Il nuovo intervento del Garante privacy del 6 maggio 2026 merita attenzione ben oltre la cronaca. Non è soltanto l’ennesimo allarme sui deepfake. È, più precisamente, un richiamo forte a considerare che l’uso di immagini e voci reali dentro servizi di intelligenza artificiale può costituire un trattamento di dati personali ad alto impatto, con conseguenze che toccano privacy, reputazione, dignità, consenso, responsabilità civile e, nei casi più gravi, anche profili penalmente rilevanti.
Il comunicato del 6 maggio 2026 non nasce nel vuoto. Richiama infatti il precedente provvedimento del 18 dicembre 2025, pubblicato come docweb n. 10207132 e reso noto al pubblico l’8 gennaio 2026, con cui l’Autorità aveva già avvertito gli utilizzatori di servizi basati su IA capaci di generare contenuti partendo da immagini o voci di terzi. Il bersaglio è chiaro: piattaforme e strumenti che consentono di manipolare o ricombinare materiale riferibile a persone reali, fino a produrre contenuti apparentemente autentici, compresi quelli sessualmente espliciti o umilianti.
Il punto giuridico decisivo è questo: un deepfake non è solo un contenuto “falso”. È spesso il risultato di un trattamento di dati personali reali. Il provvedimento del Garante del 18 dicembre 2025 lo dice in modo netto, osservando che immagini e voce di una persona rientrano nella nozione di dato personale ai sensi dell’art. 4, punto 1, GDPR. In certi casi, inoltre, quei dati possono assumere anche rilievo biometrico, se il trattamento tecnico è orientato all’identificazione univoca della persona. Questa distinzione è importante, perché se entra in gioco il dato biometrico il problema giuridico si aggrava e si apre anche il fronte delle condizioni di cui all’art. 9 GDPR.
Da qui discende una conseguenza pratica spesso sottovalutata: non basta chiedersi se il contenuto generato sia offensivo o diffamatorio. Prima ancora bisogna domandarsi con quale base giuridica immagini e voci di terzi siano state raccolte, elaborate, riutilizzate o diffuse. Il Garante, nel provvedimento del 18 dicembre 2025, richiama espressamente gli artt. 5 e 6 GDPR e segnala che trattamenti di questo tipo, se privi di liceità e trasparenza, possono verosimilmente violare la disciplina europea.
In parole semplici, il problema non riguarda solo chi “carica la foto” o “crea il video”. Riguarda anche il modo in cui il servizio è progettato. Se una piattaforma consente con estrema facilità di prendere il volto o la voce di una persona ignara e trasformarli in contenuti lesivi, il tema non è più solo quello della condotta individuale dell’utente finale. Diventa anche un tema di responsabilità del fornitore, di privacy by design, di misure preventive e di assetto del rischio. Non a caso il Garante, nel comunicato dell’8 gennaio 2026, ha richiamato i fornitori alla necessità di progettare e rendere disponibili applicazioni e piattaforme in modo da consentirne un uso conforme alla disciplina privacy.
Qui emerge un secondo aspetto molto interessante per chi segue IA e diritto: la questione della prevenzione. La normativa privacy non interviene solo dopo il danno. Impone, almeno in linea di principio, che il trattamento sia pensato sin dall’origine in modo coerente con i diritti degli interessati. L’art. 25 GDPR, richiamato dal provvedimento del 18 dicembre 2025, obbliga a integrare la protezione dei dati fin dalla progettazione e per impostazione predefinita. Se un servizio è costruito in modo tale da rendere prevedibile e quasi fisiologico l’uso abusivo di immagini e voci altrui, la discussione giuridica non può fermarsi al semplice “uso scorretto da parte dell’utente”.
Il comunicato del 6 maggio 2026 aggiunge poi un elemento ulteriore, molto operativo: il Garante chiede maggiori poteri per poter interdire dall’Italia il collegamento a tali piattaforme. Questo passaggio è cruciale. Nei casi di diffusione virale di contenuti intimi o gravemente lesivi, il tempo è una variabile giuridica sostanziale, non un dettaglio tecnico. Un contenuto illecito rimosso dopo giorni o settimane può avere già prodotto un danno irreversibile alla reputazione, alla sfera relazionale, alla vita professionale e all’equilibrio psicologico della persona coinvolta. Per questo il tema della rapidità dei poteri di blocco ha un valore che va oltre il dibattito amministrativo: incide sull’effettività della tutela.
