Cittadinanza digitale Sicurezza Informatica Sanità digitale Industry 4.0/Innovazione in azienda Infrastrutture digitali Procurement dell'innovazione Fatturazione elettronica Documenti digitali Scuola digitale Cultura e società digitali Mercati digitali Startup Strumenti Sostenibilità e smart city Intelligenza Artificiale In poche parole

intelligenza artificiale

Digital Omnibus: dati sensibili e IA, cosa cambia con l’art. 9

Home Sicurezza digitale Privacy
Partecipa al dibattito
Indirizzo copiato

La Commissione europea riforma l’art. 9 GDPR per l’intelligenza artificiale. La proposta autorizza l’impiego di categorie particolari di dati quando eliminarle comporta sforzi sproporzionati, spostando il focus dalla minimizzazione alla sostenibilità tecnica della reingegnerizzazione del sistema

Pubblicato il 1 dic 2025
Francesca Niola

Research Fellow Legal manager @ Aisma srl

minacce ibride rischi informatici sentenza deloitte diritto di accesso

La gestione dei dati sensibili nel conteso dell’intelligenza artificiale si inserisce tra le sfide più complesse per le imprese che sviluppano sistemi algoritmici avanzati. Il Digital Omnibus propone una riforma dell’art. 9 GDPR che potrebbe ridefinire i confini tra protezione dei diritti fondamentali e sostenibilità tecnica dei modelli di IA.

Digital Omnibus, GDPR e AI Act: la nuova grammatica digitale europea

La promessa del Digital Omnibus per le imprese AI

Per un imprenditore che investe in sistemi di intelligenza artificiale, il nuovo art. 9, lett. k), nella versione proposta dal Digital Omnibus, offre subito una promessa seducente: utilizzo di dati particolari lungo l’intero ciclo di vita dell’IA ogni volta che la loro rimozione richiede uno sforzo sproporzionato, entro un quadro di misure tecniche e organizzative ritenute adeguate. La clausola entra nel cuore dei modelli di business fondati su dati abbondanti e architetture algoritmiche complesse, poiché introduce una soglia giuridica che dialoga direttamente con i costi di reingegnerizzazione, con la qualità predittiva dei modelli e con la velocità di sviluppo delle soluzioni.

Il riposizionamento del GDPR nell’ecosistema digitale europeo

La proposta della Commissione si inscrive dentro un movimento più ampio: il Digital Omnibus riorienta il GDPR verso una gestione del rischio digitale maggiormente integrata con AI Act, NIS2, Data Governance Act ed ePrivacy, attraverso interventi circoscritti su articoli chiave che incidono sull’equilibrio originario fra diritti fondamentali e flessibilità operativa. L’art. 9 assume in questo quadro una funzione centrale. La protezione rafforzata riguarda soltanto i dati che rivelano direttamente origine razziale o etnica, opinioni politiche, convinzioni religiose o filosofiche, appartenenza sindacale, stato di salute, vita sessuale, orientamento sessuale, oltre ai dati genetici e biometrici destinati all’identificazione univoca. La scelta riduce la portata dell’articolo rispetto alle inferenze ottenute tramite correlazioni e, insieme, apre un varco specifico per l’IA attraverso la lettera k), sullo sfondo di un impianto ormai fortemente razionalizzato a favore dell’economia del dato.

Il regime attuale dei dati sensibili e il principio di indispensabilità

Fino ad oggi, l’impiego di dati sensibili richiede una stretta aderenza alle deroghe tradizionali. Infatti, l’ordinamento autorizza il trattamento solo quando lo scopo rientra in ipotesi formalmente tipizzate e quando la necessità del dato coincide con la necessità della finalità. In altri termini, l’intero assetto protegge la sfera più intima dell’individuo mediante un criterio di indispensabilità quasi assoluta.

La nuova deroga per l’intelligenza artificiale

La lettera k), nella versione proposta dal Digital Omnibus, introdurrebbe invece un varco strutturale che incide sul perimetro applicativo dell’art. 9. Il testo in esame consente l’impiego di categorie particolari nel ciclo di vita dei sistemi di intelligenza artificiale quando la loro rimozione comporta uno sforzo sproporzionato, con l’obbligo di adottare misure tecniche e organizzative idonee a contenerne gli effetti e a circoscriverne l’uso. Le imprese incontrano così un regime in cui l’indispensabilità del dato cede il passo a una logica fondata sulla funzionalità del modello, sulla robustezza tecnica dell’algoritmo e sulla difficoltà concreta di espungere porzioni sensibili dai dataset.

