GDPR e AI Act si configurano come due modelli distinti di regolazione di fenomeni tecnologici complessi.
La Data Protection, grazie al GDPR, rappresenta ormai un diritto maturo, fondato su principi stabili e sul paradigma dell’accountability; l’AI Act adotta invece un approccio più prescrittivo, ancorato a requisiti tecnico-organizzativi e a una tecnologia in continua evoluzione.
Ne deriva una peculiare convivenza tra diritto dei principi e diritto della tecnologia, con il rischio che un’eccessiva prossimità alla dimensione tecnica esponga la norma a rapida obsolescenza. La riflessione mette così in luce i limiti e le sfide della regolazione giuridica nell’era dell’intelligenza artificiale: il rischio da scongiurare con la massima attenzione è che la norma, anziché orientare e qualificare lo sviluppo, finisca per frenare l’innovazione.
Indice degli argomenti
Dal principio alla prescrizione: GDPR e AI Act tra diritto dei valori e diritto della tecnologia
Mettere a confronto il GDPR e l’AI Act significa interrogarsi non soltanto su due regolamenti europei, ma su due diversi modi di intendere il rapporto tra diritto e tecnologia. Entrambi nascono con una medesima ambizione di fondo: governare fenomeni complessi, trasversali e in rapida evoluzione — il trattamento dei dati personali da un lato, i sistemi di intelligenza artificiale dall’altro — evitando approcci eccessivamente casistici e adottando modelli regolatori flessibili, capaci di adattarsi a contesti molto diversi tra loro. In questo senso, GDPR e AI Act condividono una matrice comune: sono strumenti di regolazione orizzontale, fondati su una logica di gestione del rischio e sulla responsabilizzazione degli operatori.
Tuttavia, la somiglianza rimane a questo livello generale. È entrando nella loro struttura, nella loro genealogia normativa e nella loro logica interna che emergono differenze profonde, che non riguardano soltanto il contenuto delle norme, ma il modo stesso in cui il diritto prova a governare la tecnologia.
La prima, fondamentale differenza attiene alla diversa maturità giuridica dei due strumenti e, prima ancora, dei diritti che essi presidiano. La protezione dei dati personali — almeno nel contesto europeo — rappresenta un diritto storicamente nemmeno troppo recente. Non affonda le proprie radici in tradizioni secolari: la sua genesi viene comunemente ricondotta alla fine dell’Ottocento negli Stati Uniti, con le prime riflessioni sulla tutela della vita privata in risposta alla diffusione della stampa “rosa” locale, mentre in Europa prende forma in modo più strutturato solo nella seconda metà del Novecento, quale reazione sia alla crescente invasività e curiosità dell’opinione pubblica nella sfera privata delle persone note, sia allo sviluppo delle tecnologie informatiche e alla crescente capacità di raccolta e trattamento delle informazioni sui cittadini.
Ciò nondimeno, al momento della sua adozione nel 2016, il GDPR si inseriva in un contesto già caratterizzato da alcune decadi di evoluzione normativa, giurisprudenziale e culturale. Tale percorso aveva progressivamente consolidato principi, categorie interpretative e prassi applicative, contribuendo a trasformare la protezione dei dati da ambito emergente a diritto ormai maturo, dotato di un solido impianto teorico e di una diffusa consapevolezza istituzionale e sociale.
A partire dalle prime legislazioni nazionali degli anni ’70, passando per la direttiva 95/46/CE degli anni ’90 — primo tentativo organico dell’Unione europea di disciplinare la materia — si è progressivamente costruito un corpus di principi, prassi e interpretazioni che hanno dato solidità e coerenza al sistema. Per oltre vent’anni, il modello “a direttiva” ha alimentato un patrimonio giuridico ricco: interventi delle autorità garanti, elaborazioni giurisprudenziali, prassi amministrative, interpretazioni consolidate. Il GDPR si inserisce in questo percorso come momento di sintesi e di armonizzazione: trasforma un insieme di esperienze nazionali in un quadro unitario, direttamente applicabile, fondato su principi già “testati” — liceità, proporzionalità, trasparenza, accountability. È, dunque, un diritto giovane e al tempo stesso già maturo, che non crea ex novo il proprio oggetto, ma ne organizza e rafforza la disciplina.
L’AI Act si colloca in una prospettiva radicalmente diversa. Non rappresenta il punto di arrivo di un percorso normativo stratificato, ma il punto di partenza di una nuova area del diritto. Non esiste, alle sue spalle, un equivalente della direttiva 95/46/CE né un trentennio di elaborazione progressiva. Esiste, piuttosto, una tecnologia di cui si è solo “fantasticato” già a partire dal secondo dopo guerra ma che si è sviluppata in modo esponenziale negli ultimi anni, imponendo al legislatore europeo una risposta rapida e anticipatoria. Si tratta quindi di un diritto “nascente”, privo di una giurisprudenza significativa, di prassi consolidate e di modelli interpretativi condivisi. Un diritto che non si limita a regolare fenomeni già stabilizzati, ma che tenta di orientare, quasi in tempo reale, l’evoluzione di una tecnologia ancora in trasformazione.
