuali forme di anonimizzazione o aggregazione dei dati di cui è cessato il trattamento); l’inserimento di esempi specifici consentirebbe, in assenza di dati temporali precisi, agli utenti di comprendere con una maggiore chiarezza i tempi di conservazione;
iii) nonostante le modiche apportate, risulta ancora carente in merito ai Paesi extra UE a cui i dati personali degli utenti possono essere traferiti e sulla base di quale decisione di adeguatezza o altra garanzia appropriata ai sensi del Capo V del Regolamento; in particolare, considerato che pare verosimile un trasferimento di dati personali negli U.S.A., risulta carente l’indicazione espressa della decisione di adeguatezza applicabile; l’inserimento di un link di contatto consentirebbe di agevolare gli utenti della richiesta di maggiori informazioni in merito alle garanzie adottate nelle ipotesi di trasferimento di dati in Paesi terzi ;
iv) indica in modo fuorviante, in quanto suscettibile di generare negli interessati italiani un errato convincimento, l’esistenza di un trattamento di dati personali per finalità di post-addestramento dei LLM sottesi al servizio, non distinguendo tra utenti dell’area SEE e utenti residenti negli U.S.A., sebbene tale trattamento, alla data del … OMISSIS, non era ancora stato iniziato;
v) in ogni caso, nell’ipotesi in cui il predetto trattamento sia stato medio tempore iniziato, non indica in modo chiaro e facilmente accessibile per gli utenti italiani le modalità per esercitare il diritto di opposizione al trattamento per finalità di post-addestramento, essendo tale diritto descritto nella parte iniziale del supplemento regionale, rivolta anche agli utenti residenti negli U.S.A. e la pagina di atterraggio del link ivi previsto risulta pubblicata esclusivamente in lingua inglese.
Pertanto, ai sensi dell’articolo 58, par. 2, lett. d), del Regolamento, l’Autorità ingiunge al Titolare di conformare la propria privacy policy al Regolamento, segnatamente agli artt. 12, par. 1, 13, parr. 1 e 2 e 14, parr. 1 e 2, dello stesso, ponendo rimedio alle lacune sopra indicate.
Con riferimento alla violazione degli artt. 14, parr. 1 e 2 del Regolamento relativamente agli obblighi informativi nei confronti di interessati italiani in merito alle operazioni di trattamento finalizzate al pre-addestramento dei LLM proprietari, preso atto che tale trattamento è cessato a far data dal … OMISSIS, l’Autorità ingiunge al Titolare, ai sensi dell’articolo 58, par. 2, lett. d), del Regolamento, di conformare al Regolamento la conservazione dei dati personali riferiti ad interessati italiani raccolti per la predetta finalità, valutando l’eventuale sussistenza di una finalità diversa ma compatibile con quella per la quale i dati personali erano stati raccolti, ai sensi ed alle condizioni previste dall’art. 6, par. 4, del Regolamento o, in assenza, disponendone l’integrale cancellazione.
Con riferimento violazione degli artt. 24, par. 1 e 25, par. 2, del Regolamento relativamente alle misure tecniche ed organizzative di verifica dell’età, preso atto delle significative modifiche apportate medio tempore dalla Società, l’Autorità ingiunge al Titolare, ai sensi dell’articolo 58, par. 2, lett. d), del Regolamento, di conformarsi al Regolamento, garantendo i) il corretto funzionamento rispetto agli utenti italiani delle misure di sbarramento all’accesso al Servizio (age gate) all’età di sedici anni, come previsto per gli utenti dell’area SEE; ii) il corretto funzionamento del periodo … OMISSIS per impedire ulteriori tentativi di registrazione da parte di utenti minorenni che al primo accesso sono stati bloccati in quanto hanno dichiarato un’età inferiore al minimo previsto nell’area SEE (sedici anni); iii) la predisposizione del profilo dei minorenni in modalità privata by default.
