Torna al Blog

GDPR · Sportello unico · Enforcement IA

Stabilirsi, poi sfuggire

Il Tribunale di Roma ha annullato la sanzione da 15 milioni del Garante a OpenAI. Non nel merito, non sulla proporzionalità: su una questione di competenza che si gioca tutta sull'interpretazione di un solo paragrafo di soft law. E che apre un varco.

Lo sportello unico GDPR e il trasferimento della competenza tra autorità

Quando una delle sanzioni più rilevanti mai irrogate in Europa a un fornitore di intelligenza artificiale generativa cade per intero, ci si aspetterebbe che a cedere sia stato il merito: la base giuridica dell'addestramento, la trasparenza verso gli utenti, la verifica dell'età. Non è andata così. La sentenza n. 4153/2026 del Tribunale di Roma annulla il provvedimento del Garante senza pronunciarsi su nessuna di quelle questioni. Il fascicolo non è stato chiuso: ha solo cambiato scrivania, da Roma a Dublino. E il modo in cui l'ha fatto dice molto sul punto debole dello sportello unico europeo.

La pronuncia in breve

AutoritàTribunale di Roma, sent. 18 marzo 2026, n. 4153/2026 (R.G. 4785/2025)
OggettoOpposizione al provv. Garante n. 755 del 2 novembre 2024
Sanzione15 milioni di euro + campagna informativa istituzionale di sei mesi (art. 166, c. 7, Codice Privacy)
EsitoProvvedimento annullato per intero. Fideiussione dichiarata inefficace. Spese compensate per la novità delle questioni
MotivoAccolto il primo dei dieci motivi di ricorso — difetto di competenza del Garante — con assorbimento di tutti gli altri
NormeArtt. 55–56, 60–61, 66 GDPR; Parere EDPB 8/2019

01 / Il fatto — Quindici milioni caduti su una parola

Con il provvedimento n. 755 del 2 novembre 2024 il Garante aveva contestato a OpenAI un fascio di violazioni: omessa notifica di un data breach, assenza di una base giuridica idonea per l'addestramento dei modelli, carenze informative, mancanza di sistemi adeguati di age verification, inadempimento di prescrizioni precedenti. A queste contestazioni seguiva la sanzione da 15 milioni e — per la prima volta nell'uso di quel potere — l'ordine di una campagna di comunicazione istituzionale di sei mesi su radio, TV, stampa e internet.

OpenAI ha impugnato articolando dieci motivi. Il Tribunale si è fermato al primo, dichiarandolo fondato e assorbente di tutti gli altri: il Garante italiano non era più competente ad adottare la decisione finale. Tutto il resto — la legittimità del trattamento, la proporzionalità dell'importo, il merito delle violazioni — resta fuori dalla sentenza. Il giudice non ha detto che OpenAI ha rispettato il GDPR. Ha detto che, a parlare, era l'autorità sbagliata.

02 / La cronologia — La cronologia è il caso

L'intera vicenda si decide sulle date. Le condotte contestate maturano tra il 2022 e il 2023, quando OpenAI non ha alcuno stabilimento nell'Unione. Lo stabilimento arriva dopo, a procedimento già avviato. È questa sequenza a fare la differenza.

  • 30 nov 2022Lancio pubblico di ChatGPT.
  • 20 mar 2023Il data breach che il Garante contesterà per omessa notifica.
  • 24 mar 2023Costituzione di OpenAI Ireland Limited.
  • 26 gen 2024Il Garante apre il procedimento sanzionatorio — quando ancora non esiste uno stabilimento UE riconosciuto.
  • 15 feb 2024La DPC irlandese riconosce formalmente OpenAI Ireland come stabilimento unico nel SEE. Da qui, l'autorità capofila è quella irlandese.
  • 2 nov 2024Il Garante adotta la decisione finale — a stabilimento ormai riconosciuto da oltre otto mesi.
  • 21 mar 2025Il Tribunale sospende in via cautelare la sanzione.
  • 18 mar 2026Annullamento. La competenza, dice il giudice, andava trasferita a Dublino.