Eppure, è proprio qui che emerge la prima, profonda differenza. La protezione della privacy nasce, per così dire, da un atto fondativo chiaro e riconoscibile: il celebre contributo di Samuel D. Warren e Louis D. Brandeis, pubblicato nel 1890 sulla Harvard Law Review, in cui viene rivendicato il “right to be let alone”. In quella formulazione originaria si individua immediatamente un bene giuridico definito — la sfera privata dell’individuo — e un’esigenza di tutela altrettanto chiara: proteggere lo spazio personale dall’invadenza degli operatori economici e della stampa, ulteriormente potenziata dall’uso di nuovi strumenti tecnologici e mediatici. Il dato personale diventa così il perimetro concreto entro cui si esercita questo diritto, e la costruzione normativa successiva si sviluppa in modo coerente attorno a tale nucleo.
L’AI Act, invece, si colloca su un piano differente. Esso nasce certamente con l’obiettivo di tutelare i diritti fondamentali, ma tali diritti non sono “scoperti” o definiti dalla nuova disciplina: sono già ampiamente riconosciuti e regolati, in particolare nell’ambito della Convenzione europea dei diritti dell’uomo e, più in generale, nel sistema costituzionale e sovranazionale europeo. Il legislatore, in questo caso, non delimita un nuovo diritto, bensì interviene su una tecnologia, cercando di orientarne lo sviluppo affinché sia compatibile con un catalogo di diritti preesistenti. In altri termini, non si protegge un “oggetto giuridico nuovo”, ma si disciplina uno strumento affinché rispetti un ordine giuridico già dato.
Nel GDPR il principio genera la regola applicativa; nell’AI Act, almeno in parte, è la prescrizione tecnica a diventare il veicolo principale attraverso cui il principio prende forma. Questo spostamento di baricentro non è neutro: modifica il modo in cui le organizzazioni percepiscono la compliance, il ruolo delle funzioni di controllo e persino il rapporto tra innovazione tecnologica e regolazione.
È una traiettoria regolatoria più complessa e, per certi versi, più ambiziosa. Richiede al legislatore di intervenire in una fase ancora fluida dello sviluppo tecnologico, senza poter contare su categorie interpretative stabili o su una prassi applicativa consolidata. Per questo, essa appare come una scalata — se non pericolosa — certamente ripida: un tentativo di coniugare innovazione e tutela dei diritti in tempo quasi reale, con il rischio costante di inseguire una realtà che evolve più rapidamente delle norme chiamate a governarla.
Diritto stabile e tecnologia fluida
Questa differenza di maturità si riflette direttamente nella stabilità dell’oggetto regolato. Nel GDPR, il diritto alla protezione dei dati personali, pur nella sua evoluzione, si fonda su un nucleo concettuale relativamente chiaro: informazioni riferibili a una persona fisica identificata o identificabile. Le difficoltà applicative non riguardano tanto l’individuazione dell’oggetto, quanto la sua implementazione organizzativa: distribuzione dei ruoli, adeguatezza delle misure, conduzione delle valutazioni d’impatto.
L’AI Act, invece, si confronta con un oggetto intrinsecamente instabile. La definizione stessa di sistema di intelligenza artificiale contenuta nella norma non è una questione meramente teorica, ma incide direttamente sull’ambito di applicazione della norma stessa. Le tecnologie riconducibili all’AI sono molteplici, eterogenee e in continua evoluzione: machine learning, sistemi generativi, modelli statistici avanzati, algoritmi adattivi.
Ed è proprio su questo punto che emerge una criticità strutturale: l’oggetto della regolazione è, per sua natura, sfuggente. La nozione di “intelligenza artificiale” non gode di una definizione univoca né in ambito scientifico né in quello giuridico. Già in sede OCSE si è osservato come l’AI costituisca una categoria “ombrello”, che ricomprende tecniche e approcci profondamente diversi tra loro, difficilmente riconducibili a un’essenza comune. Analogamente, la dottrina ha più volte sottolineato il rischio che ogni tentativo definitorio finisca per essere o eccessivamente restrittivo — e quindi rapidamente obsoleto — oppure talmente ampio da risultare quasi evanescente. In questa prospettiva, è plausibile ritenere che l’intelligenza artificiale, così come oggi la definiamo nella sua ampiezza, sia destinata in tempi relativamente brevi a divenire una componente sistemica di qualsiasi nuovo sistema, software o applicazione, fino a perdere la propria autonomia concettuale e a non essere più percepita come una specificità, ma come un presupposto implicito della tecnologia stessa.
