DeepSeek: Le Clausole Controverse su dati personali, privacy e GDPR

Questo articolo è stato pubblicato anche sulla mia Newsletter di Substack, e nella mia Newsletter su Linkedin.

Nel mondo digitale, la gestione dei dati personali è una delle questioni più delicate e discusse, soprattutto quando si tratta di piattaforme innovative basate sull’Intelligenza Artificiale.
DeepSeek, un servizio che promette avanzate capacità di analisi e interazione, solleva diverse perplessità sulla tutela della privacy e sui diritti degli utenti.
Dall’acquisizione dei contenuti generati dagli utenti alla condivisione dei dati con terze parti, passando per clausole poco trasparenti sui Termini di Servizio, emergono potenziali criticità che meritano un’analisi approfondita. Mi sono preso la briga di analizzare i punti più controversi dei documenti ufficiali di DeepSeek, mettendo in luce i rischi legati alla protezione dei dati personali e alla conformità con normative come il GDPR.

Partiamo dalla Privacy Policy, per punti:

Raccolta di dati personali, qui il testo della Privacy Policy:

What Information We Collect
We may collect the following types of information:

Information You Provide to Us:

Information you provide through the use of our services, including text or audio input, files you upload, and the content of your communications.
Account information, such as your name, email address, and other details you may share when registering or managing your account.
Automatically Collected Information:

Information about your device, including IP address, browser type, operating system, and device identifiers.
Usage information, including the features you use, the time you spend on the service, and interaction data.
Information from Other Sources:

Information from third-party platforms, like Google or Apple, used to log in to the service.
Data provided by partners, advertisers, or other entities we collaborate with.

DeepSeek raccoglie dati personali, tra cui informazioni di input e output derivanti dall’utilizzo del loro servizio AI. Questi dati possono includere contenuti sensibili che l’utente inserisce nel sistema, ma la policy non chiarisce quanto tempo questi dati vengano conservati (anche se più avanti nella Privacy Policy c’è scritto che il tutto viene conservato “We retain information for as long as necessary”, praticamente fanno come gli pare) o se vengano anonimizzati.

Qui si fa interessante: Condivisione dei dati con terze parti

How We Share Information
We may share your information in the following ways:

With Service Providers and Partners:

We may share your data with third-party service providers, contractors, and partners who help us deliver, maintain, and improve our services. This includes hosting providers, analytics services, and payment processors.
With Affiliates:

Your information may be shared with our affiliates or subsidiaries (ovvero il Governo Cinese) for purposes consistent with this Privacy Policy.
For Legal Compliance:

We may disclose information if required by law (quindi sempre il Governo Cinese), such as in response to legal requests (dal Governo Cinese), subpoenas, or court orders (appunto), or if we believe in good faith that such disclosure is necessary to comply with applicable laws or protect the rights, safety, or property of our users or others.
As Part of Business Transfers:

In the event of a merger, acquisition, or sale of company assets, your information may be transferred as part of that transaction.
With Your Consent:

We may share your information with third parties when you provide your explicit consent to do so.

La policy specifica che i dati degli utenti possono essere condivisi con fornitori di servizi, partner affiliati e potenzialmente altre entità per non meglio specificati scopi operativi.
Tuttavia, non vengono definiti limiti chiari sul tipo di dati condivisi né sulle garanzie di protezione applicate.

Adempimenti legali e normative locali (locali nel senso Cinesi, non locali in base al fatto che noi siamo in Italia)

Legal Compliance
We may disclose your information to third parties, including governmental authorities (e qui lo dice nero su bianco), if we believe it is necessary to:

Comply with applicable laws, regulations, legal processes, or governmental requests.
Enforce our Terms of Service, investigate violations, or protect the integrity of our services.
Protect the rights, property, or safety of our company, our users, or others.
Detect, prevent, or address fraud, security, or technical issues.

