Cittadinanza digitale Sicurezza Informatica Sanità digitale Industry 4.0/Innovazione in azienda Infrastrutture digitali Procurement dell'innovazione Fatturazione elettronica Documenti digitali Scuola digitale Cultura e società digitali Mercati digitali Startup Strumenti Sostenibilità e smart city Intelligenza Artificiale In poche parole

responsabilità

Il DPO oltre la compliance: l’etica è la bussole per l’IA in azienda

Home Industry 4.0/Innovazione in azienda
Partecipa al dibattito
Indirizzo copiato

La tecnologia corre più veloce della legge e il DPO si trova spesso senza risposte “pronte” nei soli testi normativi. Per guidare scelte su sicurezza e organizzazione serve una bussola aggiuntiva: l’etica applicata, capace di valutare impatti reali su diritti, libertà e dignità delle persone

Pubblicato il 23 gen 2026
Graziano de’ Petris

Responsabile Protezione Dati in ambito sanitario – Vicepresidente APIHM

Filomena Polito

Responsabile Protezione Dati in ambito sanitario – Valutatore Privacy

sanzioni dpo dpo in sanità

Il Data Protection Officer si deve aggiornare: non si deve più occupare soltanto di compliance perché ha una precisa responsabilità etica nell’implementazione delle nuove tecnologie.

Essere DPO oggi: requisiti, responsabilità, competenze

DPO ed etica dell’intelligenza artificiale: perché la legge non basta più

Che il mondo digitale corra più veloce delle leggi, è oramai un’ovvietà.

Chiunque operi nel campo della protezione dei dati lo sa molto bene, in alcuni casi la mancanza di un riferimento normativo è diventato, negli ultimi due anni, una vera e propria urgenza, di fronte alla quale a volte non è facile al Responsabile della Protezione Dati o  Data Protection Officer fornire, in assenza di norme che inquadrino la specifica fattispecie, un parere sulla necessità di implementare determinate misure di sicurezza di carattere tecnico ma anche solo organizzativo, potendo trarre le indicazioni soltanto dal quadro generale delle disposizioni del Gdpr Regolamento Ue 2016/679.

Il Data Protection Officer di oggi si trova a navigare in acque inesplorate, dove le vecchie mappe della compliance tecnologica e normativa sono divenute inadeguate e dove è necessario utilizzare, anche attraverso sistemi di “reti professionali”, un nuovo tipo di bussola: quella dell’etica applicata alla tecnologia, che deve aggiungersi ovviamente al set normativo nazionale e comunitario che regola le attività di trattamento dei dati personali .

Che cosa è cambiato con l’IA generativa e il nuovo perimetro dei dati

Prima del 2023, il concetto di “data protection” era relativamente chiaro: proteggere i dati personali quando questi erano identificabili.

Un perimetro definito, regole consolidate, prassi operative collaudate.

Poi è arrivata l’intelligenza artificiale generativa e ha cambiato completamente le regole del gioco.

Oggi per contribuire ad assicurare la protezione dei dati, il DPO non deve più valutare le misure di sicurezza previste dall’articolo 32 del Regolamento sopra citato, ma capire anche il modo in cui i dati personali vengono usati, combinati, elaborati e rielaborati.

Il termine “privacy” sta diventando una ipocrita figura retorica, utilizzata quando non si vuol fare qualcosa o additata come impedimento o lacciuolo all’evoluzione tecnologica, che è comunque inevitabile.

Per evitare di ricevere risposte del tipo: “tanto Facebook e le app sanno già tutto di noi” bisogna che si ragioni in termini di rispetto del principio di data protection by design, altrimenti l’influenza che le decisioni automatiche esercitano sulle vite dei singoli soggetti interessati, spesso in modi che nemmeno percepiamo, diventa estremamente pericolosa.

I sistemi di IA generativa, i sofisticati algoritmi di riconoscimento facciale, i modelli predittivi sempre più accurati hanno in tutta evidenza spostato ampiamente il confine di ciò che è tecnicamente possibile, lasciando il diritto a rincorrere affannosamente la tecnologia e tendendo spesso a dimenticare l’etica ed il rispetto dei diritti della persona, che è  per lo più inconsapevole del reale valore intrinseco delle sue informazioni.

DPO ed etica dell’intelligenza artificiale nei tre scenari che cambiano le decisioni

Un titolare intende implementare un sistema di intelligenza artificiale per selezionare e valutare i dipendenti da assumere o promuovere.