6. ORDINANZA-INGIUNZIONE
Ai sensi degli artt. 58, par. 2, lett. i), del Regolamento e 166 del Codice, il Garante ha il potere di infliggere una sanzione amministrativa pecuniaria ai sensi dell’art. 83 del Regolamento, mediante l’adozione di una ordinanza ingiunzione (cfr. artt. 18, l. 24 novembre 1981, n. 689 e 16, co. 1, del regolamento del Garante n. 1/2019).
Nella determinazione della sanzione l’Autorità tiene conto dei principi e dell’interpretazione in materia fornita dall’EDPB nelle linee guida n. 4/2022 sul calcolo delle sanzioni amministrative pecuniarie, versione 2.1, adottate il 24 maggio 2023.
6.1. Valutazione della condotta e individuazione della sanzione applicabile
Sulla scorta delle argomentazioni sopra addotte, l’Autorità ha accertato la violazione delle seguenti disposizioni del Regolamento: artt. 5, par. 2; 12, par. 1; 13, parr. 1 e 2; 14, parr. 1 e 2; 24, par. 1; 25, par. 2; 27, par. 1 e 35, par. 1, del Regolamento.
Nel caso di specie, occorre innanzitutto rilevare che la Società ha posto in essere una serie di condotte che hanno integrato più violazioni, come nei paragrafi precedenti specificamente delineate e motivate. La violazione delle predette disposizioni ha avuto luogo in conseguenza di trattamenti tra loro collegati (cfr. linee guida dell’EDPB n. 4/2022, par. 28) e possono pertanto essere ricondotte, per il principio di unità dell’azione, sotto l’egida dell’art. 83, par. 3, del Regolamento, ai sensi del quale in presenza di più violazioni, relative allo stesso trattamento o a trattamenti collegati, l’importo totale della sanzione amministrativa pecuniaria non può superare l’importo previsto per la violazione più grave. Nel caso di specie, la violazione più grave tra quelle sopra menzionate deve essere ravvisata nella violazione degli obblighi di trasparenza atteso che gli artt. 12, 13 e 14 (diritti degli interessati) sono sanzionati ai sensi dell’art. 83, par. 5, il quale fissa il massimo edittale della sanzione pecuniaria nella somma di 20 milioni di euro ovvero, per le imprese, nel 4% del fatturato mondiale annuo dell’esercizio precedente, ove superiore.
6.2. Quantificazione della sanzione amministrativa pecuniaria (art. 83, par. 2, del Regolamento)
Ai sensi dell’art. 83, par. 1, del Regolamento, la sanzione amministrativa deve essere effettiva, proporzionata e dissuasiva in relazione al singolo caso.
Nelle citate linee guida l’EDPB ha precisato che il calcolo delle sanzioni amministrative pecuniarie debba iniziare da un punto di partenza armonizzato, che costituisce la base iniziale per l’ulteriore calcolo dell’ammontare della sanzione, in cui sono prese in considerazione e ponderate tutte le circostanze del caso (cfr. par. 46). Il punto di partenza armonizzato deve prendere in considerazione tre fattori: 1) natura della violazione; 2) gravità della violazione; 3) fatturato dell’impresa (cfr. par. 48).
Partendo dal primo profilo relativo alla natura della violazione (gravità in astratto), nel caso di specie, delle cinque violazioni accertate, tre violazioni sono di natura più grave (art. 83, par. 5, del Regolamento) in quanto relative ad un principio base del trattamento (accountability connesso alla redazione della DPIA) e ai diritti (di informazione) degli interessati mentre due sono di natura meno grave (art. 83, par. 4, del Regolamento) in quanto relative agli obblighi del titolare del trattamento (misure di sicurezza e designazione del rappresentante).
Con riferimento alla gravità della violazione (in concreto), gli elementi da prendere in considerazione sono:
a) natura, gravità e durata della violazione, tenuto conto di natura, oggetto e finalità del trattamento, del numero di interessati lesi dal danno e il livello di danno da essi subito (art. 83, par. 2, lett. a), del Regolamento);
b) carattere doloso o colposo della violazione (art. 83, par. 2, lett. b), del Regolamento);
c) categorie di dati personali interessate dalla violazione (art. 83, par. 2, lett. g), del Regolamento).
