Diritto all’oblio nell’era AI, puoi davvero cancellarti da ChatGPT?
Puoi chiedere la cancellazione dei tuoi dati ai modelli di intelligenza artificiale. Il GDPR te lo riconosce. Poi, a valle, inizia il problema vero.
Immagina di scoprire che ChatGPT sa cose su di te, un articolo che ti riguarda, un vecchio profilo, una sentenza, un post che avresti preferito lasciare nell’oblio di internet.
La reazione istintiva è prevedibile, voglio che sia cancellato, e il GDPR in teoria ti dà ragione.
Il problema è che tra il diritto scritto nel Regolamento europeo e la sua applicazione concreta a un modello linguistico esiste una distanza che ha poco a che fare con la burocrazia, ha a che fare con l’architettura tecnica dei sistemi e con il modo in cui le autorità europee stanno provando a governarla.
Capire dove passa questa distanza è il primo passo per ragionare con onestà su cosa può davvero tutelare chi vuole sparire dal “cervello” di un’intelligenza artificiale.
Cosa dice il GDPR
L’articolo 17 del Regolamento UE 2016/679 riconosce il diritto alla cancellazione, spesso chiamato “diritto all’oblio”.
Puoi chiederla quando i tuoi dati non sono più necessari rispetto alla finalità per cui erano stati raccolti, quando revochi il consenso, quando ti opponi al trattamento e non ci sono motivi legittimi prevalenti, oppure quando il trattamento è semplicemente illecito.
Il titolare del trattamento deve rispondere entro un mese, con possibilità di proroga di altri due mesi nei casi complessi.
Se sei nell’Unione Europea, il diritto si applica in linea di principio anche ai fornitori di AI generativa che trattano dati di cittadini europei, indipendentemente da dove abbiano sede legale.
OpenAI, Google, Meta, tutti hanno oggi una pagina dedicata alle richieste di privacy.
Puoi compilare un modulo, chiedere la cancellazione del tuo account e dei dati associati, opporti all’uso dei tuoi dati per l’addestramento dei modelli futuri.
Alcuni servizi, come ChatGPT nella versione consumer, offrono anche un’opzione nelle impostazioni per disattivare l’uso delle conversazioni ai fini del training.
Fino a questo punto il quadro regge senza particolari frizioni.
Il problema vero comincia quando ci si chiede cosa succeda ai dati già usati per addestrare il modello.
Un fronte europeo, non solo un caso OpenAI
Sarebbe comodo trattare la questione come un’anomalia di un singolo operatore, mentre il conflitto tra diritto alla cancellazione e architettura dei modelli linguistici riguarda chiunque operi in questo spazio, indipendentemente da quanto le policy privacy siano scritte bene.
Le differenze esistono, ma riguardano soprattutto le misure di facciata, cioè ciò che puoi richiedere e come, non il problema strutturale a valle.
| Operatore | Strumenti di cancellazione e opt-out | Stato regolatorio UE (aprile 2026) |
|---|---|---|
| OpenAI (ChatGPT) | Modulo privacy dedicato, opt-out dal training nelle impostazioni, accordo DPA per utenti business | Sanzione del Garante italiano da 15 milioni di euro (dicembre 2024) annullata dal Tribunale di Roma con sentenza 4153/2026 del 18 marzo 2026. Motivazioni non ancora pubbliche. Istruttoria prosegue in Irlanda presso il DPC, autorità capofila dopo lo stabilimento europeo di OpenAI |
| Google (Gemini) | Dashboard Google Account, modulo di cancellazione dati AI, controllo attività Gemini | Scrutinio attivo da parte di diverse DPA europee, nessun provvedimento sanzionatorio consolidato al momento |
| Meta AI | Modulo di opposizione al trattamento per il training, accessibile agli utenti UE tramite Centro sulla privacy | Il DPC irlandese ha bloccato il programma nel giugno 2024; dopo le modifiche introdotte da Meta e l’Opinion EDPB 28/2024, il DPC ha dato il via libera il 21 maggio 2025. Il training su contenuti pubblici di Facebook e Instagram è attivo dal 27 maggio 2025 |
| xAI (Grok) | Impostazioni privacy di X, opt-out dal training sui post | Indagine aperta dal DPC irlandese nel 2025 sull’uso dei dati degli utenti europei per l’addestramento di Grok |
| Apple (Apple Intelligence) | Elaborazione prevalentemente on-device, Private Cloud Compute per richieste complesse | Architettura dichiaratamente privacy-first, nessun procedimento formale avviato in Europa al momento |
Dati aggiornati ad aprile 2026 – per verifiche puntuali: garanteprivacy.it, dataprotection.ie, edpb.europa.eu.
