Il dibattito pubblico sull’Intelligenza Artificiale si trova spesso a confondere questioni che il diritto impone di tenere rigorosamente distinte. La recente notizia della collaborazione tra colossi come OpenAI, Anthropic e Google per contrastare la distillazione illecita dei loro modelli solleva un interrogativo cruciale e allarmante: siamo davvero protetti o potenze straniere come la Cina si stanno “ubriacando” anche dei nostri dati?.
Cos’è la distillazione e il confine della concorrenza sleale
Per inquadrare il problema, bisogna partire dalla “distillazione”: si tratta di una tecnica di per sé legittima che prevede l’utilizzo di un modello avanzato (definito “insegnante”) per addestrarne uno più piccolo ed efficiente (chiamato “studente”). Questa pratica diventa illecita nel momento in cui un soggetto terzo, senza alcuna autorizzazione, replica le capacità proprietarie altrui, aggirando di fatto anni di costosi investimenti in ricerca e sviluppo. Pur configurandosi come una palese e grave forma di concorrenza sleale, questo non rappresenta necessariamente un problema legato alla privacy.
Quando concorrenza e privacy si sovrappongono: il caso DeepSeek Il problema emerge, e i due piani si intersecano pericolosamente, quando nel processo di distillazione transitano dati personali: è il caso di prompt degli utenti utilizzati come dati di training senza il loro consenso, o log di conversazioni che l’azienda rende accessibili tramite le proprie app. Il caso di DeepSeek ha reso questo rischio estremamente concreto, poiché trasferiva i dati raccolti dai cittadini europei sui propri server cinesi. Se quegli stessi dati fossero stati impiegati direttamente per addestrare i modelli IA, ci troveremmo di fronte a una perfetta coincidenza tra la distillazione illecita e la raccolta non autorizzata di informazioni personali.
Il “rigurgito” dei dati e l’impossibilità delle prove legali
Dal punto di vista scientifico, è ampiamente documentato che i Large Language Models (LLM) arrivano a memorizzare frammenti dei dati di training, inclusi i dati personali degli utenti.
Tuttavia, nonostante questa evidenza scientifica, ad oggi non esiste alcuna stima quantitativa del fenomeno. A complicare ulteriormente il quadro probatorio si aggiunge il fatto che i dataset cinesi non sono di dominio pubblico; di conseguenza, la “catena causale” che lega l’utilizzo di una determinata app all’addestramento illecito non è attualmente provabile in sede giuridica.
Il nodo del GDPR, le sanzioni e l’intervento del Garante
In questo scenario così complesso, la domanda giuridica corretta non è semplicemente “quanti dati” ci vengano sottratti, ma richiede di rispondere a tre interrogativi normativi precisi:
- C’era una base giuridica per la raccolta?
- I trasferimenti verso paesi terzi rispettavano i paletti dell’articolo 46 del GDPR?
- Gli utenti erano stati adeguatamente informati?.
A queste violazioni potenziali ha risposto in modo perentorio il Garante italiano, che ha bloccato DeepSeek per primo in tutta Europa. Sebbene si sia trattato di una mossa tempestiva, i dati già raccolti e trasferiti prima di questo blocco costituiscono un’allarmante “zona d’ombra” che nessun provvedimento riuscirà mai a illuminare o tutelare retroattivamente.
L’AI Act e il futuro della Sovranità Europea La lezione più importante che l’Unione Europea deve trarre da questa vicenda è un rinnovato bisogno di strumenti normativi capaci di presidiare contemporaneamente due fronti vitali: i diritti degli interessati e la protezione dell’innovazione.
In conclusione, l’applicazione rigorosa del GDPR e dell’AI Act deve convergere in una strategia europea chiara e assertiva. Solo così si eviterà l’errore di delegare esclusivamente ai soggetti privati (le Big Tech) la complessa difesa del nostro “patrimonio cognitivo“.
Scopri di più da Glam Aura: Fashion Privacy & Data Protection
Abbonati per ricevere gli ultimi articoli inviati alla tua e-mail.