Selezione e promozioni: bias, trasparenza e diritti del lavoratore

La tecnologia consente di realizzarlo. È legale? Probabilmente sì, se strutturato correttamente e accettato dalle RSU e nel rispetto delle norme di tutela del lavoratore, compreso l’articolo 4 della Legge 300/1970. Ma è anche etico? Come il DPO può aiutare a garantire che il lavoratore non sia discriminato in base a fattori non chiaramente comprensibili a causa della mancata trasparenza degli algoritmi protetti da copyright? E come assicurare comunque tale obbligatoria trasparenza algoritmica?

Emozioni e riconoscimento facciale: libertà di scelta e dignità

Il titolare vuole analizzare le emozioni ricavate dall’analisi dei volti dei clienti che entrano in un esercizio commerciale attraverso sistemi di riconoscimento facciale avanzato per affinare l’induzione all’acquisto dei suoi prodotti. Tecnicamente è possibile, la tecnologia esiste ed è facilmente accessibile. Ma il DPO dovrebbe solo dire al titolare che la legge lo consente? Quali sono le implicazioni sulla libertà di scelta e sulla dignità delle persone di cui dovrebbe informare il titolare? E quali garanzie devono essere adottate? 

Cloud e catena di fornitura: responsabilità e accountability distribuita

Un fornitore di servizi SaS in cloud promette miracoli in termini di prestazioni ed efficienza; il servizio immesso sul mercato da un diverso player ed offerto al titolare del trattamento. Ma chi sarà effettivamente a rispondere nel caso in cui qualcosa va storto? E quale contributo può fornire il DPO per  distribuire correttamente la responsabilità lungo la catena di fornitura, che molto spesso è più articolata di quanto a prima vista possa sembrare?

Queste domande non trovano una risposta immediata nei soli testi del GDPR e dell’AI Act, ma richiedono un’analisi più profonda del quadro di riferimento, che integri competenze legali, tecniche ed etiche.

Oltre la base giuridica: quando la legalità non coincide con l’opportunità

Il Regolamento UE del 2016 impone ai titolari, avvalendosi dell’apporto del proprio DPO, di individuare, tra gli altri, l‘adeguato presupposto prima di attivare ogni attività di trattamento.

Infatti non si può trattare lecitamente dati personali senza una precisa base giuridica.

È un principio fondamentale, ma non esaurisce o soddisfa la relativa questione etica, che rende necessario porsi una domanda ulteriore: solo perché puoi farlo tecnicamente e legalmente, significa anche che dovresti farlo?

Un esempio illuminante: tracciare i movimenti dei dipendenti con badge elettronici per ottimizzare l’utilizzo delle risorse aziendali sarebbe perfettamente legale, con il consenso informato dei lavoratori.

Dal punto di vista tecnico, ciò consentirebbe di raccogliere dati preziosi per ottimizzare il lavoro.

Ma per contro tale rilevazione creerebbe un clima di controllo costante nel contesto lavorativo, minando la fiducia nei confronti del datore di lavoro e potenzialmente danneggiando il benessere psicologico dei lavoratori, elemento che comunque verrebbe a detrimento della salute del lavoro e della redditività aziendale.

La legalità quindi potrebbe non bastare a ritenere adeguato l’avvio di una attività di trattamento; serve, a ben vedere, che il DPO ne valuti la proporzionalità e l’opportunità, formulando al titolare un parere che va ben oltre quello della mera conformità normativa, che a prima vista ci si potrebbe aspettare come indicazione.

DPO ed etica dell’intelligenza artificiale tra GDPR e AI Act: logica di rischio e tutele

L’AI Act europeo, entrato in vigore nel 2024, ha introdotto un approccio basato sul rischio per classificare i sistemi di intelligenza artificiale.

Questo framework si affianca al Regolamento sulla protezione dei dati personali, che già dal 2018 protegge effettivamente i cittadini europei regolamentando il trattamento dei dati personali secondo una logica basata anch’essa sul rischio.

Entrambe le norme perseguono, a ben vedere, il medesimo obiettivo, quello di tutelare i diritti e le libertà fondamentali delle persone.

L’intelligenza artificiale porta con sé straordinarie opportunità, come ad esempio l’automazione dei processi, le diagnosi mediche più accurate, i servizi personalizzati.

Ma la sua introduzione presenta anche rischi significativi: decisioni opache, discriminazioni nascoste negli algoritmi, perdita del controllo individuale sui propri dati e sulle decisioni che ci riguardano.

Il Data Protection Officer di oggi deve essere un soggetto in grado di valutare non soltanto il rispetto formale della “privacy”, ma anche l’impatto sociale complessivo delle tecnologie utilizzate per il trattamento dei dati personali, in particolare se si tratta di IA.

