Nel 2026 sappiamo scrivere una informativa sulla privacy? Verrebbe da pensare di si, considerato il tempo trascorso dall’entrata in vigore del GDPR. Ma dal 2018 sono cambiate tante cose: una tra queste, il fenomeno dell’evoluzione e dell’utilizzo sempre più diffuso dei sistemi di intelligenza artificiale, insieme all’entrata in vigore dell’AI Act, primo quadro normativo completo sul punto.
Indice degli argomenti
La guida CNIL sulla trasparenza
Il principio di trasparenza impone alle organizzazioni che trattano dati personali di informare gli interessati in modo tale che comprendano gli usi che saranno fatti dei loro dati (perché e come) e siano in grado di esercitare i loro diritti (diritto di opposizione, diritto di accesso, rettifica, ecc.), anche e soprattutto quando il trattamento dei dati personali avviene per l’utilizzo o per il tramite di sistemi di A.I.
A ricordarlo è la CNIL, autorità di controllo per la protezione dei dati francese, che il 5 gennaio 2026 ha rilasciato una breve guida intitolata “Informing data subjects”: il presente contributo, citandone il prezioso contenuto, si propone di riepilogare i più recenti provvedimenti sanzionatori sul tema dell’informativa e di supportare le aziende indicando quando, come e dove informare gli interessati del trattamento, non senza indicarne le deroghe e le ulteriori misure per la salvaguardia della trasparenza, con un breve focus anche sulle altre normative rilevanti in materia di informativa (una tra tutte il Data Act).
Informativa privacy e intelligenza artificiale: perché nel 2026 è critica
Sebbene la normativa sulla data protection (il noto GDPR) sia in vigore da quasi un decennio, osservando il quadro sanzionatorio del 2025, emerge con chiarezza come l’adempimento informativo sia ancora troppo spesso gestito da parte delle aziende e delle organizzazioni come un mero adempimento burocratico, slegato dalla logica dei processi del suo contesto.
I provvedimenti del Garante per la protezione dei dati personali (di seguito “Garante”), infatti, mostrano una tolleranza zero verso documenti generici o contraddittori, ancor più se l’informazione sul trattamento di dati personali viene resa nel contesto dei sistemi di AI.
Panorama dei provvedimenti e sanzioni richiamati
Si riporta, nel seguito, una sintetica panoramica:
| Provvedimento | Oggetto | Sanzione |
| Provv. n. 287 del 21 maggio 2025 | La società destinataria del provvedimento è stata sanzionata dal Garante per la violazione del principio di trasparenza e del correlato obbligo di fornire agli interessati, prima dell’avvio dei trattamenti, un’informativa adeguata e completa al fine di consentire agli interessati di comprendere in anticipo la portata del trattamento e le sue conseguenze, nonché sulle modalità di utilizzo dei dati che li riguardano. In occasione dell’implementazione di strumenti di intelligenza artificiale, a maggior ragione secondo il Garante, gli interessati devono essere messi nelle condizioni di comprendere se i loro dati siano utilizzati nella fase di apprendimento dell’algoritmo | € 21.000,00 |
| Provv. n. 390 del 10 luglio 2025 | L’informativa è stata giudicata inidonea e “fuorviante” poiché utilizzava espressioni vaghe riguardo alle persone presenti al colloquio, lasciando intendere la possibile presenza di soggetti ulteriori non specificati e perché non conteneva informazioni esaustive in merito al trattamento dei dati svolti in occasione dei colloqui al rientro dalla malattia. | € 50.000,00 |
| Provv. n. 539 del 25 settembre 2025 | Sul sito web per la raccolta lead, il Garante ha rilevato che, il form di contatto era attivo ma “l’informativa non risulta attualmente consultabile“. Inoltre, nell’acquisizione di liste da fornitori extra-UE, la società non ha verificato “l’effettivo rilascio dell’informativa resa ai sensi degli artt. 13 – 14 del Regolamento” né l’informativa rilasciata dall’originario titolare. | € 35.000,00 |
| Provv. n. 593 del 9 ottobre 2025 | Il Garante ha contestato chel’informativa in calce al form di registrazione fosse viziata da opacità. Infatti, ricomprendeva in un unico consenso “Direct Email Marketing”, “attività promozionali” e “condivisione contatti“, realizzando un “automatico conferimento del consenso” per finalità distinte. La società ha omesso di dimostrare l’effettivo rilascio dell’informativa ex artt. 13-14 sia per i dati raccolti direttamente che per quelli acquisiti da terzi. | € 5.000,00 |