Non a caso, il legislatore europeo, nella definizione contenuta nel regolamento, ha adottato una formulazione volutamente estensiva, ispirata anche ai lavori dell’OCSE, cercando di includere sistemi che operano con diversi gradi di autonomia e che producono output quali previsioni, raccomandazioni o decisioni. Tuttavia, proprio questo sforzo di inclusività produce un effetto paradossale: nel tentativo di non essere riduttiva, la definizione diventa inevitabilmente evanescente. Il risultato è che l’AI Act non disciplina un oggetto chiaramente delimitato — come accade per il dato personale nel GDPR — ma una realtà tecnologica che tende a ridefinirsi nel momento stesso in cui viene normata.
Principi e prescrizioni: il vero spartiacque
La differenza più profonda tra GDPR e AI Act emerge tuttavia nella loro architettura normativa. Il GDPR è costruito come una normativa fortemente principle-based. I principi generali — liceità, correttezza, trasparenza, minimizzazione, limitazione delle finalità, integrità e riservatezza — costituiscono il fondamento dell’intero sistema. Il fulcro è rappresentato dall’accountability: il titolare non solo deve rispettare tali principi, ma deve essere in grado di dimostrarlo. Gli obblighi che ne derivano hanno natura prevalentemente organizzativa e documentale: registri dei trattamenti, DPIA, politiche interne, misure tecniche e organizzative adeguate, privacy by design e by default. Il sistema richiede interpretazione, adattamento, responsabilità. In questo impianto si inserisce la figura del DPO, elemento strutturale della governance: un soggetto indipendente che assiste, monitora e contribuisce a rendere effettivo il principio di accountability. Il GDPR, in altre parole, è un diritto che presuppone e valorizza l’interpretazione.
L’AI Act, pur condividendo una logica risk-based, presenta una struttura diversa, più articolata e per certi versi più “ingegnerizzata”. Non esiste un principio di accountability con la stessa centralità, né una figura equivalente al DPO. La responsabilità è distribuita lungo l’intera filiera: provider, deployer, importatori, distributori. Questa impostazione segnala un cambio di paradigma: non più una responsabilità accentrata (Titolare) e presidiata da una figura di garanzia (DPO), ma una responsabilità diffusa, che richiede coordinamento, tracciabilità e capacità di governo lungo tutta la catena del valore (Governance). Ed è proprio in questa frammentazione — che è al tempo stesso realistica e complessa — che si coglie l’intenzione profonda dell’AI Act: non tanto disciplinare un soggetto, quanto governare un ecosistema.
Ed è proprio questa frammentazione della responsabilità che solleva un interrogativo non banale sul piano organizzativo. Se è vero che l’AI Act distribuisce obblighi e presidi lungo l’intera filiera, è altrettanto vero che, all’interno delle singole organizzazioni, il rischio è quello di una dispersione delle responsabilità, con conseguenti zone d’ombra, sovrapposizioni o, peggio, vuoti di governo. In questo senso, la presenza di una figura analoga al DPO — o lo stesso DPO, opportunamente evoluto — potrebbe rivelarsi non solo utile, ma necessaria. Non tanto come titolare di una responsabilità esclusiva, che sarebbe incoerente con l’impianto dell’AI Act, quanto come punto di sintesi, garanzia e coordinamento. Una figura capace di ricondurre a coerenza i diversi contributi (legali, tecnologici, organizzativi), di assicurare una lettura sistemica dei rischi e di mantenere un dialogo strutturato con il vertice aziendale.
Il cuore del regolamento sull’AI è un sistema classificatorio: sistemi vietati, sistemi a rischio limitato, sistemi ad alto rischio, modelli di IA per finalità generali. Soprattutto per i sistemi ad alto rischio, il regolamento introduce requisiti dettagliati: sistemi di gestione del rischio, qualità dei dati, documentazione tecnica, supervisione umana, robustezza, sicurezza, monitoraggio post-mercato, procedure di conformità analoghe alla marcatura CE. La differenza può essere sintetizzata in modo netto: nel GDPR i principi generano gli adempimenti; nell’AI Act sono gli adempimenti a tentare di incarnare i principi, in una sorta di reverse engineering.
Regolare l’intelligenza artificiale attraverso prescrizioni tecniche significa legare il diritto a un oggetto che evolve più rapidamente della norma stessa. Quando il diritto si avvicina troppo alla tecnologia concreta, aumenta il rischio strutturale di obsolescenza. Il GDPR, fondandosi su principi, riesce a mantenere una stabilità nel tempo: cambia il contesto tecnologico, ma i principi restano applicabili. L’AI Act, invece, nel momento in cui entra nel dettaglio dei requisiti tecnici e organizzativi, si espone al rischio che tali prescrizioni diventino rapidamente superate.
Dalla DPIA alla FRIA: continuità e discontinuità tra GDPR e AI Act nella valutazione preventiva del rischio
Il confronto tra il GDPR e l’AI Act offre un terreno particolarmente fertile per comprendere l’evoluzione delle tecniche di regolazione dei fenomeni tecnologici complessi. In particolare, l’analisi parallela dell’articolo 35 GDPR, che disciplina la valutazione d’impatto sulla protezione dei dati (DPIA), e dell’articolo 27 AI Act, relativo alla valutazione d’impatto sui diritti fondamentali (FRIA), consente di cogliere al contempo una evidente continuità funzionale e una significativa discontinuità strutturale tra i due strumenti normativi.