La riduzione della tutela e l’ampliamento della legittimità

Il dato testuale conferma questo spostamento. Il pacchetto Digital Omnibus restringe la tutela dell’art. 9 ai soli dati che rivelano direttamente l’informazione protetta, con esclusione delle inferenze ottenute tramite correlazione, e crea una deroga dedicata all’intelligenza artificiale, che autorizza l’uso di dati sensibili ogni volta che la loro eliminazione risulterebbe disproporzionata rispetto alla struttura del sistema. L’effetto complessivo si traduce in una riduzione della granularità della protezione e in un ampliamento significativo dell’area di legittimità dell’AI training basato su dataset complessi.

Chi decide sulla sproporzione: il nodo interpretativo centrale

La domanda decisiva: chi valuterebbe la “disproporzione”?

L’interrogativo sulla titolarità della valutazione della “disproporzione” conduce nel cuore del nuovo regime, poiché la lettera k) rimane silente proprio sul punto nevralgico: l’identificazione del soggetto che attribuisce valore giuridico alla difficoltà tecnica di rimuovere categorie particolari di dati dai sistemi di IA. Questa assenza non produce un vuoto normativo, bensì una struttura diffusa della decisione, distribuita su più livelli del sistema europeo della protezione dei dati.

Il ruolo del titolare del trattamento nella valutazione

Il primo livello coincide con l’impresa che sviluppa o impiega il sistema di IA. Il titolare del trattamento acquisisce un ruolo centrale, poiché conserva la responsabilità di articolare la valutazione dentro i documenti che formano la spina dorsale della compliance: la DPIA, che il Digital Omnibus proietta verso una configurazione uniforme e controllata a livello europeo, e le schede tecniche richieste dall’AI Act, in cui confluiscono analisi del rischio, logiche interne del modello e requisiti di affidabilità. La sproporzione diventa così un giudizio motivato che assume valore nella misura in cui si innesta dentro un apparato documentale coerente.

La valutazione dei fornitori di modelli AI

Il secondo livello riguarda i fornitori di modelli di IA, soprattutto nei casi in cui l’impresa utilizza modelli generali o componenti preaddestrate. In queste ipotesi, la valutazione della sproporzione tende a formarsi già in fase di progettazione del modello, come esito di una sofisticata analisi ingegneristica condotta dal soggetto che controlla il ciclo di vita dell’algoritmo. Le imprese acquirenti ricevono questa valutazione come parte integrante della documentazione contrattuale e tecnica, spesso in forma di audit, schede di conformità o allegati che descrivono la struttura dei dataset e la ragionevolezza della scelta di non intervenire su specifici segmenti sensibili. Tale eredità riduce l’onere dell’impresa utilizzatrice, ma delimita anche il suo margine di controllo: la sproporzione prende forma a monte, dentro logiche progettuali che l’impresa finale interpreta più che definire. La responsabilità rimane, ma la capacità di incidere sul nucleo tecnico della decisione diminuisce.

L’intervento armonizzatore di Commissione ed EDPB

Un terzo livello, più complesso e più capace di incidere in modo uniforme sull’intero mercato europeo, si radica nell’intervento della Commissione e dell’EDPB. Il Digital Omnibus attribuisce a queste istituzioni poteri crescenti nella definizione di modelli europei di DPIA, nella predisposizione di elenchi comuni di trattamenti soggetti a valutazione d’impatto e nella produzione di linee guida tecniche che standardizzano il lessico operativo della proporzione e della sproporzione. Questa architettura istituzionale produce un’evoluzione progressiva: la sproporzione viene progressivamente assorbita dentro criteri uniformi, calibrati sulla struttura dei sistemi di IA e sulle capacità tecniche del titolare. L’intervento europeo trasforma così una valutazione inizialmente situata in un parametro stabile, destinato a condizionare i processi decisionali delle imprese e a ridurre il rischio di valutazioni arbitrarie.

La sproporzione come categoria dinamica e processuale

La sproporzione entra nell’art. 9, lett. k), come categoria che vive solo dentro un processo, mai dentro uno schema numerico. La logica della bozza del Digital Omnibus suggerisce un criterio che nasce sempre da un incrocio dinamico tra struttura del modello, onerosità degli interventi di ristrutturazione e responsabilità tecnica del titolare; la forza della nuova disposizione dipende proprio dalla capacità di tenere insieme questi piani, senza ridurli a compartimenti stagni.