| Provv. n. 628 del 23 ottobre 2025 | I cartelli di “area videosorvegliata” (informativa di primo livello) contenevano un’informativa “inadeguata ad assicurare un sufficiente livello di trasparenza“. Nello specifico: “non riportano in maniera precisa la denominazione del titolare”, indicano una finalità “del tutto generica” (“per fini di sicurezza“) e “non fanno alcuna menzione dei diritti riconosciuti dal GDPR“. Inoltre, mancava “alcun riferimento alle modalità con le quali gli interessati possono consultare l’informativa completa di secondo livello“. | € 15.000,00. |
| Provv. n. 709 del 27 novembre 2025 | Il Garante ha contestato che l’informativa sul sito fosse “del tutto carente sotto il profilo della trasparenza” in quanto “non presenta alcuna corrispondenza tra le finalità del trattamento e le formule utilizzate ai fini dell’acquisizione del consenso“. Il testo riportava attività basate sul “legittimo interesse” che però avrebbero dovuto fondarsi su altre basi giuridiche. Sulla conservazione dei dati marketing (“massimo 5 anni”), la formulazione è stata ritenuta non conforme perché basata su valutazioni (durata contrattuale, prescrizione) non pertinenti alla finalità promozionale, violando il principio di limitazione della conservazione. | € 300.000,00 |
| Provv. n. 708 del 27 novembre 2025 | Nel box per i preventivi, l’informativa sintetica “non era preventivamente e immediatamente visibile” ma richiedeva un click su un link interno al testo (“accetti la politica di privacy”). L’informativa estesa mancava di trasparenza sul “teleselling“, che veniva svolto in modo “poco chiaro intrecciata all’attività di marketing”, con un termine di conservazione (12 mesi) ritenuto eccessivo e non trasparente, Sulla conservazione dati, la dicitura generica (“periodo strettamente necessario“) è stata sanzionata perché “indeterminata e rimessa alla mera volontà del Titolare“, non fornendo un criterio certo all’interessato. | € 400.000,00 |
Le istruzioni dell’autorità francese a supporto dei titolari del trattamento
In questo contesto, e tenendo conto delle difficoltà applicative che i titolari incontrano nel tradurre i requisiti di trasparenza in prassi operative efficaci, l’autorità francese CNIL è intervenuta con il documento “Informing data subjects”. Tale documento richiama l’esigenza di assicurare che le informazioni siano accessibili e intelligibili, evitando di confonderle con la documentazione contrattuale generale, e raccomanda l’adozione di un approccio “stratificato” (layered): un primo livello che evidenzi immediatamente gli elementi essenziali, con rinvio a livelli successivi per i dettagli tecnici. La CNIL ribadisce inoltre che l’informativa deve sempre includere tutti gli elementi previsti dagli artt. 13 e 14 GDPR, tra cui l’identità del titolare, i dati di contatto del DPO, le finalità e la base giuridica del trattamento, i tempi di conservazione, i diritti degli interessati e il diritto di proporre reclamo, e ciò a prescindere dall’esigenza di sintesi e di fruibilità del documento.
Informativa privacy e intelligenza artificiale secondo la CNIL
Oltre agli elementi essenziali, nelle informative che hanno ad oggetto trattamenti che coinvolgono l’AI, la genericità è il nemico principale e fonte primaria di sanzioni. Non è sufficiente indicare macro-finalità come lo “sviluppo di algoritmi” o il “miglioramento dei prodotti” ma è necessario specificare il contesto preciso (es. la patologia oggetto di studio) e le eventuali finalità commerciali o di certificazione futura, evitando di frammentare artificiosamente le fasi del trattamento per non disorientare l’interessato e invalidare la base giuridica.
Riuso di dataset e descrizione della logica del trattamento
La granularità delle informazioni diviene ancor più cruciale nel caso di riuso di dataset o di implementazione di modelli di IA soggetti al GDPR. Nel caso specifico del riutilizzo di dataset (ad esempio acquisiti da data broker o scaricati da repository pubblici), l’informativa deve descrivere chiaramente la logica del trattamento e le categorie di dati trattati. La CNIL raccomanda, specialmente per i dataset che presentano rischi maggiori, di fornire i mezzi per contattare il titolare originario da cui i dati sono stati prelevati. Una best practice consiste nell’inserire un riferimento diretto al sito web del titolare originario, accompagnato da una spiegazione concisa delle condizioni di raccolta e annotazione dei dati (ad esempio: “Questi dati provengono da un dataset fornito da [Nome Broker], i cui contatti sono [Link/Email]. Il dataset è costituito da immagini raccolte inizialmente da attori volontari…“). Il rinvio a una privacy policy aziendale generica non è sufficiente se questa non descrive lo specifico progetto di intelligenza artificiale.
