Il Provvedimento n. 574/2025 del Garante Privacy contro la piattaforma ClothOff rappresenta un momento fondativo nella costruzione di un diritto algoritmico europeo. Il caso evidenzia la necessità di superare la mera tutela del dato per abbracciare l’integrità della persona digitale, minacciata da tecnologie capaci di generare nudità artificiali senza consenso. Il contributo analizza la ratio del provvedimento alla luce del GDPR, dell’AI Act e delle esperienze comparate, proponendo una riflessione sistemica sulla responsabilità tecnologica e sulla centralità della dignità umana. Per approfondimenti in materia, segnaliamo, con piacere, l’uscita della seconda edizione del “Formulario commentato della privacy”, acquistabile cliccando su Shop Maggioli o su Amazon.
Formulario commentato della privacy
La nuova edizione dell’opera affronta con taglio pratico gli aspetti sostanziali e procedurali del trattamento dei dati personali alla luce delle nuove sfide poste dall’evoluzione normativa e tecnologica degli ultimi due anni. La disciplina di riferimento è commentata tenendo conto dei rilevanti interventi a livello europeo e nazionale (tra cui le Linee Guida EDPB, i regolamenti AI Act e DORA, l’attuazione della direttiva NIS 2), offrendo al Professionista una guida completa e aggiornata.
Il libro è suddiviso in tredici sezioni, che coprono ogni aspetto della materia e tutti gli argomenti sono corredati da oltre 100 formule e modelli. Tra le novità più rilevanti:
• Connessioni tra il nuovo AI Act e il GDPR, differenze tra FRIA e DPIA, valutazione dei rischi e incidenti
• Gestione del personale: smart working, telelavoro e whistleblowing
• Strumenti di monitoraggio: controlli a distanza dei lavoratori, cloud computing e gestione degli strumenti informatici in azienda
• Tutela degli interessati: una guida completa su profilazione, processi decisionali automatizzati e sull’esercizio dei diritti
• Strumenti di tutela: sanzioni, reclami, segnalazioni e ricorsi al Garante.
Giuseppe Cassano
Direttore del Dipartimento di Scienze Giuridiche della European School of Economics della sede di Roma e Milano, ha insegnato Istituzioni di Diritto Privato nell’Università Luiss di Roma. Avvocato cassazionista. Studioso dei diritti della persona, del diritto di famiglia, della responsabilità civile e del diritto di Internet, ha pubblicato oltre trecento contributi in tema, fra volumi, trattati, voci enciclopediche, note e saggi.
Enzo Maria Tripodi
attualmente all’Ufficio legale e al Servizio DPO di Unioncamere, è un giurista specializzato nella disciplina della distribuzione commerciale, nella contrattualistica d’impresa, nel diritto delle nuove tecnologie e della privacy, nonché nelle tematiche attinenti la tutela dei consumatori. È stato docente della LUISS Business School e Professore a contratto di Diritto Privato presso la facoltà di Economia della Luiss-Guido Carli. Ha insegnato in numerosi Master post laurea ed è autore di oltre quaranta monografie con le più importanti case editrici.
Cristian Ercolano
Partner presso Theorema Srl - Consulenti di direzione, con sede a Roma; giurista con circa 20 anni di esperienza nell’applicazione della normativa in materia di protezione dei dati personali e più in generale sui temi della compliance e sostenibilità. Ricopre incarichi di Responsabile della Protezione dei Dati, Organismo di Vigilanza e Organismo Indipendente di Valutazione della performance presso realtà private e pubbliche. Autore di numerosi contributi per trattati, opere collettanee e riviste specialistiche sia tradizionali che digitali, svolge continuativamente attività didattica, di divulgazione ed orientamento nelle materie di competenza.
Leggi descrizione
Giuseppe Cassano, Enzo Maria Tripodi, Cristian Ercolano, 2025, Maggioli Editore
62.00 €
58.90 €
Formulario commentato della privacy
La nuova edizione dell’opera affronta con taglio pratico gli aspetti sostanziali e procedurali del trattamento dei dati personali alla luce delle nuove sfide poste dall’evoluzione normativa e tecnologica degli ultimi due anni. La disciplina di riferimento è commentata tenendo conto dei rilevanti interventi a livello europeo e nazionale (tra cui le Linee Guida EDPB, i regolamenti AI Act e DORA, l’attuazione della direttiva NIS 2), offrendo al Professionista una guida completa e aggiornata.
Il libro è suddiviso in tredici sezioni, che coprono ogni aspetto della materia e tutti gli argomenti sono corredati da oltre 100 formule e modelli. Tra le novità più rilevanti:
• Connessioni tra il nuovo AI Act e il GDPR, differenze tra FRIA e DPIA, valutazione dei rischi e incidenti
• Gestione del personale: smart working, telelavoro e whistleblowing
• Strumenti di monitoraggio: controlli a distanza dei lavoratori, cloud computing e gestione degli strumenti informatici in azienda
• Tutela degli interessati: una guida completa su profilazione, processi decisionali automatizzati e sull’esercizio dei diritti
• Strumenti di tutela: sanzioni, reclami, segnalazioni e ricorsi al Garante.