Entrambe le disposizioni si collocano all’interno di un paradigma regolatorio che privilegia la prevenzione del rischio rispetto alla mera reazione ex post. Sia la DPIA sia la FRIA sono concepite come strumenti anticipatori, volti a identificare, analizzare e mitigare i rischi prima che il trattamento dei dati o l’utilizzo del sistema di intelligenza artificiale producano effetti lesivi.
Nonostante la comune finalità, le due disposizioni si differenziano profondamente sotto il profilo dello stile normativo (al proposito vedi anche Pollicino su Agenda Digitale “DPIA e FRIA: guida completa alla valutazione del rischio nell’AI”). L’articolo del 35 GDPR si inscrive nel modello tipico del diritto dei principi. La norma è volutamente aperta, caratterizzata da formule elastiche quali “può presentare un rischio elevato” e da un elenco non esaustivo di casi in cui la DPIA è richiesta. Il legislatore europeo affida al titolare del trattamento un ampio margine di valutazione, bilanciato dal principio di accountability, che impone di essere in grado di dimostrare la correttezza delle scelte effettuate. La DPIA, in questo senso, non è un adempimento meramente formale, ma un processo riflessivo e documentale, adattabile ai diversi contesti tecnologici e organizzativi.
L’articolo 27 del AI Act, al contrario, si colloca in una logica più prescrittiva e tecnico-organizzativa. Il perimetro di applicazione è chiaramente definito (sistemi di IA ad alto rischio), i soggetti obbligati sono individuati (gli utilizzatori), e i contenuti della valutazione sono delineati in modo più operativo, includendo elementi quali la sorveglianza umana e il riferimento alle istruzioni del fornitore. La disposizione si inserisce inoltre in un sistema regolatorio più ampio, caratterizzato da requisiti tecnici dettagliati, documentazione obbligatoria e standard armonizzati. Si assiste, dunque, a una transizione da un diritto che stabilisce cornici di responsabilità a un diritto che tende a definire architetture operative.
Le divergenze di stile si traducono in impatti organizzativi significativamente differenti. In primo luogo, muta la configurazione delle responsabilità. Nel GDPR il fulcro è rappresentato dal titolare del trattamento, figura unitaria cui fanno capo le principali decisioni e responsabilità. L’AI Act, invece, introduce una distinzione strutturata tra fornitore e utilizzatore del sistema di IA, delineando una vera e propria catena del valore regolata, in cui gli obblighi sono distribuiti lungo tutto il ciclo di vita del sistema. Ciò implica, per le organizzazioni, la necessità di gestire relazioni contrattuali, flussi informativi e responsabilità condivise in modo molto più articolato.
In secondo luogo, si amplia l’oggetto della tutela. Mentre la DPIA è focalizzata sulla protezione dei dati personali, la FRIA riguarda l’insieme dei diritti fondamentali, includendo profili quali la non discriminazione, la dignità umana, la sicurezza e l’equità. Questo ampliamento comporta un passaggio da una valutazione giuridicamente circoscritta a una valutazione intrinsecamente multidimensionale, che richiede competenze non solo legali, ma anche etiche, tecniche e organizzative.
In terzo luogo, cambia la natura del rischio analizzato. La DPIA è centrata sul rischio per la privacy e per i diritti connessi al trattamento dei dati; la FRIA, invece, si confronta con rischi sistemici derivanti dall’interazione tra tecnologia e contesto sociale. Ne deriva una maggiore complessità metodologica: mentre la DPIA può essere supportata da prassi consolidate e linee guida relativamente mature, la FRIA si colloca ancora in un ambito in evoluzione, in cui gli strumenti interpretativi sono meno stabilizzati.
Addirittura, mentre la dimensione — per sua natura intangibile — del dato digitale può essere ricondotta, nel perimetro del GDPR, a misure tecniche e organizzative tutto sommato individuabili (sicurezza, minimizzazione, controllo degli accessi, governance del ciclo di vita del dato), quando l’attenzione si sposta su diritti fondamentali quali la dignità, l’autonomia decisionale o persino l’integrità psicologica, il terreno si fa inevitabilmente più sfuggente.
La FRIA, infatti, non si limita a presidiare un “oggetto” — il dato — ma deve valutare gli effetti di sistemi tecnologici su persone e contesti, entrando in una dimensione relazionale e spesso immateriale. Qui il rischio non è solo quello di una violazione misurabile, ma quello di una alterazione più sottile: bias che influenzano opportunità di vita, sistemi che incidono sulla percezione di sé, automatismi che modificano comportamenti o inducono dipendenze decisionali.