È un vero e proprio salto di paradigma, che richiede nuove competenze e un nuovo approccio al ruolo, più sostanziale che formale, capace di suggerire al titolare come approcciarsi correttamente ai sistemi aziendali che si avvalgono di tecnologie di intelligenza artificiale.

I quattro pilastri dei nuovi compiti del DPO

Il profilo professionale del Data Protection Officer è molto complesso e si è evoluto molto rapidamente.

Così, accanto alle tradizionali funzioni di controllo e supervisione individuati dal Regolamento UE 2016/679, a questo competono nuove responsabilità:

Il DPO come valutatore etico

Al DPO non basta più, prima di fornire il suo contributo al titolare,  chiedersi “è legale?”. Occorre porsi anche la domanda “è giusto farlo?”. Questo richiede al DPO la capacità di analizzare l’impatto delle tecnologie oltre i confini della compliance formale, valutandone i possibili eventuali danni che la loro introduzione potrebbe comportare ai diritti degli interessati.

Il DPO come ponte tra tecnologia e diritti

Il DPO deve saper tradurre il le promesse delle tecnologie in impatto reale sulle persone. Deve riuscire a comprendere come funzionano gli algoritmi e i sistemi di IA per poterne valutare le implicazioni sui diritti fondamentali.

Il DPO come promotore di una cultura della responsabilità

Per poter svolgere efficacemente il proprio compito il DPO non deve solo verificare la compliance del sistema aziendale dove svolge le proprie funzioni, ma deve costruire fiducia, diventando il custode e il diffusore di una cultura organizzativa che mette al centro la responsabilità verso le persone.

Nuove tecnologie emergono ogni giorno, le normative evolvono continuamente. Il DPO deve mantenersi costantemente aggiornato, coltivando curiosità intellettuale e apertura all’apprendimento e deve necessariamente confrontarsi, anche attraverso propri organismi rappresentativi o “reti”, con l’Autorità di controllo, sulle migliori strategie da adottare per assicurare l’effettiva protezione dei dati e non meri formalismi burocratici.

Riconoscimento facciale: il caso limite tra biometria, bias e proporzionalità

Consideriamo un caso concreto che illustra bene l’approccio integrato necessario oggi al DPO.

Un’azienda propone di installare telecamere con riconoscimento facciale all’ingresso con la duplice funzione di riconoscere i dipendenti allo scopo di velocizzare l’accesso e l’uscita attestandone l’orario e contemporaneamente di effettuare un’analisi comportamentale mediante IA in grado di identificare dalla sola immagine del volto la propensione dei visitatori a commettere crimini.

Che attività al riguardo dovrà fare il DPO? Che osservazioni dovrà evidenziare al titolare?

Dal punto di vista legale, i dati biometrici rientrano nelle categorie particolari di dati personali. È necessario quindi individuare una base giuridica particolarmente robusta per il loro trattamento.

Dal punto di vista tecnico, occorre valutare l’accuratezza del sistema: è noto che alcuni algoritmi di riconoscimento facciale hanno presentato pesanti bias razziali o di genere. Come saranno garantite la qualità e la sicurezza dei dati biometrici raccolti?

Dal punto di vista etico, al DPO devono sorgere domande sulla proporzionalità del trattamento dei dati che dovrebbe essere svolto: esistono alternative meno invasive che raggiungerebbero lo stesso obiettivo? Quale impatto psicologico avrebbe sui lavoratori la consapevolezza di essere costantemente riconosciuti e tracciati? Quali problemi comporterebbe l’impedire l’entrata ad un soggetto discriminato dall’algoritmo?

La soluzione che il DPO esperto in questo scenario può suggerire potrebbe essere, ad esempio, quella di proporre un sistema alternativo di autenticazione a due fattori, basato su un sistema a prossimità e PIN personale dei dipendenti, preceduto da un’analisi d’impatto approfondita, e da un coinvolgimento significativo delle rappresentanze dei lavoratori, quali stakeholders di specifico riferimento. E di lasciare completamente da parte l’analisi comportamentale. Perché in questa specifica applicazione i pericoli risulterebbero maggiori dei benefici, nonostante la soluzione tecnologica sia affascinante e apparentemente efficiente.

DPO ed etica dell’intelligenza artificiale: la bussola operativa in quattro principi

In questo contesto complesso e in rapida evoluzione, alcuni principi fondamentali possono fungere da guida al Data Protection Officer per svolgere con efficacia, anche dopo il confronto all’interno della propria rete professionale con i colleghi, il mandato conferito dall’articolo 39 del Regolamento UE 201&679:

Trasparenza comprensibile: dall’informativa “corretta” alla comunicazione chiara

Le persone, gli interessati, devono comprendere cosa si fa con i loro dati. Non basta un’informativa legalmente corretta ma poco comprensibile; è necessaria una comunicazione chiara, facilmente accessibile e onesta, fruibile, comunicazione in cui le competenze specialistiche del DPO sono indispensabili.