Guardando la tabella, la lezione più interessante non è chi ha sbagliato, ma come si sta muovendo il diritto europeo.
La direzione che emerge è quella di far funzionare il GDPR sull’AI senza bloccarne lo sviluppo, con una serie di compromessi che è opportuno guardare da vicino.
Il colpo di scena italiano
Vale la pena fermarsi un attimo sul caso OpenAI-Garante, perché è istruttivo ben oltre la cronaca.
Nel marzo 2023 il Garante italiano aveva disposto la limitazione provvisoria del trattamento dei dati degli utenti italiani da parte di OpenAI, contestando la mancanza di una base giuridica adeguata per l’addestramento dei modelli, l’assenza di meccanismi di verifica dell’età e la violazione degli obblighi di trasparenza.
Fu la prima autorità occidentale a intervenire con forza su un operatore di AI generativa.
Nel dicembre 2024 l’istruttoria si chiude con una sanzione di quindici milioni di euro e l’obbligo, per OpenAI, di realizzare una campagna informativa istituzionale di sei mesi per spiegare agli italiani come opporsi al trattamento dei propri dati a fini di addestramento, una misura inedita pensata proprio per restituire agli utenti la possibilità effettiva di esercitare i loro diritti.
Il 18 marzo 2026 arriva la sentenza n. 4153/2026 del Tribunale di Roma, il provvedimento del Garante viene annullato.
Le motivazioni, al momento, non sono ancora pubbliche.
Il Garante rimuove temporaneamente il provvedimento dal proprio sito e l’istruttoria, per effetto del meccanismo dello “sportello unico” previsto dal GDPR, è comunque già passata all’autorità irlandese, competente per Meta e, dopo lo stabilimento europeo, anche per OpenAI.
La vicenda mostra che l’applicazione del GDPR ai modelli di AI generativa è ancora un terreno sul quale persino i provvedimenti più articolati faticano a reggere al vaglio giudiziario, perché il diritto sostanziale esiste, ma la sua traduzione in sanzioni concrete no, o almeno non ancora.
La svolta EDPB del dicembre 2024
Nel frattempo, a livello europeo, qualcosa si è mosso.
Il 18 dicembre 2024 il Comitato europeo per la protezione dei dati, l’EDPB, ha adottato l’Opinion 28/2024 sui modelli di intelligenza artificiale e il trattamento dei dati personali.
È un documento tecnico, ma il suo significato pratico è forte.
L’EDPB riconosce che il “legittimo interesse” previsto dall’articolo 6 del GDPR può costituire una base giuridica valida per l’addestramento e il deployment dei modelli AI, purché il titolare del trattamento superi un test a tre fasi che chiede di dimostrare l’esistenza dell’interesse legittimo, la necessità del trattamento rispetto a quell’interesse e il bilanciamento con i diritti degli interessati.
Un esercizio da condurre caso per caso, che non equivale affatto a una licenza in bianco.
L’Opinion affronta anche il tema dell’anonimato dei modelli, chiarendo che un modello può essere considerato anonimo, e quindi fuori dal perimetro del GDPR, solo se è molto improbabile identificare gli individui i cui dati sono stati usati per l’addestramento e altrettanto improbabile estrarre dati personali dal modello tramite query, un requisito che nella pratica si rivela difficile da soddisfare.
Per chi si occupa di diritto all’oblio c’è un dettaglio che pesa più di altri.
Tra le misure di mitigazione che l’EDPB suggerisce per bilanciare l’equazione del legittimo interesse compaiono esplicitamente le “unlearning techniques”, cioè le tecniche per indurre il modello a dimenticare selettivamente informazioni specifiche.
Il regolatore europeo sta ammettendo, in modo implicito, che senza quelle tecniche il diritto alla cancellazione resta monco.
Il collo di bottiglia tecnico
Il nodo tecnico si apre proprio su questo terreno.
Un modello linguistico di grandi dimensioni non è un database, non ha una riga con “Mario Rossi” e i suoi dati accanto, pronta per essere eliminata, è piuttosto una rete neurale con miliardi di parametri modificati iterativamente durante l’addestramento su enormi corpus di testo.
Quei parametri non memorizzano informazioni in forma discreta, le comprimono e le distribuiscono fondendole con milioni di altri segnali in un modo che non è direttamente interpretabile né estraibile.
Chiedere la cancellazione di un’informazione già incorporata nel training equivale a chiedere di estrarre un ingrediente da un piatto già cucinato.
Non è un problema di volontà o di risorse, è un problema di irreversibilità del processo.
Il machine unlearning, che la ricerca porta avanti da anni e che l’EDPB ora cita ufficialmente, mira a far disimparare al modello informazioni specifiche senza ripartire da zero.
Siamo ancora lontani da un’applicazione scalabile e affidabile sui modelli commerciali della scala attuale.