Sul piano civilistico, il quadro è altrettanto serio. L’uso non autorizzato dell’immagine o della voce può tradursi in lesione di diritti della personalità, danno reputazionale, danno non patrimoniale, perdita di controllo sui propri dati e, in casi specifici, danno patrimoniale connesso a sfruttamento indebito, usurpazione d’identità o frode. Il provvedimento del Garante richiama anche i rischi di diffamazione, sostituzione di persona e uso ingannevole per fini fraudolenti. Non tutto questo ricade automaticamente nello stesso contenitore normativo, ma il segnale è chiaro: i deepfake non sono un semplice incidente tecnologico, bensì un fenomeno capace di attivare tutele diverse e cumulative.
Vale la pena chiarire anche un equivoco frequente. Non ogni uso di fotografia o registrazione vocale produce automaticamente un trattamento di dati biometrici in senso tecnico. Tuttavia, ciò non riduce il problema, perché anche quando non si oltrepassa quella soglia resta pienamente in gioco la disciplina generale sui dati personali. In altre parole, sostenere che “non si tratta di biometria” non basta affatto a neutralizzare i profili di illiceità.
Il contesto internazionale conferma che non si tratta di una sensibilità isolata del Garante italiano. Il 23 febbraio 2026 l’EDPB ha aderito, insieme ad altre autorità nel quadro della Global Privacy Assembly, a uno statement sui rischi dei sistemi che generano immagini e video realistici di persone identificabili senza il loro consenso. Le parole chiave sono robuste salvaguardie, trasparenza effettiva, strumenti accessibili di tutela e attenzione particolare ai soggetti vulnerabili. È un passaggio importante perché mostra una convergenza regolatoria: il problema non è percepito come marginale o emergenziale, ma come un fronte stabile della governance dell’IA generativa.
Per imprese, professionisti e provider, la ricaduta pratica è netta. Chi sviluppa, integra o mette sul mercato strumenti capaci di manipolare volti, immagini o voci deve chiedersi non solo se la tecnologia funzioni, ma se l’intero modello di servizio regga sotto il profilo della liceità del trattamento, della trasparenza verso gli interessati, dei meccanismi di segnalazione e rimozione, delle limitazioni d’uso, dei controlli ex ante e della documentazione del rischio. Chi usa questi strumenti in azienda, nella comunicazione o in ambito professionale, dal canto suo, non può considerarli neutrali. L’apparente facilità tecnica non elimina il problema giuridico: semmai lo amplifica.
Per gli utenti comuni, il messaggio è altrettanto chiaro. Utilizzare l’immagine o la voce altrui per produrre contenuti artificiali non è una zona franca. Il fatto che un’app renda l’operazione semplice o “giocosa” non la rende lecita. Quando manca il consenso o comunque una base giuridica adeguata, e quando l’uso lede diritti fondamentali, il rischio non è solo etico o reputazionale, ma pienamente giuridico.
La conclusione più solida, oggi, è quindi questa: il caso deepfake va letto come un problema di trattamento dei dati, di responsabilità nella progettazione dei servizi e di tempestività della tutela. Il nuovo avvertimento del Garante del 6 maggio 2026 non introduce da solo una disciplina nuova, ma rende molto più esplicito il messaggio che il mercato dovrebbe già aver compreso: chi costruisce o usa sistemi capaci di sfruttare immagini e voci reali senza adeguate garanzie entra in un’area di rischio giuridico elevato. E il vero discrimine, nei prossimi mesi, sarà sempre meno la semplice esistenza della tecnologia e sempre più la capacità dell’ordinamento di fermarne in tempo gli usi lesivi.
Fonti:
- Garante privacy, comunicato 6 maggio 2026: https://www.gpdp.it/home/docweb/-/docweb-display/docweb/10246345
- Garante privacy, provvedimento 18 dicembre 2025, reg. n. 789/2025: https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/10207132
- Garante privacy, comunicato 8 gennaio 2026: https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/10207147
- EDPB, 23 febbraio 2026: https://www.edpb.europa.eu/news/news/2026/ai-generated-imagery-and-protection-privacy-edpb-supports-joint-global-privacy_en