Informativa privacy e intelligenza artificiale: rischi nel modello e fase di utilizzo
Inoltre, se il modello di IA stesso non è anonimo ma costituisce un trattamento di dati personali (soggetto quindi al GDPR secondo l’Opinion 28/2024 dell’EDPB), l’informativa dovrà estendersi oltre la fase di addestramento, avvisando gli utenti dei rischi specifici legati all’utilizzo, come il potenziale “rigurgito” (regurgitation) di dati memorizzati e le misure adottate per mitigarlo.
Fonti dei dati, raccolta indiretta e web scraping
Una distinzione pragmatica va operata per quanto riguarda le fonti dei dati, specialmente nei casi di raccolta indiretta o web scraping.
La CNIL stabilisce che se le fonti sono limitate, il titolare è tenuto a elencarle precisamente (es. indicando il nome del dataset pubblico o del data broker); se invece la raccolta è massiva, come nel caso di addestramento di Large Language Models tramite scraping, è sufficiente indicare le categorie di fonti utilizzate.
A titolo esemplificativo, l’autorità suggerisce dizioni come “siti di stampa nazionale”, “piattaforme di condivisione video”, “forum specializzati” o “social network professionali”, raccomandando come best practice l’indicazione dei domini specifici ove possibile.
Informativa privacy e intelligenza artificiale: obblighi per i GPAI e riassunti pubblici
Con riferimento ai modelli di IA per finalità generali (“GPAI”), l’obbligo di trasparenza del GDPR si salda con quello dell’AI Act: l’articolo 53 del Regolamento IA impone ai fornitori di rendere disponibile al pubblico un riassunto sufficientemente dettagliato dei contenuti utilizzati per l’addestramento.
La CNIL suggerisce di utilizzare il modello di riassunto fornito dall’Ufficio per l’IA (pubblicato a luglio 2025) come strumento complementare per integrare l’informativa privacy, garantendo così una trasparenza a tutto tondo che copra sia la conformità ai dati personali che la governance dell’intelligenza artificiale.
Tali indicazioni confermano che la trasparenza non costituisce un principio esclusivo della disciplina in materia di protezione dei dati personali, ma rappresenta un asse portante trasversale dell’attuale quadro regolatorio europeo in materia di dati e tecnologie digitali.
Trasparenza tra AI Act e obblighi informativi verso gli utenti
Analoghi obblighi emergono nell’AI Act che agli artt. 50–54 prevede requisiti di trasparenza a carico sia dei fornitori sia di chi implementa o utilizza i sistemi di IA. In particolare, gli utenti devono essere informati quando interagiscono con un sistema di IA e quando i contenuti (testi, immagini, audio o video) sono generati o manipolati artificialmente. Per i sistemi di IA generativa, è richiesto ai fornitori di adottare soluzioni tecniche idonee a rendere gli output riconoscibili come tali, anche tramite watermark digitali o metadati dei contenuti, fatte salve specifiche eccezioni previste dalla normativa. Nel loro complesso, tali obblighi delineano la trasparenza come requisito minimo e trasversale dei sistemi digitali e di IA, funzionale a prevenire pratiche ingannevoli, tutelare gli utenti e rafforzare la fiducia dei cittadini in tali tecnologie, in un’ottica di correttezza, trasparenza e governo consapevole dei dati.
Informativa privacy e intelligenza artificiale: il rafforzamento nel Data Act
Il principio di trasparenza appare ulteriormente rafforzato dal Data Act, normativa che introduce specifici obblighi informativi a carico dei fornitori di servizi di trattamento dei dati. In particolare, l’art. 28 impone la pubblicazione, sui siti web dei fornitori, di informazioni relative alla giurisdizione applicabile alle infrastrutture TIC utilizzate e di una descrizione generale delle misure tecniche, organizzative e contrattuali adottate per garantire sicurezza e protezione dei dati. Anche in questo contesto, la trasparenza è funzionale a garantire consapevolezza, controllo e responsabilizzazione lungo la catena del trattamento.
Le deroghe
Tuttavia, il legislatore europeo, consapevole delle difficoltà pratiche in determinati contesti (si pensi al training di AI su grandi dataset), ha previsto delle deroghe all’obbligo di informativa individuale.
L’art. 14, paragrafo 5, del GDPR stabilisce specifiche deroghe, analizzate puntualmente dalla guida della CNIL. In primo luogo, la lettera a) esonera il titolare qualora l’interessato disponga già delle informazioni. La CNIL avverte però che, nel caso di dati raccolti tramite terzi (es. data brokers), il titolare non può presumere tale conoscenza ma deve verificare attivamente che l’informativa fornita all’origine copra anche il suo specifico trattamento; in caso contrario, l’esonero non opera.