Il diritto, tradizionalmente, conosce e presidia forme di lesione di questa natura, compresa quella psicologica — si pensi ad esempio ai reati contro la dignità della persona o a fattispecie come lo stalking — ma lo fa ancorandole a una condotta umana, intenzionale o colposa, chiaramente identificabile. Nell’AI Act, invece, l’oggetto dell’adempimento è una macchina, o più genericamente un sistema, il cui comportamento è il risultato di una molteplicità di scelte progettuali, dati, addestramento e modalità d’uso. La relazione causale tra azione e danno diventa quindi più difficile da tracciare, e con essa anche la possibilità di costruire presidi normativi altrettanto chiari.
Ne deriva una frizione strutturale: da un lato, l’esigenza — pienamente condivisibile — di tutelare diritti fondamentali anche rispetto agli impatti dell’intelligenza artificiale; dall’altro, la difficoltà di tradurre questa tutela in requisiti tecnico-organizzativi verificabili, senza cadere in formulazioni eccessivamente generiche o, al contrario, in prescrizioni destinate a diventare rapidamente obsolete.
Non si intende qui mettere in discussione la rilevanza dell’obiettivo perseguito dalla normativa. Al contrario, il merito più profondo dell’AI Act risiede proprio nel tentativo di impedire che la tecnologia diventi un alibi: uno strumento attraverso il quale la responsabilità umana si attenua, si frammenta o, peggio, si dissolve dietro l’apparente neutralità della macchina. L’auspicio piuttosto è che l’AI Act possa affermarsi non tanto e non solo come presidio normativo, ma come autentico motore di cambiamento culturale, capace di riaffermare che, anche quando la decisione è mediata da sistemi complessi, la responsabilità resta, in ultima istanza, umana.
In questa prospettiva, la valutazione d’impatto non può essere ridotta a un adempimento documentale, ma deve evolvere in una vera e propria infrastruttura di governo del rischio, capace di coniugare conformità normativa, innovazione tecnologica e tutela effettiva dei diritti fondamentali. Non è casuale che lo stesso AI Office stia lavorando alla predisposizione di un modello/questionario standardizzato — anche tramite strumenti automatizzati — volto a supportare gli operatori economici nell’esecuzione della FRIA ai sensi dell’art. 27 AI Act. Tale evoluzione evidenzia come il legislatore europeo abbia introdotto un obbligo dal forte contenuto valoriale e principle based, la cui concreta implementazione richiede tuttavia la progressiva definizione di metodologie condivise, criteri interpretativi e strumenti applicativi.
Diritti individuali e compliance strutturale nella supervisione umana
Il confronto tra l’art. 22 del GDPR e gli artt. 9 e 14 dell’AI Act evidenzia con particolare chiarezza la diversa architettura concettuale dei due regolamenti e, più in profondità, la differente idea di tutela sottesa ai rispettivi modelli normativi.
Nel GDPR, la protezione rispetto ai processi decisionali automatizzati viene costruita a partire dalla posizione giuridica dell’interessato. L’art. 22 attribuisce infatti un vero e proprio diritto soggettivo azionabile: quello di non essere sottoposto a decisioni basate unicamente su trattamenti automatizzati che producano effetti giuridici o incidano significativamente sulla persona. La logica è tipicamente “bottom-up”: il legislatore riconosce una prerogativa individuale e pone in capo al titolare obblighi funzionali a renderla effettiva, quali la garanzia dell’intervento umano, la possibilità di esprimere la propria opinione e quella di contestare la decisione. Il baricentro della tutela rimane quindi l’individuo, che può attivare direttamente i meccanismi di protezione previsti dal Regolamento.
L’AI Act adotta invece una logica differente. Gli artt. 9 e 14 non attribuiscono diritti soggettivi direttamente azionabili dall’interessato, ma costruiscono un sistema di obblighi strutturali posti in capo ai provider e ai deployer dei sistemi AI. La tutela della persona viene perseguita indirettamente, attraverso l’imposizione di requisiti organizzativi, tecnici e procedurali: sistemi iterativi di risk management, misure di mitigazione, supervisione umana by design e by default, controlli lungo il ciclo di vita del sistema. Il meccanismo diventa quindi “top-down”: è il legislatore che governa l’operatore economico, imponendo ex ante condizioni di progettazione e utilizzo ritenute necessarie per ridurre i rischi sui diritti fondamentali.
Questa differenza non appare meramente terminologica o tecnica, ma riflette una differenza strutturale evidente tra i due impianti normativi. Il GDPR costruisce la tutela attraverso diritti individuali azionabili dal basso; l’AI Act la costruisce prevalentemente attraverso obblighi di compliance imposti dall’alto agli operatori della filiera tecnologica. I due modelli non si sovrappongono e non sono reciprocamente sostitutivi: operano su piani diversi e con finalità parzialmente differenti.
Ne deriva che, nei casi in cui un sistema di intelligenza artificiale elabori dati personali e produca decisioni o supporti decisionali incidenti sulle persone, GDPR e AI Act risultano destinati ad applicarsi cumulativamente. Da un lato continueranno a sussistere i diritti individuali previsti dall’art. 22 GDPR; dall’altro, troveranno applicazione gli obblighi strutturali di governance, gestione del rischio e supervisione umana previsti dall’AI Act.