Proporzionalità e accountability: documentare per costruire fiducia

Fino a che punto il beneficio ottenibile dall’attività di trattamento dei dati personali giustifica l’invasione della sfera privata dell’interessato? È una domanda che il DPO deve porsi caso per caso, senza mai dare nulla per scontato, al fine di consigliare opportunamente il titolare, tenendo anche conto della volontà dell’interessato che consapevolmente potrebbe scegliere di non acconsentire al trattamento o di contestarne l’avvio.

Non basta che il titolare del trattamento dichiari di essere conforme alla normativa vigente, ma tale condizione deve poter essere dimostrata. La documentazione, la distribuzione documentata delle responsabilità, le procedure, le verifiche suggerite dal DPO al titolare non devono essere percepite come inutile burocrazia, ma come strumenti per costruire e mantenere la fiducia tra titolare e interessati.

Dignità umana e minimizzazione: privacy by design e by default come criterio

Le persone non sono pacchetti di dati da ottimizzare. Ogni scelta tecnologica operata dal titolare su suggerimento del DPO deve partire dal riconoscimento della dignità intrinseca di ogni individuo, individuando le misure necessarie a minimizzare il trattamento rispettando rigorosamente i principi di privacy by design e privacy by default, individuati dal succitato articolo 25.

Dal metaverso alle neurotecnologie: perché il DPO deve saper dire “no”

Mentre cerchiamo ancora di metabolizzare le sfide attuali, il futuro sta già bussando alla porta. Le neurotecnologie consentono di realizzare dispositivi in grado di leggere e interpretare l’attività cerebrale. Il metaverso pone interrogativi inediti sulle identità digitali e su quali siano i reali confini tra dato personale e avatar. I dati genomici stanno diventando accessibili e richiedono una gestione attenta e quotidiana.

A tal proposito il DPO del futuro non è una figura da immaginare: è una necessità già oggi. E deve essere pronto ad affrontare sfide che, fino a pochi anni fa, appartenevano solo alla fantascienza.

La protezione dei dati personali non è un ostacolo all’innovazione.

È, al contrario, la garanzia che l’innovazione sia sostenibile e rispettosa dei diritti fondamentali delle persone, ascoltandone le esigenze e gestendone le istanze.

Questo è ciò che distingue il progresso dalla mera evoluzione tecnologica.

Tre dimensioni si intrecciano nel lavoro quotidiano del DPO:

  • Tecnologia: cosa possiamo fare
  • Diritto: cosa dobbiamo fare
  • Etica: cosa dovremmo fare

Il DPO esperto è quello che ha imparato a navigare, studiando ed approfondendo, anche attraverso reti professionali specifiche, il rapporto tra questi tre mondi, ogni giorno, senza perdere di vista l’obiettivo fondamentale: proteggere le persone, non solo i dati.

Perché dietro ogni dato c’è sempre una persona, con la sua dignità, i suoi diritti, le sue aspirazioni.

In un’epoca in cui la tecnologia può tutto, o quasi, il vero valore aggiunto del Data Protection Officer sta nel chiedersi non solo cosa è possibile fare, ma cosa è giusto fare.

E nell’avere il coraggio di dire “no” quando è necessario, anche quando sarebbe più facile e comodo dire “sì”.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

D
Graziano de’ Petris
Responsabile Protezione Dati in ambito sanitario – Vicepresidente APIHM
P
Filomena Polito
Responsabile Protezione Dati in ambito sanitario – Valutatore Privacy
Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
PA digitale
AI per il lavoro
Mobile security
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • IA generativa in azienda digitalizzazione formazione aziendale IA nella PA Evoluzione dell'IA Regolamento IA aziendale capitalI nascosti AI generativa; cybersecurity manifatturiero

  • innovazione

    IA generativa in azienda: guida all’uso consapevole e strategico

    28 Mar 2025

    di Zorina Alliata

    Condividi
  • ai-governance-agenda-digitale

  • approfondimento

    AI governance: come i board guidano la trasformazione etica

    15 Ott 2025

    di Mattia Lanzarone

    Condividi
  • Additive manufacturing (1)sicurezza informatica industriale

  • cybersecurity industriale

    Fabbriche connesse, ma vulnerabili: strategie per produrre in sicurezza

    03 Nov 2025

    di Giorgio Casali

    Condividi
0
Lascia un commento, la tua opinione conta.x