Viene chiarito che DeepSeek può divulgare i dati degli utenti per conformarsi alle leggi locali cinesi, profondamente diverse dalle nostre, per usare un eufemismo.
Dal momento che la piattaforma è soggetta alla normativa cinese, ciò implica la possibilità che i dati siano accessibili al Governo Cinese, anche per motivi di presunta sicurezza nazionale (e sappiamo quale sia il metro cinese) o richieste giudiziarie.
Questa “conformità” non ha dettagli specifici che limitino l’accesso o ne garantiscano la trasparenza.

Diritti limitati degli utenti

Your Rights
Depending on your jurisdiction, you may have certain rights regarding your personal information, including:

Access and Correction:

You may request access to the personal information we hold about you and request corrections to any inaccuracies.
Deletion:

You may request that we delete your personal information, subject to any legal or operational requirements to retain it.
Data Portability:

In certain cases, you may have the right to request a copy of your personal information in a structured, machine-readable format.
Objection and Restriction:

You may object to or request the restriction of the processing of your personal information under certain circumstances.
Exercising Your Rights:

To exercise your rights, you can contact us at [email/contact details]. Please note that we may require additional information to verify your identity and process your request.
Limitations:

These rights may not apply in all circumstances and are subject to local laws and regulations.
Requests may be denied if they conflict with legal obligations, company interests, or operational needs.

Gli utenti hanno diritti limitati riguardo all’accesso, alla modifica e alla cancellazione dei propri dati, implicitamente anche riferito a tutto ciò che viene chiesto/scritto/generato/caricato (in caso di analisi di documenti sensibili, il fatot è grave).
La policy non specifica un processo chiaro per esercitare questi diritti, il che può rappresentare un ostacolo alla tutela della privacy individuale.

E qui è utile andare più a fondo con un confronto con la normativa GDPR relativamente a questo ultimo punto:

Accesso ai dati personali

DeepSeek: Gli utenti possono richiedere l’accesso ai propri dati, ma non viene garantita una procedura chiara e completa per farlo. Inoltre, non è specificato un tempo massimo entro cui l’azienda deve rispondere.

GDPR: L’Articolo 15 richiede che i titolari del trattamento forniscano l’accesso ai dati entro 30 giorni dalla richiesta e includano informazioni dettagliate sull’origine, finalità del trattamento e destinatari dei dati. Mancanza di chiarezza sulle tempistiche = non conforme.

Diritto di rettifica

DeepSeek: Permette agli utenti di correggere le inesattezze nei propri dati, ma non specifica come gli utenti possano esercitare questo diritto.

GDPR: L’Articolo 16 richiede una procedura ben definita per la rettifica dei dati e un obbligo di notifica agli utenti in caso di aggiornamenti. La mancata trasparenza sul processo = potenzialmente non conforme.

Diritto alla cancellazione (“diritto all’oblio”)

DeepSeek: La cancellazione è soggetta a “requisiti legali o operativi” senza spiegare chiaramente cosa significhi. Non sono indicati limiti temporali né eccezioni specifiche.

GDPR: L’Articolo 17 richiede che il diritto alla cancellazione venga rispettato salvo eccezioni molto specifiche (es. obblighi legali). Inoltre, i titolari devono fornire motivazioni chiare per eventuali rifiuti. La genericità di DeepSeek = non conforme.

Portabilità dei dati

DeepSeek: Indica che la portabilità è disponibile “in alcuni casi” senza ulteriori dettagli.

GDPR: L’Articolo 20 garantisce il diritto alla portabilità senza condizioni per i dati forniti dagli utenti e trattati su base consensuale o contrattuale. L’assenza di chiarezza o limitazioni ingiustificate = potenzialmente non conforme.

Diritto di opposizione e limitazione

DeepSeek: Consente agli utenti di opporsi o richiedere restrizioni al trattamento dei dati “in alcune circostanze” senza chiarire quali.

GDPR: L’Articolo 21 specifica che gli utenti hanno il diritto di opporsi al trattamento per motivi legittimi e il titolare deve sospendere immediatamente il trattamento in caso di richiesta, salvo dimostrare motivi legittimi superiori. Mancanza di trasparenza sulle condizioni = non conforme.

Limitazioni ai diritti e ambiguità

DeepSeek: Specifica che i diritti degli utenti “potrebbero non applicarsi in tutte le circostanze” o essere limitati da leggi locali, ma non indica chiaramente quali.