Nella fattispecie in esame, quanto al punto a), l’Autorità rileva quanto segue: i) la natura dei trattamenti collegati oggetto di giudizio comporta rischi elevati ai diritti ed alle libertà delle persone fisiche in quanto connesso ad una tecnologia innovativa quale l’intelligenza artificiale generativa applicata ad un servizio di intrattenimento, offerto anche a soggetti minorenni; ii) l’oggetto del trattamento è di natura transfrontaliera con portata globale ed effetti praticamente incontrollabili da parte dei soggetti interessati; iii) tutte le finalità dei trattamenti oggetto del presente procedimento rientrano nel core business della Società; iv) il numero di interessati convolti deve essere circoscritto al numero degli utenti italiani attivi giornalieri, quantificato dalla Società stessa, con nota del 30 aprile 2026, in … OMISSIS utenti; v) non risulta provato alcun danno concreto per gli interessati italiani con riferimento alla prima ed alla quarta contestazione; vi) la durata della violazione è duratura con riferimento al trattamento per finalità di pre-addestramento dei LLM proprietari della Società, ma limitata con riferimento alle altre quattro violazioni atteso che il Servizio è stato reso disponibile agli interessati italiani dall’8 aprile 2024.
Quanto al punto b), l’Autorità ritiene che tutte le violazioni accertate debbano considerarsi di natura colposa. Come affermato dal Gruppo di lavoro Art. 29, nelle linee guida riguardanti l’applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del regolamento (UE) n. 2016/679, adottate il 3 ottobre 2017 e recepite dall’EDPB il 25 maggio 2018 (linee guida WP 253), il comportamento doloso si riferisce sia alla consapevolezza che all’intenzionalità (coscienza e volontà) di commettere un illecito, mentre nel comportamento colposo manca l’intenzione di causare la violazione nonostante il mancato rispetto di un obbligo di diligenza. La Corte di Giustizia dell’Unione europea (CGUE), con pronuncia del 5 dicembre 2023 (sentenza C-807/21), ha stabilito che è onere dell’autorità di controllo stabilire che una violazione sia stata commessa con dolo o colpa dal titolare del trattamento in quanto solo le violazioni illecite possono comportare l’imposizione di una sanzione amministrativa pecuniaria. A tal proposito si precisa che la CGUE ha sancito nella menzionata decisione che l’art. 83 del Regolamento non consente di infliggere una sanzione amministrativa pecuniaria senza che sia accertato che tale violazione sia stata commessa con dolo o colpa dal titolare del trattamento (cfr. par. 75). La stessa Corte ha fatto salvo il basilare principio “ignorantia legis non excusat”, affermando che “un titolare del trattamento può essere sanzionato per un comportamento ricadente nell’ambito di applicazione del RGPD qualora detto titolare non potesse ignorare il carattere illecito del proprio comportamento, a prescindere dalla sua consapevolezza di violare le disposizioni del RGPD” (cfr. par. 76). Tale principio era già stato enunciato dalla Corte di Giustizia in un altro caso (sentenza C-601/16 del 25 marzo 2021, par. 97 e 98) in cui aveva statuito che “un’impresa può essere sanzionata per un comportamento rientrante nell’ambito di applicazione dell’articolo 101, paragrafo 1, TFUE qualora tale impresa non potesse ignorare il carattere anticoncorrenziale del suo comportamento, indipendentemente dal fatto che fosse o meno consapevole di violare le regole di concorrenza del Trattato” (cfr., in senso conforme, anche CGUE, sentenza C-681/11 del 18 giugno 2013, par. 37). Nel caso di specie, dunque, non possono trovare accoglimento le argomentazioni difensive espresse sul tema in quanto Character non poteva, nel momento in cui il suo Servizio è stato lanciato, ma specialmente quando è stato offerto espressamente (anche) ad utenti che si trovano nell’Unione europea e segnatamente in Italia, esimersi da un dovere di conoscenza e di applicazione del Regolamento che, come noto, tutela un diritto fondamentale previsto e protetto dall’art. 8 della Carta dei diritti fondamentali dell’Unione europea, considerato che il trattamento di dati personali rappresenta il core business aziendale. Prova della consapevolezza in capo alla Società dell’obbligo di diligenza del rispetto del Regolamento emerge, de plano, dall’inserimento, nella privacy policy del 25 ottobre 2023, di una appendice regionale al testo principale dell’informativa che comprendeva specificatamente la legislazione europea in materia di data protection. Alla luce delle circostanze del caso concreto, del contesto in cui opera il Titolare e della tecnologia dirompente e in rapida espansione sottesa all’attività imprenditoriale dello stesso, l’Autorità ritiene che la mancata conformità del trattamento di dati personali alla normativa euro-unitaria integri la negligenza sottesa al concetto di colpa e dimostri la sussistenza di tale elemento soggettivo in capo alla Società. Tale colpa deve, tuttavia, essere considerata non grave in considerazione dell’attenzione e delle risorse stanziate e rivolte al progressivo miglioramento della compliance al Regolamento, non solo dichiarate in sede in audizione, ma dimostrate dalla documentazione (e dagli aggiornamenti della stessa) prodotta, anche spontaneamente, nel corso dell’istruttoria e dopo l’atto di avvio del procedimento ex art. 166 del Codice.