Ancor più rilevante per i sistemi di IA è la deroga di cui alla lettera b), applicabile quando comunicare l’informativa individuale risulta impossibile o richiederebbe uno “sforzo sproporzionato“. Per invocare legittimamente questa esenzione, la CNIL richiede un’analisi caso per caso documentata, basata su criteri oggettivi quali l’assenza di dati di contatto, la vetustà dei dati (es. informazioni risalenti a oltre 10 anni con accuratezza incerta) o il volume elevato degli interessati a fronte di costi di comunicazione insostenibili.
L’autorità francese opera una distinzione importante: se il titolare possiede un canale di contatto (es. l’e-mail di propri clienti di cui vuole riutilizzare i dati), lo sforzo non è mai sproporzionato e l’informativa individuale resta obbligatoria. Al contrario, nel caso di raccolta di dati solo indirettamente identificativi, la ricerca dell’identità reale o dei contatti dei singoli autori potrebbe configurare un trattamento eccessivamente intrusivo.
È fondamentale sottolineare, però, che l’esonero dall’informativa individuale, nelle citate eccezioni, non è un “liberi tutti”. Il titolare deve obbligatoriamente rendere pubbliche le informazioni (es. pubblicando l’informativa sul proprio sito web o in un punto centralizzato del dataset). Inoltre, a compensazione del mancato contatto diretto, la CNIL suggerisce l’adozione di misure appropriate a tutela dei diritti, tra cui elenca espressamente: la conduzione di una valutazione d’impatto (“DPIA”) anche ove non strettamente necessaria, l’applicazione di tecniche di pseudonimizzazione, la riduzione dei tempi di conservazione e l’implementazione di misure di sicurezza rafforzate La mancata adozione di tali misure di garanzia, specialmente in contesti più strutturati, espone le organizzazioni a sanzioni severe, come dimostrano le citate pronunce del Garante.
Informativa privacy e intelligenza artificiale: un piano d’azione in 5 step per le aziende
Il quadro sanzionatorio impone alle aziende un cambio di paradigma: l’informativa non può più essere considerata un documento statico da allegare pro forma, ma diviene un processo dinamico che accompagna l’intero ciclo di vita del dato, specialmente all’interno di progetti che prevedono l’utilizzo di Intelligenza Artificiale.
Per garantire la conformità e mitigare il rischio sanzionatorio, le organizzazioni dovrebbero adottare un piano d’azione strutturato sui seguenti pilastri operativi:
1. Mappatura dei trattamenti e delle finalità perseguite, distinguendo chiaramente tra sviluppo del prodotto, addestramento dell’algoritmo e fase di utilizzo. L’informativa deve riflettere tale granularità, evitando accorpamenti artificiosi che rischiano di compromettere la validità della base giuridica;
2. Controllo sulla filiera: è necessario verificare e comprovare documentalmente che il fornitore originario abbia reso un’informativa idonea a coprire anche il successivo passaggio e trattamento, pena la sanzione per mancato controllo della filiera;
3. Informativa “stratificata”: abbandonare i muri di testo in favore di un approccio a livelli (layered approach). Le informazioni chiave e le icone di avvertimento devono essere immediatamente visibili (primo livello), rimandando tramite link diretti o QR code a un’informativa estesa (secondo livello) che sia specifica per il progetto e non una generica privacy policy aziendale;
5. Definizione della data retention: eliminare dai documenti ogni riferimento a tempi di conservazione “strettamente necessari” o legati a valutazioni soggettive. I criteri devono essere ancorati a parametri oggettivi (es. durata del progetto pilota, specifiche scadenze normative) e non devono mescolare i tempi di sviluppo con quelli di un’eventuale futura commercializzazione;
6. Governance delle eccezioni: laddove l’informativa individuale risulti impossibile o sproporzionata, la pubblicazione di un’informativa generale deve essere accompagnata da misure compensative documentate (DPIA, pseudonimizzazione, riduzione della conservazione, sicurezza rafforzata), in una logica di bilanciamento effettivo dei diritti.
In definitiva, la trasparenza nel 2026 cessa di essere un mero onere burocratico per divenire un asset strategico. Solo le aziende che sapranno spiegare con chiarezza “come” e “perché” utilizzano gli algoritmi, garantendo il controllo sulla filiera del dato, potranno valorizzare i propri asset informativi al riparo da sanzioni che, come dimostrano i recenti provvedimenti, colpiscono sempre più severamente l’opacità dei processi decisionali e l’inadeguatezza delle tutele.