Il punto di rottura è il 15 febbraio 2024. Da quel giorno e fino alla decisione del 2 novembre, il procedimento è rimasto pendente davanti a un'autorità che — secondo il Tribunale — aveva ormai perso la titolarità del caso.

03 / Il meccanismo — Artt. 55-56 e lo sportello unico

Per i trattamenti transfrontalieri il GDPR concentra la competenza in capo a una sola autorità: quella dello stabilimento principale o unico del titolare, che agisce da autorità capofila tramite il meccanismo dello sportello unico (one-stop-shop). È un disegno pensato per evitare la frammentazione: un titolare, un interlocutore, una procedura coordinata tra tutte le autorità interessate ai sensi degli artt. 60 e 61.

Il Tribunale ha riconosciuto che il procedimento del Garante era stato avviato legittimamente: a gennaio 2024 nessuna autorità capofila esisteva, perché OpenAI non aveva stabilimento UE. Ma una volta riconosciuto lo stabilimento irlandese, la competenza si è spostata. E poiché nessuna decisione definitiva era ancora intervenuta, il fascicolo andava trasferito alla DPC, attivando la cooperazione tra autorità. Il giudice ha anche escluso le valvole che avrebbero consentito al Garante di procedere da solo: il trattamento non riguardava unicamente interessati italiani e non ricorrevano i presupposti per le misure urgenti dell'art. 66.

04 / Il perno — Il §16 del Parere 8/2019 e la parola «mainly»

Tutta la decisione ruota attorno alla portata di un singolo paragrafo di soft law. Il riferimento è il Parere EDPB 8/2019, dedicato proprio alla competenza dell'autorità di controllo in caso di mutamento delle circostanze relative allo stabilimento principale o unico. Pur riconoscendone la natura non vincolante, il Tribunale gli attribuisce una funzione interpretativa decisiva nell'assicurare un'applicazione uniforme del GDPR.

Il nodo è il paragrafo 16, nella sezione che delimita l'ambito del parere: le situazioni esaminate, vi si legge, riguardano principalmente («mainly») violazioni di natura continuativa. Il Garante leggeva in quel «principalmente» una distinzione operativa: le violazioni già esaurite restano all'autorità che ha aperto il procedimento, solo quelle ancora in corso seguono lo stabilimento. Il Tribunale ha respinto la distinzione, ritenendola priva di fondamento normativo: il parere non introduce alcun limite del genere e individua nell'adozione della decisione finale — non nel momento o nella natura della condotta — l'evento che cristallizza la competenza.

Non conta quando o come si sia consumata la violazione. Conta se, al riconoscimento dello stabilimento, una decisione definitiva fosse già stata adottata.

A rafforzare la lettura, il Tribunale richiama la Cassazione (Sez. I, ord. n. 27189/2023 e sent. n. 3952/2022): il potere sanzionatorio dell'autorità italiana presuppone la presenza sul territorio di una società o di una stabile organizzazione del titolare — qui assente al momento della decisione.

05 / La distinzione che conta — Cosa il Tribunale non ha deciso

Resta tutto aperto

La sentenza non è un'assoluzione nel merito. Le contestazioni che hanno alimentato l'istruttoria restano impregiudicate e saranno presumibilmente affrontate dalla DPC irlandese:

  • ·base giuridica per l'addestramento dei modelli
  • ·trasparenza e adeguatezza dell'informativa
  • ·verifica dell'età e tutela dei minori
  • ·notifica del data breach
  • ·esecuzione delle misure correttive già imposte

È la chiave di lettura più importante e quella che i titoli di stampa tendono a perdere. «Multa annullata» suona come una vittoria sostanziale; non lo è. La domanda di fondo — se si possa addestrare un modello su dati personali senza una base giuridica chiara — non ha ricevuto risposta. Ha cambiato foro.

