ChatGPT, il Tribunale di Roma annulla la sanzione da 15 milioni del Garante: decide l’autorità capofila

Con la sentenza del 18 marzo 2026 (R.G. n. 4785/2025) il giudice accoglie il primo motivo di ricorso di OpenAI: dal 15 febbraio 2024, con la sede unica irlandese, la competenza sul trattamento transfrontaliero passava al meccanismo dello sportello unico. Il merito delle violazioni del GDPR resta non esaminato.

Il Tribunale di Roma, Sezione per i diritti umani e l’immigrazione (giudice Damiana Colla), con sentenza resa all’udienza del 18 marzo 2026 nel procedimento R.G. n. 4785/2025, ha annullato il provvedimento n. 755 del 2 novembre 2024 con cui il Garante per la protezione dei dati personali aveva irrogato a OpenAI una sanzione di 15 milioni di euro per una serie di violazioni del Regolamento (UE) 2016/679 (GDPR) connesse al funzionamento di ChatGPT. La pronuncia non entra nel merito degli addebiti: si arresta su una questione preliminare, quella del riparto di competenza tra le autorità di controllo nazionali nel trattamento transfrontaliero.

Il Garante aveva contestato a OpenAI la mancata notifica della violazione dei dati del 20 marzo 2023 (art. 33 GDPR), l’assenza di una base giuridica individuata prima di avviare il trattamento per l’addestramento dei modelli (artt. 5, par. 2, e 6), carenze di trasparenza nell’informativa (artt. 5, par. 1, lett. a, 12 e 13), la mancanza di sistemi di verifica dell’età degli utenti (artt. 24 e 25, par. 1) e l’inosservanza della campagna di comunicazione già imposta con il provvedimento n. 114/2023 (art. 83, par. 5). Oltre alla sanzione pecuniaria, l’Autorità aveva disposto una sanzione accessoria: una campagna istituzionale di sei mesi su radio, televisione, stampa e internet, con contenuti da approvare preventivamente. La sanzione era stata sospesa in via cautelare con ordinanza del 21 marzo 2025, dietro prestazione di una fideiussione a prima richiesta.

Il cuore della controversia è il «meccanismo dello sportello unico» (one-stop-shop) disciplinato dagli artt. 55, 56 e 60 del GDPR. Per i trattamenti transfrontalieri l’unica autorità «competente ad agire» è quella dello stabilimento principale o unico del titolare nell’Unione, che opera come autorità di controllo capofila e unico punto di contatto, in cooperazione con le autorità interessate.

OpenAI ha costituito la propria controllata irlandese — «OpenAI Ireland Ltd.» — il cui ruolo di sede unica nello Spazio economico europeo è stato formalmente riconosciuto dalla Data Protection Commission irlandese il 15 febbraio 2024. Da quella data, ha sostenuto la società, l’unica autorità competente a indagare sulle violazioni transfrontaliere e a sanzionarle è quella irlandese. Il procedimento del Garante era stato avviato nel gennaio 2024 — quando ancora non esisteva uno stabilimento UE — ma la decisione definitiva è intervenuta solo il 2 novembre 2024, a stabilimento ormai riconosciuto.

Il Tribunale ha ritenuto fondata l’eccezione. Il riferimento è il parere n. 8 del 9 luglio 2019 del Comitato europeo per la protezione dei dati (EDPB), dedicato alla competenza dell’autorità di controllo in caso di mutamento delle circostanze relative alla sede principale o unica. Pur trattandosi di soft law, il parere costituisce guida interpretativa autorevole per garantire l’applicazione uniforme del Regolamento. Al punto 4.3.2 chiarisce che la costituzione o il trasferimento della sede principale da un Paese terzo verso il SEE in corso di procedimento consente al titolare di beneficiare dello sportello unico, con trasferimento dei procedimenti pendenti all’autorità dello Stato della sede principale, che diventa così capofila.