Giuseppe Cassano
Direttore del Dipartimento di Scienze Giuridiche della European School of Economics della sede di Roma e Milano, ha insegnato Istituzioni di Diritto Privato nell’Università Luiss di Roma. Avvocato cassazionista. Studioso dei diritti della persona, del diritto di famiglia, della responsabilità civile e del diritto di Internet, ha pubblicato oltre trecento contributi in tema, fra volumi, trattati, voci enciclopediche, note e saggi.
Enzo Maria Tripodi
attualmente all’Ufficio legale e al Servizio DPO di Unioncamere, è un giurista specializzato nella disciplina della distribuzione commerciale, nella contrattualistica d’impresa, nel diritto delle nuove tecnologie e della privacy, nonché nelle tematiche attinenti la tutela dei consumatori. È stato docente della LUISS Business School e Professore a contratto di Diritto Privato presso la facoltà di Economia della Luiss-Guido Carli. Ha insegnato in numerosi Master post laurea ed è autore di oltre quaranta monografie con le più importanti case editrici.
Cristian Ercolano
Partner presso Theorema Srl - Consulenti di direzione, con sede a Roma; giurista con circa 20 anni di esperienza nell’applicazione della normativa in materia di protezione dei dati personali e più in generale sui temi della compliance e sostenibilità. Ricopre incarichi di Responsabile della Protezione dei Dati, Organismo di Vigilanza e Organismo Indipendente di Valutazione della performance presso realtà private e pubbliche. Autore di numerosi contributi per trattati, opere collettanee e riviste specialistiche sia tradizionali che digitali, svolge continuativamente attività didattica, di divulgazione ed orientamento nelle materie di competenza.
Introduzione: quando l’algoritmo spoglia la persona
Un tempo, la Corte difendeva il corpo fisico. Oggi, il diritto è chiamato a difendere il corpo digitale: quell’estensione immateriale dell’identità che vive nell’immagine, nel dato, nella rappresentazione algoritmica della persona.
Con il caso ClothOff, il Garante per la protezione dei dati personali interviene con chirurgica precisione su uno dei nodi più sensibili dell’ecosistema dell’intelligenza artificiale: la manipolazione automatizzata dell’immagine umana. La piattaforma, gestita da una società con sede offshore, consentiva a chiunque di generare immagini di nudo artificiale partendo da fotografie reali. Nessun controllo sull’età, nessuna verifica dell’identità, nessuna garanzia di consenso. In pochi secondi, un volto reale poteva essere trasfigurato in un corpo fittizio, sessualmente esplicito, e potenzialmente lesivo.
Dietro questa apparente “innovazione”, il Garante ha riconosciuto una minaccia sistemica: la dissoluzione della dignità come confine dell’identità digitale. Quando l’immagine perde il suo legame con la verità, la persona rischia di essere ridotta a simulacro, a oggetto manipolabile, a corpo algoritmico privo di protezione.
Il provvedimento non si limita a censurare un servizio: riafferma un principio. La dignità non è un residuo retorico, ma un criterio operativo. È il limite che il diritto impone alla tecnologia, il confine che separa l’innovazione legittima dalla disumanizzazione automatizzata.
Il contenuto e la ratio del provvedimento
Con il Provvedimento n. 574 del 1° ottobre 2025, l’Autorità Garante per la protezione dei dati personali ha deciso di intervenire con urgenza contro la piattaforma ClothOff, un sito che promette “nudità virtuale” generata da intelligenza artificiale. Il servizio, accessibile anche dall’Italia, consente di caricare una fotografia reale e ottenere un’immagine di nudo artificiale, verosimile e potenzialmente lesiva, senza alcuna verifica dell’età, del consenso o dell’identità del soggetto ritratto.
Il Garante ha disposto — ai sensi dell’art. 58, par. 2, lett. f) del GDPR — la limitazione provvisoria del trattamento dei dati personali da parte della società titolare, vietando l’accesso al sito per gli utenti italiani. Una misura cautelare, sì, ma anche una presa di posizione netta.
Le violazioni riscontrate sono gravi e manifeste:
- Non esiste una base giuridica valida per il trattamento dei dati;
- Non vengono adottate misure per verificare l’età o il consenso delle persone ritratte;
- Manca qualsiasi forma di protezione by design, come previsto dall’art. 25 del GDPR;
- Il watermark “Fake”, che dovrebbe segnalare la natura artificiale dell’immagine, è tenue, rimovibile e inefficace.
Ma la portata del provvedimento va oltre la tecnica. Il Garante riconosce che la nudificazione digitale è una nuova forma di violenza simbolica, in cui la libertà viene violata non attraverso il contatto fisico, ma mediante l’appropriazione dell’immagine. È una violazione del corpo mediata dal codice, una disumanizzazione algoritmica che trasforma l’identità visiva in oggetto di consumo, scherno o abuso.