La qualità dei dati nell’AI Act: tra prescrizione normativa e incertezza applicativa
Un ulteriore esempio, particolarmente significativo, di questa difficoltà di traduzione da principio a norma è offerto dall’articolo 10 dell’AI Act, dedicato alla qualità dei dataset di addestramento, convalida e test. Qui il legislatore interviene su un terreno che, per sua natura, è al confine tra tecnica, etica e contesto applicativo, chiedendo che i dati siano pertinenti, rappresentativi, privi di errori e completi, nonché dotati di adeguate proprietà statistiche rispetto alle popolazioni cui il sistema è destinato.
Si tratta, con tutta evidenza, di criteri che trovano una loro piena maturazione nell’ambito delle buone pratiche di disegno dei sistemi e nei codici etici delle organizzazioni: chi sviluppa sistemi di AI deve sapere che la qualità del dato è determinante, e che incompletezze o distorsioni (bias) possono compromettere l’affidabilità e l’equità degli esiti. Tuttavia, nel momento in cui questi principi vengono trasposti in una norma giuridica — e per di più in una norma prescrittiva — emergono tutte le difficoltà.
La qualità dei dataset oggetto dell’Art. 10 non è considerata un elemento meramente tecnico, bensì un presupposto essenziale per la tutela dei diritti fondamentali. In questa prospettiva, il legislatore europeo compie un passaggio significativo: dalla regolazione del trattamento del dato, tipica del GDPR, alla regolazione della qualità del dato in funzione dell’impatto prodotto dal sistema dell’AI Act.
La norma sull’AI, infatti, non si limita a richiedere che i dati siano leciti, ma impone che siano adeguati rispetto allo scopo e al contesto di utilizizzo, includendo un riferimento esplicito alle proprietà statistiche e alla rappresentazione dei gruppi di persone interessati. Si tratta di un’impostazione che integra dimensioni giuridiche, tecniche ed etiche, evidenziando come la qualità del dato sia direttamente correlata al rischio di discriminazioni, errori sistemici e decisioni ingiuste.
La disposizione individua quattro caratteristiche fondamentali dei dataset: pertinenza, rappresentatività, assenza di errori e completezza. A queste si aggiunge la necessità che i dati presentino proprietà statistiche adeguate rispetto ai soggetti o gruppi su cui il sistema è destinato a operare. Tali requisiti, tuttavia, pur essendo formalmente chiari, risultano sostanzialmente indeterminabili. La pertinenza richiede una coerenza tra dato e finalità, ma non definisce criteri oggettivi per stabilire quando tale coerenza sia soddisfatta. La rappresentatività, elemento cruciale per prevenire bias algoritmici, è per sua natura un concetto relativo, dipendente dal contesto geografico, sociale e temporale di riferimento. L’assenza di errori, formulata in termini apparentemente assoluti, si scontra con la realtà empirica dei dataset, che sono inevitabilmente affetti da imperfezioni. Analogamente, la completezza presuppone l’identificazione ex ante di tutte le variabili rilevanti, operazione spesso impossibile in contesti complessi e dinamici.
AI Act: quando il principio diventa rischio di un effetto deterrente sull’innovazione
La preoccupazione degli operatori europei, tanto rispetto al GDPR quanto all’AI Act, si colloca esattamente in questo spazio. La flessibilità dei principi normativi, che nelle intenzioni del legislatore dovrebbe favorire un’applicazione adattiva e responsabile, rischia di essere percepita — e talvolta vissuta — non come un’opportunità, ma come un’area di incertezza esposta all’intervento sanzionatorio.
Il timore, in altri termini, è che quella stessa apertura concettuale che consente di declinare i principi nei diversi contesti operativi venga oggettivamente utilizzata dalle autorità di controllo e dai giudici come leva per individuare responsabilità, più che come spazio entro cui esercitare una creatività organizzativa ispirata a criteri etici. Da strumento di responsabilizzazione, il principio rischia così di essere interpretato come fonte di indeterminatezza, e quindi di rischio.
È un passaggio delicato, perché incide direttamente sulla postura delle organizzazioni: anziché favorire un approccio proattivo, orientato alla sostanza e alla costruzione di soluzioni equilibrate, può indurre atteggiamenti difensivi, improntati alla minimizzazione del rischio sanzionatorio più che alla massimizzazione del valore etico e sociale delle tecnologie.
Si può cogliere, soprattutto in certi ambiti, anche un effetto preventivo meno visibile ma non meno rilevante: l’impatto dell’AI Act sulle istituzioni preposte alla sicurezza e alle investigazioni rischia di comprimere l’iniziativa operativa non tanto per un divieto esplicito, quanto per il timore di incorrere in violazioni normative. In presenza di una disciplina articolata e fortemente prescrittiva, il margine di sperimentazione — pur formalmente esistente entro i limiti della norma — tende di fatto a restringersi. Il rischio percepito diventa superiore al potenziale beneficio, e ciò induce comportamenti prudenti, se non addirittura rinunciatari. Non si tratta quindi di un limite imposto in via diretta, ma di un effetto indiretto: la norma, nel tentativo di prevenire abusi, può finire per scoraggiare anche usi legittimi e potenzialmente virtuosi.
