Gazzetta n. 5 del 8 gennaio 2026 (vai al sommario) GARANTE PER LA PROTEZIONE DEI DATI PERSONALI DELIBERA 18 dicembre 2025 Avvertimento nei confronti degli utilizzatori dei servizi di generazione di contenuti multimediali digitali, audio e video, basati sull'intelligenza artificiale, idonei a manipolare la realta' (deepfake), partendo da voci o immagini reali di terze persone. (Provvedimento n. 789). IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI Nella riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti, e il dott. Luigi Montuori, segretario generale; Visto il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati (di seguito, "Regolamento"); Visto il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al regolamento (UE) 2016/679 (decreto legislativo 30 giugno 2003, n. 196, come modificato dal decreto legislativo 10 agosto 2018, n. 101, di seguito "Codice"); Rilevato che, a seguito di un'attivita' istruttoria avviata d'ufficio, e' stata riscontrata la presenza sul mercato di numerosi servizi che consentono agli utenti di utilizzare la voce o le immagini anche di terze persone - personaggi noti e non - per la generazione di contenuti audio, fotografici e/o audiovisivi basati su tali voci o immagini; Rilevato che tali servizi di generazione artificiale di contenuti consentono anche in molti casi agli utenti di condividere i contenuti cosi' realizzati attraverso le principali piattaforme social; Rilevato, in particolare, che la tecnologia sulla quale tali servizi sono basati e' uno strumento che si avvale dell'intelligenza artificiale per la generazione di contenuti multimediali digitali, audio o video idonei a manipolare la realta' (deepfake); Rilevato, piu' precisamente, che alle persone a cui appartengono le voci e le immagini utilizzate nei deepfake sopra descritti possono essere attribuite idee e pensieri rappresentati con la loro voce parlata e le loro immagini senza che cio' corrisponda effettivamente alla loro volonta' e coscienza; Rilevato, pertanto, che il deepfake, come ricordato dal Garante (https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/95 12278), puo' privare le persone della propria "autodeterminazione informativa" ("cio' che voglio far sapere di me lo decido io"), e incidere sulla loro liberta' decisionale ("quello che penso e faccio e' una scelta su cui gli altri non possono interferire"); Preso atto, quindi, che il funzionamento di tali servizi sottende il trattamento di dati di natura personale, segnatamente della voce e/o delle immagini, che tali dati potrebbero essere riferiti a soggetti terzi rispetto all'utilizzatore del servizio medesimo, i quali potrebbero non essere a conoscenza del trattamento dei loro dati personali; Considerato che il Regolamento si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi, con la esclusione dei trattamenti di dati personali effettuati da una persona fisica per l'esercizio di attivita' a carattere esclusivamente personale o domestico; Considerato che la voce e le immagini di una persona rientrano nella definizione di cui all'art. 4 punto 1) del Regolamento, che definisce «dato personale» "qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che puo' essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o piu' elementi caratteristici della sua identita' fisica, fisiologica, genetica, psichica, economica, culturale o sociale"; Considerato che la voce e le immagini possono, certamente, rientrare dunque fra i cosiddetti identificatori, ovverosia quella categoria di informazioni che hanno un rapporto diretto con la persona identificata (1) e che, dunque, tale identificatore vocale o visivo puo' essere classificato nella categoria dei dati di tipo biometrico se ricorrono alcuni criteri specifici. Questi consistono nella natura del dato, che deve essere riferito a una caratteristica fisica, fisiologica o comportamentale di una persona, e ai mezzi e finalita' del trattamento svolto che devono consistere in un trattamento tecnico con scopo di identificazione univoca (2) ; in questo caso e', pertanto, necessario non solo verificare la sussistenza di una base giuridica ai sensi dell'art. 6 GDPR ma anche di una delle condizioni indicate dall'art. 9.2 GDPR. Condizione necessaria anche nell'ipotesi in cui la voce possa rientrare nel novero delle categorie particolari di dati. Considerato che, ai sensi del considerando 39 del Regolamento, "E' opportuno che le persone fisiche siano sensibilizzate ai rischi, alle norme, alle