GDPR: Qualsiasi limitazione deve essere specifica e giustificata. La generica esclusione in base alle leggi locali = non conforme, soprattutto perché il GDPR prevale per utenti dell’UE.

Procedura per esercitare i diritti

DeepSeek: Non fornisce dettagli specifici su come presentare richieste (es. indirizzi, moduli, ecc.) e menziona che potrebbero essere richieste “informazioni aggiuntive” per la verifica.

GDPR: L’Articolo 12 richiede che le procedure siano chiare, facilmente accessibili e senza oneri eccessivi per gli utenti. La vaghezza e la mancanza di dettagli = non conforme.

Base giuridica per il trattamento

DeepSeek: Non specifica le basi legali per il trattamento dei dati (es. consenso, necessità contrattuale, obbligo legale).

GDPR: È obbligatorio specificare la base giuridica per ogni tipo di trattamento (Articolo 6). Mancata definizione = non conforme.

Detto questo, e dopo aver delineato questo scenario assurdo, riprendiamo la nostra analisi per punti della Privacy Policy di DeepSeek che evidenzia ulteriori falle.

Mancanza di chiarezza sulla protezione dei dati, la Privacy Policy dice

Data Security
We implement reasonable administrative, technical, and physical safeguards to protect your personal information against loss, misuse, unauthorized access, disclosure, alteration, and destruction.

However, no method of transmission over the internet or method of electronic storage is completely secure. While we strive to use commercially acceptable means to protect your information, we cannot guarantee its absolute security.

Non vengono forniti dettagli specifici sulle misure di sicurezza adottate per proteggere i dati raccolti. In particolare, non è chiaro se i dati siano criptati durante la trasmissione o l’archiviazione e come vengano gestite eventuali violazioni di sicurezza.

In particolare, alcune voci destano preoccupazione:

“Reasonable safeguards”: L’utilizzo di un termine generico come “reasonable” non specifica quali misure tecniche siano implementate (es. crittografia, firewall, pseudonimizzazione).

Nessuna menzione esplicita alla crittografia: Non si specifica se i dati siano criptati durante la trasmissione (in-transit) e l’archiviazione (at-rest).

Responsabilità limitata: Dichiarare che “non esiste un metodo completamente sicuro” potrebbe essere corretto tecnicamente, ma nel contesto del GDPR, i titolari devono garantire un livello di sicurezza adeguato ai rischi specifici (Articolo 32).

Mancanza di policy su violazioni dei dati: Non viene specificato come DeepSeek gestirebbe una violazione dei dati (es. notifica agli utenti e autorità competenti, entro 72 ore come richiesto dal GDPR).

L’ultimo punto che desta preoccupazione è quello relativo al miglioramento del servizio.

Eventuale utilizzo per scopi di analisi e miglioramento

How We Use Information
We may use the information we collect for the following purposes:

To Provide and Improve Our Services:

Analyze usage patterns to identify trends and improve the functionality and user experience of our platform.
Develop new features, products, and services based on user behavior and preferences.
For Research and Development:

Aggregate and anonymize data to conduct research and analysis aimed at improving our AI models and underlying algorithms.
For Troubleshooting and Maintenance:

Diagnose and resolve technical issues to ensure the stability and security of our services.
For Business Operations:

Use data to support operational, legal, and administrative purposes.
With User Consent:

For specific purposes where explicit consent is obtained.

La policy menziona che i dati degli utenti possono essere utilizzati per migliorare i servizi offerti da DeepSeek.
Tuttavia, non è specificato se questo processo includa la condivisione o l’elaborazione dei dati da parte di entità terze, incluse quelle esterne alla Cina.

Ma c’è di più.

Aggregazione e anonimizzazione: Non è chiaro come i dati vengano effettivamente “anonimizzati” e se questa anonimizzazione sia conforme agli standard GDPR, che richiede la rimozione di qualsiasi elemento che possa identificare direttamente o indirettamente un individuo.