Il punto, ancora una volta, non è ridurre le garanzie — che restano imprescindibili — ma evitare che esse si traducano in un effetto paralizzante. Una regolazione efficace dovrebbe riuscire a orientare l’azione, non a sostituirla; a responsabilizzare, non a inibire. Ed è proprio su questo crinale sottile che si gioca una parte importante del futuro rapporto tra intelligenza artificiale e istituzioni pubbliche e private.
È, in fondo, anche il terreno su cui si colloca il ruolo — ancora non formalizzato ma sempre più necessario — di chi, nelle organizzazioni, si occupa di Responsible AI. Una figura non tipizzata dalla normativa, e proprio per questo dotata di una funzione tanto più delicata: mediare tra la struttura della regola e la vitalità dell’innovazione, tra il rispetto formale degli obblighi e la ricerca di soluzioni concretamente sostenibili. Il suo compito non è quello di irrigidire ulteriormente il sistema, né di trasformarsi in un presidio meramente difensivo, ma di costruire un equilibrio positivo. Un equilibrio che consenta all’organizzazione di muoversi entro i confini normativi con consapevolezza, senza rinunciare alla sperimentazione, e al tempo stesso di dare sostanza ai principi, traducendoli in scelte progettuali, processi e comportamenti coerenti.
In questo senso, il Responsible AI non è solo una funzione di compliance evoluta, ma un vero e proprio punto di cerniera tra diritto, tecnologia e cultura organizzativa: il luogo in cui la norma smette di essere un limite esterno e diventa parte integrante del modo in cui l’impresa pensa, progetta e agisce.
Applicabilità e manifestazione dell’inadempimento
Un’altra differenza tra GDPR e AI Act emerge con particolare evidenza se si osservano le modalità con cui si manifesta l’eventuale inadempimento. Nel GDPR, la violazione tende a presentarsi in forma relativamente riconoscibile: un accesso non autorizzato, una perdita di dati (data breach), un trattamento illecito o eccedente rispetto alle finalità dichiarate. Anche quando le situazioni sono complesse, esiste comunque un evento, un fatto, un momento in cui la non conformità si rende evidente e, in molti casi, misurabile.
Nell’AI Act, invece, l’inadempimento assume una natura più sfumata e progressiva. Non sempre si concretizza in un singolo evento, ma può emergere lungo il ciclo di vita del sistema: nella fase di progettazione, nella qualità dei dati, nelle modalità di addestramento, nell’assenza di adeguati controlli o nella gestione operativa. Più che un “incidente”, si tratta spesso di una deviazione rispetto a requisiti che richiedono continuità, monitoraggio e capacità di adattamento. Inoltre, sembrerebbe che la violazione dell’AI Act sia, nella prassi, più frequentemente riconducibile a meccanismi di emersione indiretta: la segnalazione da parte di un utente, di un soggetto interessato o di un osservatore esterno, ovvero la rilevazione nel corso di attività di verifica, audit o controllo.
Questa differenza non è solo formale, ma incide profondamente sul modo in cui le organizzazioni devono strutturare i propri presidi. Se nel GDPR la gestione dell’inadempimento è spesso reattiva — individuare, contenere, notificare — nell’AI Act diventa inevitabilmente più preventiva e sistemica. Il rischio non è tanto quello di un errore puntuale, quanto quello di una costruzione non adeguata, che produce effetti nel tempo e in contesti diversi. E pertanto ancora più difficile da prevedere e contenere.
Ne deriva infatti un ulteriore elemento di complessità: l’inadempimento, nell’ambito dell’intelligenza artificiale, può essere meno evidente ma più pervasivo, meno immediatamente rilevabile ma potenzialmente più incisivo. Ed è proprio questa natura “diffusa” della non conformità che rende necessario un salto di qualità nei modelli di governance, spostando l’attenzione dalla gestione dell’evento alla cura del processo.
Conclusioni: il diritto di fronte alla tecnologia
Il confronto tra GDPR e AI Act non restituisce semplicemente due modelli normativi diversi, ma mette in luce un dibattito più profondo: quello tra diritto dei principi e diritto della tecnologia.
Il GDPR è un diritto che sta resistendo nel tempo perché fondato su principi. L’AI Act è un diritto che dovrà dimostrare di saper resistere al tempo perché fondato, almeno in parte, su prescrizioni tecniche. La vera sfida, tuttavia, non è scegliere tra principi e prescrizioni, ma comprendere fino a che punto il diritto possa avvicinarsi alla tecnologia senza perdere la propria funzione: stabilizzare ciò che, per sua natura, è instabile. In questo equilibrio si gioca non solo l’efficacia dell’AI Act, ma più in generale la capacità del diritto europeo di governare l’innovazione senza esserne travolto.