Ciò che le aziende possono fare, e in parte fanno, è escludere determinati dati dai cicli di addestramento futuri, separare i dati delle conversazioni dai dataset di training, offrire opt-out che hanno effetto prospettico.
Nessuna di queste misure tocca ciò che è già diventato parte del modello. Le policy privacy, per quanto articolate, descrivono un perimetro di controllo che si ferma esattamente dove il problema diventa più rilevante.
Cosa puoi fare concretamente oggi
Se vuoi esercitare i tuoi diritti, puoi farlo attraverso i moduli privacy dei singoli operatori.
OpenAI li rende disponibili su privacy.openai.com, Meta li ha integrati nel Centro sulla privacy di Facebook e Instagram, Google tramite la dashboard dell’account.
Tutti sono tenuti a rispondere nei termini previsti dal GDPR se sei un utente europeo.
Puoi disattivare l’uso delle tue conversazioni future per l’addestramento, quando l’opzione è prevista, nelle impostazioni dei singoli servizi, tenendo presente che l’effetto è prospettico e non retroattivo.
Se ritieni che la tua richiesta non sia stata gestita correttamente, puoi presentare reclamo al Garante Privacy italiano.
Il meccanismo dello sportello unico farà sì che la tua segnalazione venga coordinata con l’autorità capofila competente, spesso il DPC irlandese.
Ciò che non puoi ottenere, allo stato attuale, è la certezza che le informazioni su di te, se sono finite nei dataset di addestramento, siano state effettivamente rimosse dalla memoria del modello.
Su questo l’onestà vale più delle rassicurazioni.
Un diritto che esiste, ma fatica a camminare
Il diritto all’oblio è una conquista del diritto europeo, funziona rispetto ai motori di ricerca, agli archivi digitali, ai database.
La Corte di Giustizia dell’Unione Europea lo ha riconosciuto a partire dalla sentenza Google Spain del 2014, che ha aperto la strada alla deindicizzazione di contenuti legittimamente pubblicati.
Applicarlo ai modelli linguistici richiede un salto concettuale che il legislatore del 2014 non poteva prevedere.
L’EDPB sta cercando di colmare il vuoto con opinioni e linee guida, le autorità nazionali emettono provvedimenti, i tribunali in parte li confermano e in parte li annullano.
L’AI Act affronta trasparenza e obblighi sui dati di addestramento, ma non risolve il nodo del machine unlearning.
Nel frattempo hai il diritto di chiedere di essere dimenticato da un sistema che, per come è costruito, non è progettato per dimenticare.
La richiesta viene registrata, protocollata, riscontrata nei termini di legge.
Il modello continua a funzionare esattamente come prima, perché la tua informazione non è lì in attesa di essere cancellata, è già diventata qualcosa d’altro.
Non è detto che sia una situazione permanente, perché la ricerca sul machine unlearning avanza, le autorità europee stanno maturando strumenti di scrutinio più sofisticati e i produttori sanno che la questione non si chiuderà con una FAQ.
Oggi, però, se vuoi cancellarti dal cervello di ChatGPT puoi fare la richiesta, che arriverà a destinazione e lì, nove volte su dieci, si fermerà.
Uso strumenti di intelligenza artificiale nel mio lavoro editoriale.
Le fonti, le verifiche e le scelte di contenuto sono mie.
🔔 Vuoi restare aggiornato ogni settimana su contenuti legali, attualità e consigli pratici?
Iscriviti gratuitamente a uno dei miei canali:
– 🟢 WhatsApp → https://avvocatonardini.it/whatsapp
– 🔵 Telegram → https://t.me/stefano_nardini
– 🔴 YouTube → https://www.youtube.com/@StefanoNardiniStudio
Autore: Avv. Stefano Nardini
Avvocato, esperto in diritto delle nuove tecnologie, privacy e sicurezza informatica. Opera da oltre 20 anni nella consulenza per imprese, professionisti ed enti pubblici su GDPR, compliance e innovazione digitale. Data Protection Officer e Privacy Officer certificato.
Si occupa inoltre di diritto civile e penale, con esperienza in contenzioso, contrattualistica, responsabilità civile, reati connessi all’ambito digitale (cybercrime, trattamento illecito dei dati) e difesa penale tradizionale.
Lavora sul fronte della prevenzione e della gestione pratica dei rischi, unendo competenza tecnica e attenzione ai principi di giustizia ed etica.
🔗 Scopri di più sull’autore
Condividi, scegli il tuo social network!
NEWSLETTER
Ti è piaciuto questo articolo? Ricevi via email i nuovi contenuti su privacy, tecnologia e diritto digitale.
Niente spam, solo contenuti di valore.
Cancellazione immediata quando vuoi.