Struttura del modello e integrità funzionale

La struttura del modello di IA produce una prima pressione interpretativa. L’addestramento su basi dati ampie crea una trama di correlazioni in cui i dati particolari entrano spesso come nodi interni della rete, con effetti rilevanti sul comportamento del sistema. L’eliminazione di tali nodi incide sulla stabilità del modello e sul suo allineamento ai requisiti di accuratezza e affidabilità previsti dall’AI Act; l’ordinamento riconosce questa realtà tecnica e la assume come elemento giuridicamente rilevante. La sproporzione prende così forma dentro la struttura stessa dell’algoritmo, poiché l’integrità funzionale diventa parte del bilanciamento.

Reingegnerizzazione e parametri giuridici

L’onere della reingegnerizzazione trasforma questa pressione tecnica in parametro giuridico. La bozza richiama esplicitamente scenari in cui la rimozione richiede ricostruzioni profonde del sistema, con un impatto diretto su costi, tempi e continuità operativa. Gli interventi richiesti attraversano pipeline, pesi interni, sistemi di monitoraggio e modelli di validazione, con un’intensità che influenza il margine di intervento del titolare. La sproporzione assume contorni più nitidi quando l’architettura risulta così stratificata da richiedere ricomposizioni che assorbono risorse eccessive rispetto alle finalità del trattamento.

Responsabilità del titolare e governo dei dati

Questa dimensione tecnica incontra la responsabilità del titolare, che deve dimostrare un livello adeguato di governo dell’intero ciclo di vita del dato. La bozza richiede misure per evitare la raccolta di categorie particolari, strumenti per identificarle all’interno dei flussi e tecniche per rimuoverle ogni volta che la struttura organizzativa consente interventi effettivi. La sproporzione assume valore solo se il titolare mostra di aver operato con rigore: mappature, filtri, controlli, audit, documenti interni che tracciano tentativi di riduzione del contenuto sensibile. Il giudizio finale deriva sempre dall’incontro tra complessità del modello e capacità concreta del titolare di governarla.

Dalla minimizzazione al costo della purificazione

Da questa triangolazione nasce il vero nodo della bozza: la sproporzione tende a spostare il fulcro del giudizio dalla minimizzazione al costo della purificazione. La questione apre spazio a dibattito, poiché introduce il rischio di una deroga ampia alla tutela dei dati sensibili; il commento contenuto nei file descrive, infatti, una “licenza estesa” per l’uso delle categorie particolari nelle fasi di training, con riduzione della granularità originaria del GDPR. La tensione con l’art. 8 della Carta risulta evidente: la protezione rafforzata richiede un presidio più incisivo rispetto a qualsiasi dato che incide sull’identità intima della persona.

Verso un’interpretazione costituzionalmente orientata

Una soluzione equilibrata, coerente con la tradizione costituzionale europea, richiede un’interpretazione che vincola la sproporzione a un principio di esigibilità tecnica: il titolare ottiene accesso alla deroga soltanto quando dimostra un livello avanzato di competenza tecnica nella gestione dei dataset, e quando la struttura del modello lascia spazio a misure di contenimento effettive che impediscono usi impropri dei residui sensibili rimasti nell’architettura. L’ordinamento può introdurre, mediante linee guida e atti delegati, criteri che definiscono soglie chiare per la reingegnerizzazione, modelli di DPIA capaci di distinguere tra vera complessità e mera convenienza economica, controlli più intensi per sistemi che incorporano categorie particolari anche come residui.

Una clausola costruita in questo modo assume un carattere più coerente con la protezione dei diritti fondamentali. La sproporzione diventa parametro costituzionalmente legittimo solo se la sua applicazione deriva da un percorso trasparente, documentabile e tecnicamente fondato, in cui la difficoltà dell’intervento coincide con la profondità del modello e mai con strategie elusive del titolare. L’equilibrio richiede, dunque, un’interpretazione che tiene insieme dignità della persona, complessità dell’algoritmo e responsabilità tecnica dell’impresa, dentro una trama regolatoria capace di governare le frizioni che il testo della bozza inevitabilmente genera.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

N
Francesca Niola
Research Fellow Legal manager @ Aisma srl
Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
Mobile security
AI per il lavoro
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • privacy digital omnibus; convenzioni Consip;

  • norme ue

    Digital Omnibus, la resa dell’Unione Europea sui diritti digitali?

    25 Nov 2025

    di Marco Calamari

    Condividi
  • digital omnibus e ricerca (1); vida IVA

  • dati personali

    Digital Omnibus: come cambia il GDPR per AI e ricerca

    25 Nov 2025

    di Silvia Stefanelli

    Condividi
  • intelligenza artificiale pc sistemi di raccomandazione AI generativa nei Global Business Services intelligenza artificiale e lavoro

  • la lettura

    Rischi sociali e etici dell'AI generativa: i pericoli nascosti

    18 Giu 2025

    di Valter Mellano

    Condividi