La ratio profonda del provvedimento è dunque assiologica: non si tratta solo di proteggere il dato, ma di tutelare la persona nella sua integrità digitale. Il diritto della protezione dei dati si conferma presidio della dignità umana, capace di opporsi alle derive dell’automatismo irresponsabile e di riaffermare la centralità dell’individuo nell’ecosistema tecnologico.
In un tempo in cui gli algoritmi possono svestire, manipolare e umiliare, il diritto non può restare neutro. Deve tornare a essere coscienza critica del digitale, orientando l’innovazione verso la responsabilità, la giustizia, l’umano.
Il quadro europeo: tra GDPR e AI Act
Il provvedimento del Garante si colloca all’interno di un contesto europeo in rapida trasformazione, dove la tutela della persona digitale non può più limitarsi alla protezione del dato, ma deve abbracciare l’interezza dell’identità algoritmica.
Il Regolamento (UE) 2016/679 (GDPR) continua a rappresentare il perno normativo, fondato sui principi di liceità, trasparenza e responsabilità. A esso si affianca ora il Regolamento (UE) 2024/1689 (AI Act), che introduce obblighi specifici per i sistemi di intelligenza artificiale generativa, in particolare per quelli capaci di produrre contenuti manipolati o ingannevoli.
Nel caso ClothOff, tali obblighi risultano completamente disattesi. Il watermark che dovrebbe segnalare la natura artificiale dell’immagine è evanescente, l’origine del contenuto non è tracciabile, e la distinzione tra reale e artificiale diventa impossibile da cogliere per l’utente medio. Il risultato è un corto circuito della fiducia digitale: l’immagine, veicolo primario dell’identità, perde la sua autenticità, e con essa la capacità del diritto di garantire la verità.
L’intervento del Garante ristabilisce l’equilibrio, riaffermando un principio fondamentale: l’innovazione è legittima solo se conforme ai criteri di responsabilità e umanità tecnologica. In un ecosistema dove l’algoritmo può generare, manipolare e disumanizzare, il diritto è chiamato a ricostruire la cornice etica, a riattribuire senso e verità all’immagine, e a proteggere la persona nella sua dimensione digitale.
Potrebbero interessarti anche:
- AI Act: nuovi obblighi per professionisti e imprese dal 2 agosto 2025
- Legge AI in vigore dal 10 ottobre: novità e guida per avvocati e giuristi
- Dati biometrici: il ruolo del GDPR nel trasferimento dei dati personali
- Piattaforme digitali e responsabilità civile: i nuovi paradigmi dell’economia della condivisione
- Nuovo Codice di Condotta Agcom per Influencer: regole, obblighi e sanzioni
Le esperienze comparate: un diritto che si internazionalizza
Il caso italiano si colloca nel solco di una tendenza globale.
In Francia, la Loi n. 2024-321 vieta la diffusione di deepfake sessuali senza consenso, fondando il principio della non simulabilità del corpo altrui.
In Germania, il Telemediengesetz impone l’etichettatura permanente dei contenuti artificiali e la verifica dell’età degli utenti.
Negli Stati Uniti, invece, il quadro è frammentario: alcuni Stati (come California e Texas) hanno introdotto norme sui deepfake pornografici, ma manca una cornice federale coerente.
L’Italia, con il provvedimento ClothOff, si pone in posizione d’avanguardia, riaffermando la funzione preventiva e personalistica del diritto: non punire ex post, ma impedire che l’offesa digitale si consumi.
Verso un diritto della dignità algoritmica
Il caso ClothOff non è soltanto un episodio di enforcement amministrativo: è un atto fondativo del diritto algoritmico europeo. Segna il passaggio da una tutela incentrata sul dato a una protezione integrale della persona digitale, intesa nella sua totalità: corpo, immagine, reputazione, libertà.
Con il Provvedimento n. 574/2025, il Garante per la protezione dei dati personali non si limita a sanzionare una violazione tecnica, ma inaugura una nuova stagione del diritto, in cui la dignità non è più un concetto retorico, ma un principio operativo, capace di orientare l’azione regolatoria e giurisprudenziale.
Nel tempo dei deepfake, il diritto è chiamato a farsi presidio di autenticità. Ogni algoritmo, dietro la sua apparente neutralità, incarna una scelta di valore. E se il codice può svestire, manipolare, disumanizzare, solo il diritto può rivestire la persona della sua verità e della sua umanità.
La pronuncia impone al legislatore e alla giurisprudenza una riflessione più ampia: il superamento degli automatismi non è un punto d’arrivo, ma l’inizio di una nuova stagione del diritto digitale, fondata su equità, consapevolezza e rispetto radicale della dignità umana.
Il messaggio è chiaro: nessuna innovazione è legittima se calpesta la persona. E il futuro del diritto digitale sarà quello che saprà coniugare progresso tecnologico e responsabilità etica.
