Discutere del ruolo delle Autorità di Protezione dei Dati nella governance dell’IA non è una questione banale. E non solo perché l’argomento è troppo tecnico, ma perché è troppo vasto.
L’IA è una trasformazione generale che attraversa regimi giuridici, settori economici, pratiche sociali e, soprattutto, sta ridefinendo il potere: come viene esercitato, da chi, in base a quale investitura.
Sfida la nostra comprensione dei diritti, delle libertà, del lavoro e dei mercati. Accelera il processo decisionale, ma rischia anche di marginalizzare il controllo democratico. Promette efficienza, ma solleva nuove domande su equità e responsabilità. Non è solo una tecnologia, è una nuova interfaccia tra istituzioni e individui.
Quindi la domanda diventa: in questo ambiente in rapida evoluzione, dove si collocano le Autorità di protezione dei dati personali? Qual è il loro ruolo? E come dovrebbe evolversi il loro mandato?
Provo a dare una sintetica risposta in tre parti.
Indice degli argomenti
L’intelligenza artificiale dipende dai dati personali: un nodo critico per la privacy
Partiamo da una considerazione ovvia ma dirimente: l’intelligenza artificiale opera attraverso i dati e, nella stragrande maggioranza dei casi, quei dati sono personali. Che si tratti di comandi vocali, di riconoscimento facciale, di modelli di navigazione, di sistemi di scoring, o di interazioni con chatbot, i sistemi IA si basano su informazioni legate agli esseri umani. Più sofisticato è il modello, più granulare e ampio è il dato che elabora.
Questo rende il lavoro delle Autorità di protezione dati personali non solo rilevante, ma essenziale. Non si può governare adeguatamente l’IA senza affrontare il modo in cui essa elabora i dati personali.
Non è un tema nuovo.
Negli ultimi anni alcune Autorità per la protezione dei dati sono intervenute direttamente. Oltre agli interventi del Garante italiano sui sistemi ChatGPT, Replika e DeepSeek, anche il Commissario per la Privacy canadese (OPC) ha avviato un’indagine su ChatGPT. L’Autorità per la protezione dei dati della Corea del Sud ha concluso che DeepSeek stava trasferendo informazioni e comandi degli utenti a varie entità senza un consenso valido. E l’Autorità giapponese per la protezione dei dati (PPC) ha avvertito i propri cittadini circa le preoccupazioni sul trattamento dei dati personali da parte del modello generativo DeepSeek.
Tali sviluppi indicano quanto IA e protezione dei dati personali siano strettamente intrecciati.
Le principali questioni giuridiche alla base degli interventi delle Autorità
Le principali questioni giuridiche che tali casi hanno fatto esplodere sono note.
Il tema della base giuridica per l’addestramento degli algoritmi
In primo luogo, il tema della base giuridica per l’addestramento degli algoritmi. È richiesto il consenso? Può bastare l’interesse legittimo? E, se sì, quale forma dovrebbe assumere una valutazione dell’interesse legittimo nei contesti IA? Non si tratta di mere questioni procedurali posto che hanno come effetto quello di determinare se determinati modelli di business possono continuare ad operare in un quadro di liceità. Un’interpretazione debole o eccessivamente elastica delle basi giuridiche potrebbe minare, infatti, l’intera architettura della protezione dei diritti ai sensi del GDPR.
Il tema delle operazioni di trasferimento dei dati
In secondo luogo, il tema delle operazioni di trasferimento dei dati: dove vanno a finire i dati personali quando o dopo che vengono utilizzati per addestrare, perfezionare o interrogare modelli IA? In molti dei casi che esaminiamo come Autorità di protezione dei dati personali, la risposta non è univoca. L’assenza di informazioni precise sulla posizione geografica e sulla giurisdizione legale dell’elaborazione dei dati solleva preoccupazioni non di poco conto. I flussi transfrontalieri di dati, in particolare verso Paesi terzi senza garanzie adeguate, pongono interrogativi sulla protezione della privacy degli individui. Ciò presuppone la necessità di misure supplementari e di valutazioni d’impatto sui trasferimenti. Eppure, nella pratica, molti sviluppatori di IA non specificano dove vengono archiviati, elaborati o trasmessi i dati. In un contesto in cui i servizi IA sono accessibili globalmente ma governati a livello nazionale, la localizzazione dei dati e i meccanismi di trasferimento stanno emergendo come questioni chiave per le future azioni di enforcement.
Decisioni automatizzate e protezione dei diritti fondamentali
In terzo luogo, il tema dei processi decisionali automatizzati: anche questa è una questione globale. Nel contesto del GDPR, il riferimento è offerto dall’articolo 22. Tale disposizione garantisce agli individui il diritto di non essere sottoposti a decisioni basate esclusivamente su un’elaborazione automatica se tali decisioni hanno effetti giuridici o, comunque, significativi sulla persona. Pur esistendo alcune eccezioni, queste vengono ammesse con condizioni: trasparenza, diritto all’intervento umano, diritto di contestare le decisioni. Ciò diventa particolarmente rilevante negli ambiti IA, soprattutto quando gli algoritmi sono utilizzati per valutare l’idoneità, l’assunzione, l’affidabilità creditizia o l’allocazione dei servizi sociali.