Quanto al punto c), l’Autorità osserva come dall’istruttoria non sia emerso, in particolare, un trattamento di categorie particolari di dati ma, per contro, rileva come, in assenza di validi meccanismi di verifica dell’età in fase di registrazione e, in fase di utilizzo del Servizio, fino al novembre 2025, sia invece stato effettuato, senza le dovute misure di sicurezza, il trattamento di dati personali riferiti a soggetti minorenni e vulnerabili.
Tenuto conto degli elementi sopra riportati, riconducibili all’art. 83, par. 2, lett. a), b) e g), del Regolamento, si ritiene che, nel caso di specie, il livello di gravità (in concreto) della violazione commessa dal titolare del trattamento sia da considerare di livello medio (cfr. linee guida n. 4/2022, par. 60).
Ciò premesso, l’Autorità rileva ancora che Character può essere qualificata come una start-up atteso che impiega … OMISSIS persone, opera in un mercato fortemente competitivo e particolarmente “aggressivo” occupato da società dotate di ben altre dimensioni e risorse, ha un fatturato annuo … OMISSIS.
Ai fini della quantificazione della sanzione, l’Autorità ritiene, infine, che debbano essere prese in considerazione i seguenti fattori attenuanti.
- attenuante di cui all’art. 83, par. 2, lett. c), del Regolamento per aver il Titolare adottato misure per attenuare il danno con riferimento al profilo dell’age verification mediante l’adozione ed il progressivo rafforzamento delle misure implementate, in particolare l’introduzione di un Servizio dedicato ai minorenni ed un sistema di age assurance con verifica dell’età, in seconda battuta, affidata ad un fornitore terzo;
- attenuante di cui all’art. 83, par. 2, lett. e), del Regolamento per non avere il Titolare riportato precedenti violazioni pertinenti;
- attenuante di cui all’art. 83, lett. f), del Regolamento per avere il Titolare cooperato con l’Autorità, durante l’intera fase istruttoria ed anche successivamente all’atto di avvio del procedimento ex art. 166 del Codice, al fine di porre rimedio alle violazioni contestate, in un quadro tecnico-giuridico innovativo, difficile ed in evoluzione, circostanza che, pur non escludendo alcun profilo di responsabilità, rende sicuramente apprezzabile ogni iniziativa volta a migliorare la compliance al Regolamento; nello specifico, si considerano elementi specifici e pertinenti ad integrare il fattore attenuante de quo: i) le modifiche apportate alla privacy policy al fine di rimediare, sebbene non interamente, alle criticità rilevate dall’Ufficio, ii) le informazioni rese agli interessati dell’area SEE in vista del trattamento dei loro dati personali per finalità di post-addestramento dei LLM sottesi al Servizio con facoltà di esercitare preventivamente il diritto di opposizione conformemente alle raccomandazioni espresse dall’EDPB nel parere n. 28/24 e iii) le comunicazioni spontanee inviate all’Ufficio.