Ed è proprio qui che si innesta il passaggio più delicato e, insieme, più promettente. L’AI Act non può essere né interpretato né applicato come una gabbia dello sviluppo, un sistema di vincoli destinato a comprimere l’iniziativa e a generare atteggiamenti difensivi. Se così fosse, il rischio sarebbe duplice: da un lato, rallentare l’innovazione europea; dall’altro, spostarla altrove, in contesti meno attenti alla tutela dei diritti fondamentali. L’ambizione, al contrario, deve essere più alta: fare dell’AI Act una culla di sviluppo, uno spazio regolato ma fertile, in cui la chiarezza delle regole non soffochi la creatività, bensì la orienti. Un contesto in cui il rigore etico, la tutela della dignità, la protezione dei diritti non siano percepiti come limiti esterni, ma come fattori competitivi, capaci di qualificare l’innovazione europea nel panorama globale.
In questa prospettiva, la compliance smette di essere un costo e diventa un elemento di valore. Il rispetto dei diritti fondamentali non rappresenta un rallentamento, ma una forma di qualità dello sviluppo, che rafforza la fiducia, la sostenibilità e, nel medio periodo, anche la competitività dei sistemi economici. Perché ciò accada, tuttavia, è necessario un salto culturale: da parte delle istituzioni, chiamate a interpretare e applicare la norma in modo da favorire l’adozione responsabile; da parte delle organizzazioni, chiamate a non rifugiarsi nella prudenza paralizzante, ma a sperimentare entro i confini normativi; e da parte di quelle nuove figure — come i responsabili della Responsible AI — che hanno il compito di tenere insieme diritto, tecnologia e visione.
Se questo equilibrio sarà raggiunto, l’AI Act potrà davvero diventare ciò che oggi è ancora in potenza: non un freno, ma un fattore abilitante. Non una difesa dall’innovazione, ma una forma più matura di progresso tecnologico. Una innovazione europea, capace di coniugare progresso tecnologico e centralità della persona, efficienza e dignità, sviluppo e responsabilità.
Bibliografia essenziale
Giovanni Buttarelli. Artificial Intelligence, Data Protection and Fundamental Rights. Brussels: European Data Protection Supervisor, 2018.
Ryan Calo. “Artificial Intelligence Policy: A Primer and Roadmap.” UCLA Law Review 51 (2017).
Virginia Dignum. Responsible Artificial Intelligence: How to Develop and Use AI in a Responsible Way. Cham: Springer, 2019.
European Parliamentary Research Service. Artificial Intelligence Act: Overview and State of Play. Brussels, 2024.
European Union Agency for Fundamental Rights. Getting the Future Right: Artificial Intelligence and Fundamental Rights. Vienna, 2020.
Luciano Floridi et al. “AI4People—An Ethical Framework for a Good AI Society.” Minds and Machines 28 (2018): 689–707.
Luciano Floridi. The Ethics of Artificial Intelligence: Principles, Challenges, and Opportunities. Oxford: Oxford University Press, 2023.
Paul De Hert, Serge Gutwirth. “Privacy, Data Protection and Law Enforcement.” New Journal of European Criminal Law 1 (2010): 61–78.
Mireille Hildebrandt. Smart Technologies and the End(s) of Law. Cheltenham: Edward Elgar, 2015.
Christopher Kuner. Transborder Data Flows and Data Privacy Law. Oxford: Oxford University Press, 2013.
Christopher Kuner et al. (eds.). The EU General Data Protection Regulation (GDPR): A Commentary. Oxford: Oxford University Press, 2020.
Wulf A. Kaal. “Digital Regulation: AI, Data and Governance.” Northwestern Journal of Technology and Intellectual Property (2020).
Orla Lynskey. “Grappling with ‘Data Power’: Normative Nudges from Data Protection and Privacy.” Theoretical Inquiries in Law 20 (2019).
Brent Mittelstadt et al. “The Ethics of Algorithms: Mapping the Debate.” Big Data & Society (2016).
Andrea Renda. Artificial Intelligence: Ethics, Governance and Policy Challenges. Brussels: CEPS, 2019.
Stefano Rodotà. La vita e le regole. Tra diritto e non diritto. Milano: Feltrinelli, 2006.
Stuart Russell, Peter Norvig. Artificial Intelligence: A Modern Approach. 4th ed. Pearson, 2021.
Paul Voigt, Axel von dem Bussche. The EU General Data Protection Regulation (GDPR): A Practical Guide. Cham: Springer, 2017.
Pollicino, O., Costituzionalismo digitale. Pensare la democrazia al tempo dell’IA, Bologna, Il Mulino, 2025.
Samuel D. Warren, Louis D. Brandeis. “The Right to Privacy.” Harvard Law Review 4, no. 5 (1890): 193–220.
Alan F. Westin. Privacy and Freedom. New York: Atheneum, 1967.