Il criterio decisivo, sottolinea il giudice, è oggettivo: la competenza si cristallizza nel momento dell’adozione della decisione definitiva. Solo da quel momento un mutamento delle circostanze non incide più sulla competenza acquisita. Poiché OpenAI ha stabilito la propria sede unica prima della decisione del novembre 2024, il procedimento avrebbe dovuto essere trasferito all’autorità irlandese e proseguire secondo il meccanismo di cooperazione degli artt. 60 e 61.

La difesa del Garante poggiava su una distinzione: lo sportello unico opererebbe solo per le violazioni «in corso o continuate», non per quelle «concluse» prima del 15 febbraio 2024. Su questo presupposto l’Autorità aveva trattenuto la competenza sulle condotte ritenute esaurite, trasmettendo alla DPC irlandese soltanto gli atti relativi alle violazioni continuative.

Il Tribunale smonta la tesi. L’avverbio «principalmente», contenuto nel paragrafo 16 del parere EDPB, non limita l’ambito del documento alle violazioni in corso: indica solo le ipotesi statisticamente più frequenti in cui il mutamento di sede rileva. Nulla esclude che il meccanismo operi anche per violazioni concluse, quando il procedimento è ancora pendente e manca una decisione definitiva — come nel caso di specie, chiuso solo nel novembre 2024.

Fondare la competenza sulla natura della violazione, osserva il giudice, genererebbe l’incertezza che il diritto dell’Unione vuole evitare e invertirebbe l’ordine logico-giuridico, subordinando una questione preliminare — la competenza — all’esame nel merito della natura, in corso o conclusa, dell’illecito; in sede giudiziale ciò urterebbe contro l’art. 34, comma 2, c.p.a. («in nessun caso il giudice può pronunciarsi con riferimento a poteri amministrativi non ancora esercitati»). Irrilevante, infine, il richiamo al principio tempus regit actum (art. 11 delle preleggi): nel caso non muta la legge applicabile, ma una circostanza di fatto — l’accertamento di una sede unica nel territorio dell’Unione.

A conferma, il Tribunale richiama la giurisprudenza di legittimità: secondo la Cassazione (ord. Sez. I n. 27189 del 22 settembre 2023; sent. Sez. I n. 3952 dell’8 febbraio 2022), il potere sanzionatorio dell’Autorità italiana presuppone la presenza sul territorio di una società o di una stabile organizzazione del titolare, circostanza qui assente.

La sentenza ha una portata che eccede il singolo caso. Una delle sanzioni più rilevanti mai irrogate in Europa a un fornitore di IA generativa cade per intero su un terreno processuale, e i quesiti sostanziali — se sia lecito addestrare un modello su dati personali raccolti senza una base giuridica chiara, se l’informativa fosse adeguata, se la mancata verifica dell’età esponga i minori — restano impregiudicati.

Si afferma un principio dalle conseguenze ampie: il titolare extra-UE che costituisca una sede unica nello Spazio economico europeo mentre pende un procedimento nazionale sposta la competenza sull’autorità capofila, anche per condotte anteriori allo stabilimento. Non è impunità — il procedimento prosegue in cooperazione davanti all’autorità capofila — ma il baricentro dell’enforcement si concentra su una sola autorità. E poiché in Irlanda hanno sede europea la maggior parte delle Big Tech, la decisione riapre il dibattito sul «collo di bottiglia» della DPC e rende il momento dello stabilimento una variabile strategica.

Il Garante potrebbe impugnare la sentenza in Cassazione; lo stesso giudice, compensando le spese, ha riconosciuto la «novità delle questioni». Resta da vedere quale lettura l’EDPB darà del proprio parere del 2019 e come il principio reggerà man mano che l’enforcement si sposta sul versante dell’AI Act. Nel frattempo la domanda di fondo non è stata sciolta: ha solo cambiato scrivania, da Roma a Dublino.

_________

*Avv. Alberto Bozzo, DPO e CAIO, Referente Enia per la Regione Veneto