Protezione degli utenti vulnerabili e governance preventiva
In quarto luogo, il tema della protezione degli individui vulnerabili, in particolare dei minori: non tutti gli utenti sono in grado di comprendere o resistere all’influenza dei sistemi IA. I più piccoli, in particolare, meritano garanzie rigorose quando interagiscono con le tecnologie digitali. Ciò significa garantire che i sistemi non sfruttino le vulnerabilità evolutive e includano meccanismi robusti di verifica dell’età. Considerazioni simili si applicano ad altri gruppi a rischio, come gli anziani, le persone con disabilità cognitive o le comunità economicamente emarginate.
Quando emergono tali questioni, le Autorità hanno il dovere non solo di applicare la legge, ma anche di chiarire come essa si applichi a tecnologie nuove, complesse e in rapida evoluzione. Ciò significa riconoscere che proteggere la privacy non significa limitare l’innovazione ma garantire che sia lecita, responsabile e sostenibile.
Indipendenza istituzionale come condizione per l’efficacia
Il secondo punto che voglio sollevare riguarda il potere. La governance dell’IA è un tema politico. Sono in gioco enormi interessi: economici, strategici, geopolitici. È del tutto comprensibile che i Governi vogliano mantenersi libertà di manovra. Ed è altrettanto prevedibile che un controllo indipendente – soprattutto quando comporta restrizioni o divieti – possa essere visto come un ostacolo.
Ma è proprio questo il punto. Le Autorità – quantomeno europee – di protezione dati personali non sono semplicemente agenzie di conformità. Sono istituzioni di natura costituzionale. Sono dotate di poteri giuridici, competenze tecniche e, soprattutto, di indipendenza. Un’indipendenza che non è maquillage. È ciò che consente di indagare su potenti piattaforme globali. È ciò che permette di intervenire anche quando gli attori coinvolti sono politicamente o economicamente influenti. È ciò che garantisce che i diritti non vengano subordinati alle valutazioni di opportunità.
Nell’esperienza italiana, la capacità di agire con rapidità e credibilità nei casi ChatGPT, Replika, Deep Seek non è scollegata alla indipendenza istituzionale del Garante. Ovvio che non si agisce da soli, ma in un continuo confronto con altre istituzioni, sia a livello nazionale che internazionale.
Il mandato è chiaro: difendere i diritti fondamentali degli individui, in particolare dei più vulnerabili. Questo è il motivo per cui qualsiasi disegno di governance dell’IA che escluda, marginalizzi o metta in secondo piano le Autorità di protezione dei dati personali non è solo errato dal punto di vista giuridico ma è debole in termini di legittimità democratica.
Non dimentichiamo che i sistemi IA possono riprodurre pregiudizi, aggravare le disuguaglianze, determinare fenomeni di sorveglianza massiva. Questi non sono rischi astratti. Si stanno già materializzando. E richiedono una risposta istituzionale adeguata.
Un nuovo ruolo per le autorità nella fase progettuale dell’IA
La domanda finale, dunque, è: che tipo di ruolo dovrebbero svolgere le Autorità?
Naturalmente devono restare i poteri ex post: indagare e disporre, se del caso, misure correttive e sanzionatorie.
Ma nel campo dell’IA ciò non è sufficiente. La velocità e talora l’opacità dei sistemi di IA richiedono un coinvolgimento ex ante, ovvero fin dalla fase di progettazione.
Ciò può includere: partecipazione a sandboxes regolatorie; consultazione nella stesura di framework di classificazione dei rischi IA, affinché i principi di protezione dei dati siano incorporati fin dall’inizio; accesso alla documentazione, al codice e ai dati di addestramento, non solo alle informative privacy; coinvolgimento nelle procedure di audit algoritmico, con team interdisciplinari.
Include anche la promozione della privacy by design e by default, non come principi astratti ma come requisiti operativi. E impone di lavorare con altri soggetti – concorrenza, protezione consumatori, media, comitati etici – per costruire un quadro istituzionale coerente per la governance dell’IA.
L’obiettivo non è certo creare un sovraccarico regolatorio. È garantire coerenza, trasparenza e certezza del diritto.
Gli sviluppatori devono sapere cosa ci si aspetta da loro. Gli utenti devono sapere a cosa sono sottoposti. E le istituzioni devono avere i mezzi per verificare – non solo fidarsi – che i sistemi rispettino la legge.
Governare l’IA significa governare il potere
La sfida dell’IA non è solo tecnica. È etica. È costituzionale. Si tratta di chi decide, su quale base, con quali conseguenze.
Se continuiamo a trattare l’IA come un altro prodotto dell’innovazione, rischiamo di delegare scelte fondamentali a sistemi opachi e irresponsabili. Se, invece, riconosciamo l’IA come un nuovo “luogo di potere”, dobbiamo governarla con gli strumenti del diritto, dei diritti e della democrazia.
Le Autorità di protezione dei dati non sono gli unici attori in questo campo. Ma sono attori indispensabili. Portano competenze, indipendenza e un impegno di lunga data nella difesa dei diritti individuali.
In un’epoca di cambiamenti rapidi, sono gli ancoraggi sicuri.