Nel caso di specie, si ritiene, infine, che assumano rilevanza le condizioni economiche del Titolare del trattamento, alla luce dell’ammontare … OMISSIS.
In ragione dei suddetti elementi, valutati nel loro complesso ed in base ai principi di effettività, proporzionalità e dissuasività previsti dall’art. 83, par. 1, del Regolamento, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 158.000,00 (centocinquantottomila) per la violazione degli artt. 5, par. 2; 12, par. 1; 13, parr. 1 e 2; 14, parr. 1 e 2; 24, par. 1; 25, par. 2; 27, par. 1 e 35, par. 1, del Regolamento.
Si ritiene che, ai sensi dell’art. 166, co. 7, del Codice e dell’art. 16, co. 1, del regolamento del Garante n. 1/2019, si debba applicare la sanzione accessoria della pubblicazione del presente capo del provvedimento contenente l’ordinanza-ingiunzione sul sito internet del Garante, in ragione dei rischi in termini di protezione dei dati personali connessi alla messa a disposizione del pubblico di un servizio basato su una tecnologia innovativa e complessa come l’intelligenza artificiale generativa, in carenza delle dovute salvaguardie, nonché in ragione dell’esistenza di un interesse generale rispetto alla tematica in argomento che impone la più ampia conoscibilità della posizione dell’Autorità in materia.
PER QUESTI MOTIVI
- ai sensi degli artt. 57 e 83 del Regolamento, si dichiara l’illiceità della condotta posta in essere da Character Tecnologies, Inc., con sede legale in #1152, 700 El Camino Real, Suite 120, Menlo Park CA 94025, U.S.A, per la violazione degli artt. artt. 5, par. 2; 12, par. 1; 13, parr. 1 e 2; 14, parr. 1 e 2; 24, par. 1; 25, par. 2; 27, par. 1 e 35, par. 1, del Regolamento, nei termini di cui in motivazione;
- ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, si prescrive al Titolare di conformarsi, entro il termine di 120 giorni dalla data della notifica del presente provvedimento, alle prescrizioni formulate al paragrafo 5 del presente provvedimento.
- ai sensi dell’art. 157 del Codice, si ingiunge al Titolare di comunicare all’Autorità, nel termine di 120 giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione alle misure correttive di cui al punto che precede; l’eventuale mancato adempimento a quanto disposto nel presente punto può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento
SI ORDINA
ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, al predetto Titolare, di pagare la somma di euro 158.000,00 (centocinquantottomila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione.
SI INGIUNGE
al predetto Titolare, in caso di mancata definizione della controversia, ai sensi dell’art. 166, co. 8, del Codice, di pagare la somma di euro 158.000,00 (centocinquantottomila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981.
Si rappresenta che, ai sensi dell’art. 166, co. 8, del Codice, resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento - sempre secondo le modalità indicate in allegato - di un importo pari alla metà della sanzione irrogata entro il termine di cui all’art. 10, comma 3, del d.lgs. 1° settembre 2011, n. 150 previsto per la proposizione del ricorso come di seguito indicato.
SI DISPONE
ai sensi dell’art. 154-bis, co. 3, del Codice e dell’art. 37 del regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet del Garante;
ai sensi dell’art. 166, co. 7, del Codice e dell’art. 16, co. 1, del regolamento del Garante n. 1/2019, la pubblicazione dell’ordinanza ingiunzione sul sito internet del Garante;
ai sensi dell’art. 17 del regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2, del Regolamento nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u), del Regolamento.
Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento è possibile proporre opposizione all’autorità giudiziaria ordinaria, con ricorso depositato presso il tribunale ordinario del luogo individuato nel medesimo art. 10, a pena di inammissibilità, entro il termine di trenta giorni dalla data di comunicazione del provvedimento ovvero entra sessanta giorni se il ricorrente risiede all’estero.
Roma, 3 luglio 2026
IL PRESIDENTE
Stanzione
IL RELATORE
Stanzione
IL SEGRETARIO GENERALE
Montuori
Condividi