Il Tribunale di Roma ha annullato la sanzione da 15 milioni di euro irrogata dal Garante Privacy a OpenAI in relazione al servizio ChatGPT. Accogliendo il primo motivo di ricorso, il Tribunale ha ritenuto il Garante incompetente statuendo che la costituzione dello stabilimento unico irlandese in pendenza del procedimento avrebbe imposto, in forza del meccanismo dello sportello unico (artt. 55 e 56 GDPR), il trasferimento del caso all’autorità di controllo capofila.
Il caso
Con ordinanza ingiunzione del novembre 2024, il Garante Privacy aveva irrogato a OpenAI OpCo, LLC una sanzione pecuniaria di 15 milioni di euro, oltre alla sanzione accessoria della realizzazione di una campagna di comunicazione istituzionale – della durata di sei mesi – da effettuarsi su tutti i principali mezzi di comunicazione italiani. Le contestazioni riguardavano, tra l’altro, l’omessa notifica di un data breach del marzo 2023; la mancata individuazione di una base giuridica per l’addestramento dei modelli alla base di ChatGPT prima di avviare il trattamento di dati personali; l’assenza di sistemi di age verification.
La società ha impugnato il provvedimento dinanzi al Tribunale di Roma.
La decisione
Il Tribunale ha accolto il primo motivo di ricorso – con assorbimento di tutti gli altri – annullando integralmente il provvedimento sanzionatorio per incompetenza del Garante italiano. La questione centrale è quella del riparto di competenza tra autorità di controllo in ambito data protection e del c.d. meccanismo dello “sportello unico” (artt. 55 e 56 GDPR), in forza del quale, per i trattamenti transfrontalieri, l’autorità competente è quella dello stabilimento principale o unico del titolare, in qualità di autorità capofila.
Alla base del motivo di impugnazione, OpenAI ha dedotto:
- di avere sede negli Stati Uniti;
- di avere costituito la propria controllata irlandese, OpenAI Ireland, in data 24.3.2023;
- di avere ricevuto, il 15.2.2024 (quindi prima dell’adozione del provvedimento finale), la comunicazione dall’autorità di controllo irlandese di riconoscimento formale dello stabilimento di OpenAI Ireland ai fini dell’applicazione del GDPR.
Secondo la ricorrente, dal momento che le violazioni accertate con il provvedimento impugnato avrebbero avuto natura continuata e/o continuativa, le stesse, ai sensi dell’art. 56 GDPR, avrebbero dovuto essere oggetto di rinvio all’Autorità di controllo irlandese, quale autorità capofila.
Le ragioni della pronuncia
Il Tribunale ha rilevato che la creazione dello stabilimento unico del titolare del trattamento (a far data dal suo riconoscimento con la comunicazione del febbraio 2024) nelle more del procedimento amministrativo, pure legittimamente avviato nel gennaio del 2024, avrebbe dovuto determinarne immediatamente il trasferimento all’autorità di controllo dello Stato nel quale si trova lo stabilimento principale, nella specie quella irlandese, e l’avvio del meccanismo di cooperazione delineato dagli artt. 60 e 61 del GDPR.
A tale fine, il giudice ha valorizzato il parere n. 8 del 9 luglio 2019 dell’European Data Protection Board (“EDPB”), a mente del quale “la creazione di uno stabilimento principale o unico oppure il suo trasferimento da un paese terzo nel SEE (nel contesto di un procedimento inizialmente avviato senza cooperazione) durante lo svolgimento di un procedimento consentirà al titolare del trattamento di beneficiare del meccanismo dello sportello unico’, sicché ‘(…) qualsiasi procedimento pendente (necessariamente un procedimento non soggetto a cooperazione data l’assenza iniziale di uno stabilimento principale nel SEE) sarà trasferito all’autorità di controllo dello Stato nel quale si trova lo stabilimento principale [e] tale autorità di controllo diventerà l’autorità di controllo capofila e il procedimento proseguirà conformemente alle norme di cui all’articolo 60, in cooperazione con l’autorità di controllo interessata di cui all’articolo 4, paragrafo 22”.
Ancora, l’EDPB, mirando all’attuazione certa, coerente ed omogenea della disciplina in parola, individua nel momento dell’adozione di una decisione definitiva da parte di un’autorità di controllo il momento a partire dal quale ogni eventuale mutamento di circostanze – come quello legato ad una differente localizzazione dello stabilimento – non esplicherebbe alcun effetto sulla competenza acquisita da un’autorità.
Implicazioni
La pronuncia in commento è di sicuro interesse per le imprese tech extra-UE: la costituzione di uno stabilimento nel SEE può incidere sulla competenza sanzionatoria anche per procedimenti già avviati, purché non ancora definiti. Resta ferma la competenza dell’autorità nazionale nei casi tipizzati (art. 56, par. 2, e art. 66 GDPR) e ove la capofila decida di non trattare il caso (CGUE, C-645/19, Facebook Ireland). Al contempo, non può che rilevarsi che una delle sanzioni più rilevanti mai irrogate dal Garante Privacy sia stata annullata su un piano squisitamente processuale, inevitabilmente destinato ad assumere primaria importanza in sede di impugnazione.