garanzie e ai diritti relativi al trattamento dei dati personali" e che, nel caso di specie, tale esigenza risulta indifferibile in ragione della presenza di rischi elevati connessi al trattamento di dati personali, segnatamente della voce, riferibili a soggetti terzi, che, verosimilmente, non sono informati del trattamento medesimo; Considerato che i rischi elevati connessi al trattamento in argomento appaiono ulteriormente amplificati in considerazione del potenziale utilizzo dei dati artefatti elaborati mediante strumenti di intelligenza artificiale per scopi giuridicamente rilevanti, come l'uso ingannevole finalizzato alla frode, ovvero la diffamazione e la sostituzione di persona; Considerato che i "rischi per i diritti e le liberta' delle persone fisiche, aventi probabilita' e gravita' diverse, possono derivare da trattamenti di dati personali suscettibili di cagionare un danno fisico, materiale o immateriale, in particolare: se il trattamento puo' comportare discriminazioni, furto o usurpazione d'identita', perdite finanziarie, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale, decifratura non autorizzata della pseudonimizzazione, o qualsiasi altro danno economico o sociale significativo; se gli interessati rischiano di essere privati dei loro diritti e delle loro liberta' o venga loro impedito l'esercizio del controllo sui dati personali che li riguardano" (Considerando 75 del GDPR); Ritenuto opportuno considerare che i fornitori dei servizi di generazione di contenuti artificiali basati sull'utilizzo di voci o immagini di terzi, sin dalla fase di sviluppo, progettazione, selezione e utilizzo di applicazioni, servizi e prodotti basati sul trattamento di dati personali o che trattano dati personali per svolgere le loro funzioni, tengano conto del diritto alla protezione dei dati allorche' sviluppano e progettano tali prodotti, servizi e applicazioni e tengano conto dello stato dell'arte impegnandosi a far si' che i titolari del trattamento e i responsabili del trattamento possano adempiere ai loro obblighi di protezione dei dati (Considerando 78 e art. 25 del GDPR); Ritenuto opportuno, ai sensi dell'art. 58, par. 2, lettera a), del Regolamento e dell'art. 154, comma 1, lettera f), del Codice, rivolgere un avvertimento nei confronti dei potenziali fruitori dei citati servizi basati sull'impiego dell'intelligenza artificiale, evidenziando come il trattamento dei dati personali di soggetti terzi, in particolare della loro voce o della loro immagine, potrebbe verosimilmente configurare una violazione delle disposizioni della normativa in materia di dati personali, segnatamente degli articoli 5, par.1, e 6 del regolamento, con tutte le relative conseguenze, anche di carattere sanzionatorio; Ritenuto opportuno, per le ragioni sopra esplicitate, disporre, ai sensi dell'art. 154-bis, comma 3, del Codice, la pubblicazione del presente provvedimento nella Gazzetta Ufficiale della Repubblica italiana; Vista la documentazione in atti; Viste le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento n. 1/2000; Relatore l'avv. Scorza; Tutto cio' premesso il Garante: a) ai sensi dell'art. 58, par. 2, lettera a), del Regolamento, avverte tutte le persone fisiche o giuridiche che utilizzano, in qualita' di titolari o di responsabili del trattamento, servizi di generazione di contenuti basati sull'intelligenza artificiale partendo da voci o immagini reali di terze persone che tale trattamento dei dati personali, qualora sia effettuato in assenza di una idonea condizione di liceita' e senza che siano preliminarmente fornite agli interessati informazioni corrette e trasparenti, puo', verosimilmente, violare le disposizioni del Regolamento, in particolare gli articoli 5, par. 1, lettera a), 6 e 9 del Regolamento, con tutte le conseguenze, anche di carattere sanzionatorio, previste dalla disciplina in materia di protezione dei dati personali; b) ai sensi dell'art. 154-bis, comma 3, del Codice dispone la pubblicazione nella Gazzetta Ufficiale della Repubblica italiana. Il Presidente Stanzione Il Relatore Scorza Il Segretario generale Montuori (1) "i dati in forma di suoni e immagini costituirebbero dati personali in quanto possono rappresentare informazioni su una persona." (Opinion 4/2007 on the concept of personal data - WP136) (2) «dati biometrici»: i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l'identificazione univoca, quali l'immagine facciale o i dati dattiloscopici; (art. 4.1 n. 14) GDPR)