Utilizzo implicito senza consenso esplicito: L’uso dei dati per migliorare i modelli AI o condurre ricerche potrebbe essere interpretato come non strettamente necessario per l’erogazione del servizio e, in base al GDPR, dovrebbe essere basato su un consenso esplicito (Articolo 6).
Infatti OpenAI in ChatGPT prevede per l’utente la possibilità di non fornire il consenso al miglioramento del modello, nelle impostazioni, e il consiglio è di tenerlo sempre disattivato, qui sotto il settaggio del mio ChatGPT.

Ambiguità nella portata del miglioramento: Non specifica quali tipi di “nuove funzionalità, prodotti e servizi” vengano sviluppati, né se questi abbiano impatti sulla privacy.

Un’analisi del TOS – Terms of Service di DeepSeek

Anche nel TOS di DeepSeek emergono punti oscuri e campanelli d’allarme, vediamo quali:

Ownership of User-Generated Content

By using the Service, you grant us a perpetual, irrevocable, worldwide, royalty-free, and transferable license to use, reproduce, distribute, and create derivative works of any input you provide through the Service, for purposes including but not limited to improving our services and AI models.

DeepSeek acquisisce diritti ampi e permanenti su qualsiasi contenuto inserito dagli utenti.
Questo significa che i dati immessi, anche se sensibili, possono essere utilizzati per sviluppare i modelli AI o altri servizi, senza limitazioni o possibilità di revoca da parte dell’utente.
Questo è in conflitto con il diritto alla portabilità e cancellazione dei dati previsto dal GDPR.

Limitation of Liability

To the fullest extent permitted by applicable law, we disclaim all liability for any loss, damage, or harm resulting from your use of the Service, including but not limited to data loss, unauthorized access, or misuse of data.

DeepSeek esclude ogni responsabilità per danni, inclusi la perdita di dati o l’accesso non autorizzato.
Questo potrebbe lasciare gli utenti senza tutela in caso di violazioni di sicurezza o trattamento improprio dei dati, contrariamente agli standard previsti dal GDPR e dal CCPA.

Changes to the Terms

We reserve the right to modify these Terms at any time without prior notice. Continued use of the Service after any changes constitutes your acceptance of the revised Terms.

L’azienda può modificare i termini in qualsiasi momento senza notificare direttamente gli utenti.
Questo implica che le condizioni d’uso possono cambiare in modi significativi senza il consenso esplicito degli utenti, violando il principio di trasparenza richiesto dal GDPR.

Compliance with Local Laws (Cinesi, non italiane)

You acknowledge and agree that your use of the Service is subject to the laws and regulations of the jurisdiction where we operate, including but not limited to data requests by governmental authorities.

DeepSeek chiarisce che è soggetta alle leggi locali cinesi, inclusi obblighi di condivisione dei dati con le autorità governative. Poiché l’azienda opera in Cina, questo potrebbe significare che i dati degli utenti possono essere condivisi con il Governo Cinese, anche senza il consenso degli utenti.

Suspension or Termination of Service

We may suspend or terminate your access to the Service at our sole discretion, for any reason, including but not limited to violation of these Terms or suspected misuse of the Service.

DeepSeek si riserva il diritto di sospendere o terminare l’accesso degli utenti senza necessità di spiegare le motivazioni.
Questo tipo di clausola è troppo generica e lascia un ampio margine di discrezionalità all’azienda, senza offrire alcuna tutela agli utenti.

Cosa si dice in giro: ad oggi nulla, perchè siamo ancora nella fase dei titoloni dei giornali in cui DeepSeek viene definito come chissà che cosa, senza stare a guardare la sua provenienza o con chi potrebbe condividere tutto ciò che scriviamo, chiediamo o peggio, carichiamo sulla piattaforma.

Ma esistono un paio di link interessanti comunque, uno riguarda una discussione su Reddit in cui sottolinea che DeepSeek condivide in modo aggressivo i dati con partner pubblicitari e di analisi, aumentando i rischi per la privacy.

L’altra su Hacker News evidenzia preoccupazioni riguardo ai Termini di Servizio di DeepSeek, in particolare per quanto riguarda la concessione di una licenza completa per l’uso e la riproduzione degli input e output degli utenti.