06 / Il varco — «Stabilirsi, poi sfuggire»

Qui sta il problema strutturale che la pronuncia mette a nudo. Lo sportello unico nasce per semplificare; ma il criterio cristallizzato dal Tribunale è puramente temporale, non sostanziale. Finché un provider extra-UE opera senza uno stabilimento riconosciuto, ogni autorità nazionale è potenzialmente competente — con il rischio di procedimenti paralleli. Dal riconoscimento formale dello stabilimento, invece, lo sportello unico si attiva anche a istruttoria in corso, e il fascicolo deve migrare verso l'autorità capofila, salvo che una decisione definitiva sia già stata adottata.

Ne deriva una finestra: tra l'apertura del procedimento e la decisione finale, il titolare che costituisca (o faccia riconoscere) uno stabilimento unico può spostare la competenza verso l'autorità del proprio foro d'elezione. Stabilirsi, e con ciò sottrarsi all'autorità che stava indagando. Non è elusione in senso tecnico — è il funzionamento del sistema, letto alla lettera. Ma l'incentivo che genera è evidente, e tanto più sensibile quando l'autorità capofila «di destinazione» è notoriamente la più sollecitata e la meno rapida del continente.

07 / Operativo — Cosa cambia per chi sviluppa o usa IA

La sede UE è una leva strategica, non un dettaglio societario. Per i provider con presenza europea, dove stabilirsi — e con quale tempestività ottenerne il riconoscimento formale — è una scelta di risk management di primo ordine, con effetti diretti sull'autorità competente.

Prima del riconoscimento, esposizione diffusa. Senza stabilimento UE riconosciuto, il rischio non è zero: è plurale. Più autorità possono attivarsi in parallelo, ciascuna sul proprio territorio.

Il criterio è la decisione definitiva. La competenza si fissa solo quando il provvedimento finale è adottato. Fino a quel momento, un mutamento dello stabilimento può ridisegnare la mappa.

Per le imprese utenti, nulla cambia nel concreto. Un controllo su una PMI guarda a DPA, registro dei trattamenti, policy interne e documentazione dei trasferimenti — non all'esito di un contenzioso tra Garante e OpenAI.

L'attenzione regolatoria non si è ridotta. Il caso si sposta, non si chiude. E lo stesso ragionamento andrà testato man mano che l'enforcement migra dal GDPR all'AI Act.

Il Garante potrebbe impugnare in Cassazione, e lo stesso Tribunale, compensando le spese, ha riconosciuto la novità delle questioni. Resta aperta anche la lettura che l'EDPB darà del proprio parere del 2019. Per ora il dato è questo: una sanzione da quindici milioni è caduta non perché OpenAI avesse ragione nel merito, ma perché una sola parola in un documento non vincolante ha riscritto la geografia della competenza. È un risultato corretto sul piano sistematico e inquietante su quello dell'effettività. Lo sportello unico, pensato per unire, può diventare il punto da cui ci si sfila.

Questo articolo ha finalità informative e divulgative e non costituisce parere legale né sostituisce una consulenza professionale calibrata sul caso concreto. Le posizioni espresse riflettono l'analisi di Tomato Blue RegTech. © 2026 Tomato Blue.

La tua struttura di stabilimento regge l'enforcement transfrontaliero?

Tomato Blue progetta architetture in cui assetto societario e conformità sono un'unica struttura portante: dalla mappatura della competenza tra autorità di controllo all'allineamento GDPR, AI Act, MiCAR, NIS2 e DORA. Dalla gap analysis alla governance operativa del dato.

Richiedi una Gap Analysis →

Fonti

Tribunale di Roma, sent. 18 marzo 2026, n. 4153 (R.G. 4785/2025); Provv. Garante per la protezione dei dati personali n. 755 del 2 novembre 2024; artt. 55, 56, 60, 61, 66 Reg. UE 2016/679 (GDPR); EDPB, Opinion 8/2019 del 9 luglio 2019 sulla competenza dell'autorità di controllo in caso di mutamento delle circostanze relative allo stabilimento principale o unico; Cass. civ., Sez. I, ord. 22 settembre 2023, n. 27189 e sent. 8 febbraio 2022, n. 3952. Spunto editoriale: European Law Blog, «Establish, Then Escape? How the Court of Rome, the One-Stop-Shop and a Single Word Opened an AI Enforcement Gap».