La vicenda OpenAI offre un chiarimento rilevante sul funzionamento del meccanismo di cooperazione previsto dal GDPR nei trattamenti transfrontalieri. Con le motivazioni della sentenza del Tribunale di Roma, Sezione Diritti Umani e Immigrazione, 18 marzo 2026, R.G. n. 4785/2025, viene infatti ribaltato il provvedimento sanzionatorio adottato dal Garante Privacy e viene riaffermata la centralità dell’autorità capofila individuata secondo il sistema dello sportello unico.
Dal provvedimento del Garante al giudizio di opposizione
Con il provvedimento n. 755 del 2 novembre 2024, l’Autorità aveva contestato a OpenAI una serie articolata di violazioni della disciplina in materia di protezione dei dati personali.
Le contestazioni riguardavano, tra l’altro, la mancata notifica di una violazione dei dati personali, l’assenza di una base giuridica adeguata per l’addestramento dei modelli linguistici, carenze nell’informativa resa agli utenti, insufficienze nei sistemi di age verification e l’inosservanza di precedenti prescrizioni impartite dal Garante.
All’esito del procedimento, era stata applicata una sanzione amministrativa pecuniaria di 15 milioni di euro, oltre all’ordine di realizzare una campagna di comunicazione istituzionale rivolta al pubblico italiano.
La società ha quindi proposto ricorso dinanzi al Tribunale di Roma, deducendo plurimi profili di illegittimità del provvedimento. Il motivo iniziale e decisivo ha riguardato la competenza stessa dell’Autorità italiana a proseguire l’istruttoria e a definire il procedimento.
Secondo la difesa di OpenAI, l’emersione di OpenAI Ireland come stabilimento principale nel territorio dell’Unione avrebbe imposto, ai sensi dell’articolo 56 del GDPR, il coinvolgimento dell’autorità di controllo irlandese quale autorità capofila.
Il quadro normativo: articoli 55, 56 e 60 del GDPR
La pronuncia muove dall’assetto delineato dagli articoli 55, 56 e 60 del GDPR, che regolano la distribuzione delle competenze tra autorità nazionali nei trattamenti aventi dimensione transfrontaliera.
Il sistema dello one stop shop mira a evitare duplicazioni, conflitti di competenza e interventi paralleli potenzialmente disallineati, affidando in via principale il dossier all’autorità del luogo in cui si trova lo stabilimento principale del titolare del trattamento.
Nel caso esaminato, la particolarità della vicenda derivava dal fatto che, nel corso del procedimento amministrativo, la Data Protection Commission irlandese aveva riconosciuto OpenAI Ireland come sede europea della società.
Per il Garante italiano, tale circostanza non avrebbe prodotto effetti sulla competenza già esercitata, poiché le violazioni contestate sarebbero risultate interamente consumate prima del riconoscimento della struttura irlandese.
Il valore interpretativo del Parere EDPB n. 8/2019
Il Tribunale attribuisce un rilievo decisivo al Parere n. 8/2019 dell’European Data Protection Board, richiamato proprio per le ipotesi in cui lo stabilimento principale venga individuato durante un procedimento già avviato.
Sebbene si tratti di un atto non vincolante, il giudice ne valorizza la funzione di indirizzo sistematico, utile a garantire un’interpretazione uniforme del GDPR nell’ordinamento europeo.
Nel passaggio centrale della motivazione, il Parere viene letto nel senso che, qualora una sede principale venga istituita nel SEE mentre il procedimento è ancora pendente, la competenza passa all’autorità del nuovo stabilimento principale, purché non sia ancora stata adottata una decisione definitiva.
Non assume dunque rilievo decisivo il momento in cui si sono materialmente verificate le condotte contestate. Ciò che conta è la pendenza del procedimento al momento del mutamento organizzativo del titolare del trattamento.
Il rigetto della tesi sulla distinzione tra violazioni esaurite e violazioni permanenti
La sentenza prende posizione anche su un ulteriore punto, respingendo la distinzione proposta dal Garante tra violazioni già concluse e violazioni ancora in corso.
Secondo l’Autorità, il meccanismo dello sportello unico avrebbe potuto operare soltanto in presenza di illeciti continuativi o permanenti.
Il Tribunale esclude che una simile limitazione trovi fondamento nel GDPR o nel Parere dell’EDPB. La disciplina europea, osserva il giudice, collega lo spostamento della competenza non alla natura istantanea o permanente dell’illecito, ma alla fase del procedimento e alla mancata adozione della decisione finale.
In questa prospettiva, la competenza non si cristallizza al momento dell’avvio dell’istruttoria, ma segue l’evoluzione dell’assetto organizzativo del titolare quando il procedimento non sia ancora definito.
Uniformità applicativa e certezza del diritto nel mercato digitale europeo
La ricostruzione accolta dal Tribunale rafforza la logica unitaria del GDPR e impedisce che il controllo sui medesimi trattamenti venga frammentato tra più autorità nazionali.
Il richiamo all’esigenza di coerenza applicativa non è solo teorico. In un contesto segnato da operatori tecnologici di dimensione globale, la corretta individuazione dell’autorità competente diventa una condizione essenziale per garantire prevedibilità, coordinamento e parità di trattamento nell’intero spazio europeo.
La sentenza, quindi, non considera lo sportello unico come un mero strumento organizzativo, ma come una regola sostanziale di riparto della funzione di controllo, strettamente connessa agli obiettivi del Regolamento.
Gli effetti processuali dell’accoglimento del ricorso
L’accoglimento del primo motivo ha comportato l’assorbimento delle ulteriori censure formulate da OpenAI.
Restano così sullo sfondo le questioni più delicate affrontate nel procedimento amministrativo, dalla base giuridica dell’addestramento dei modelli di intelligenza artificiale alla trasparenza delle informazioni fornite agli utenti, dalla gestione dei dati impiegati per il training alle misure di verifica dell’età, fino alle attività svolte in seguito al data breach del marzo 2023.
Si tratta di profili che continuano a rappresentare snodi centrali nel rapporto tra protezione dei dati personali e sviluppo dei sistemi di intelligenza artificiale generativa.
Un precedente significativo per i contenziosi sull’intelligenza artificiale
La decisione del Tribunale di Roma si inserisce tra i primi arresti che affrontano in modo organico il coordinamento tra autorità nazionali e autorità capofila nel contesto delle attività svolte dai grandi fornitori di servizi digitali e di sistemi di intelligenza artificiale.
Il dato più rilevante che emerge dalla motivazione è che il rispetto delle regole sulla competenza non ha natura meramente formale. Al contrario, esso costituisce una garanzia essenziale per l’uniforme applicazione del GDPR e per la stabilità delle relazioni giuridiche nel mercato digitale europeo.
Resta ora da comprendere in che misura questo orientamento influenzerà i futuri procedimenti di enforcement e il modo in cui le autorità di controllo affronteranno i dossier relativi ai fornitori di intelligenza artificiale operanti su scala transnazionale.