Deepfake, il Garante privacy richiama alla prudenza: attenzione a voce e immagini di terzi. Rischio frodi, diffamazione e furto d’identità

Il Garante per la protezione dei dati personali ha adottato una delibera, pubblicata sulla Gazzetta Ufficiale dell’8 gennaio, che contiene un avvertimento rivolto a chi utilizza servizi di generazione di contenuti multimediali basati su intelligenza artificiale e in grado di manipolare la realtà, i cosiddetti deepfake.

Il provvedimento riguarda in particolare quei sistemi che permettono di creare audio, foto o video partendo da voci o immagini reali di terze persone, anche non famose, e di condividere poi tali contenuti sulle principali piattaforme social.

Il Garante ricorda che questi strumenti possono attribuire a una persona frasi, idee o comportamenti che non corrispondono alla sua volontà, incidendo sulla sua «autodeterminazione informativa» e sulla libertà decisionale. La voce e l’immagine vengono qualificate come dati personali ai sensi del Regolamento (UE) 2016/679, e in alcuni casi possono rientrare anche tra i dati biometrici, se usati per l’identificazione univoca dell’interessato.

Rischi per i diritti delle persone

Il documento sottolinea che il funzionamento di questi servizi comporta un trattamento di dati personali relativi a soggetti che, spesso, non sono informati dell’uso della propria voce o immagine da parte di terzi. Ciò espone a rischi elevati per i diritti e le libertà delle persone fisiche, come discriminazioni, furto o usurpazione d’identità, frodi, diffamazione o altri danni economici e sociali significativi.

Il Garante richiama i considerando 39 e 75 del Regolamento, che insistono sulla necessità di sensibilizzare le persone ai rischi del trattamento e di prevenire situazioni in cui l’interessato venga privato del controllo sui propri dati personali. Il provvedimento evidenzia anche il possibile utilizzo dei contenuti artefatti generati con l’intelligenza artificiale in contesti giuridicamente rilevanti, ad esempio per truffe o sostituzione di persona.

Obblighi per chi usa i servizi di IA

Il provvedimento richiama l’attenzione sia sui fornitori sia sugli utilizzatori dei servizi di generazione di contenuti basati sull’intelligenza artificiale. I primi devono tenere conto, già in fase di progettazione, dei principi di protezione dei dati by design e by default, in modo da permettere a titolari e responsabili del trattamento di rispettare gli obblighi derivanti dal Regolamento.

Per gli utilizzatori, il Garante precisa che l’impiego di voce o immagine di terzi, senza adeguata base giuridica e senza aver fornito un’informativa corretta e trasparente agli interessati, può integrare una violazione degli articoli 5, paragrafo 1, 6 e 9 del Regolamento, con possibili conseguenze anche sanzionatorie.

L’avvertimento formale del Garante

Nella parte dispositiva, il Garante, ai sensi dell’articolo 58, paragrafo 2, lettera a) del Regolamento, rivolge un avvertimento a tutte le persone fisiche o giuridiche che utilizzano, come titolari o responsabili, servizi di generazione di contenuti basati su intelligenza artificiale partendo da voci o immagini reali di terzi. Il messaggio è che tali trattamenti, se privi di una condizione di liceità e di un’adeguata informazione agli interessati, possono violare la normativa in materia di protezione dei dati personali.

Il Garante dispone la pubblicazione del provvedimento sulla Gazzetta Ufficiale proprio per assicurare la massima diffusione dell’avvertimento e accrescere il livello di consapevolezza degli utenti rispetto ai rischi connessi ai deepfake e agli strumenti di generazione di contenuti basati sull’intelligenza artificiale.