È questa una stagione affascinante e complessa per chi si occupa di data economy e diritto dell’IA. Novità normative, pronunce giurisprudenziali e posizioni istituzionali si susseguono con una frequenza forse mai registrata in passato. Sullo sfondo scenari geopolitici inediti, preoccupanti e sfidanti, ma i mercati internazionali, le borse, la vita delle imprese vanno avanti, tra tante difficoltà e poche certezze.
Nelle ultime settimane abbiamo accolto notizie di assoluto rilievo. A livello europeo, l’AI Act continua la sua marcia verso la piena applicazione, ma crescono le richieste di posticipo della legge. Sul piano nazionale, l’Italia ha approvato la propria legge sull’IA, che entrerà in vigore il prossimo 10 ottobre. E sta facendo ancora molto parlare di sé la sentenza della Corte di Giustizia dell’Unione europea in tema di pseudonimizzazione. Di fronte a uno scenario così estremo e vivace diventa fondamentale cambiare approccio per muoversi in un contesto che non può più essere vissuto e interpretato in maniera atomistica.
L’evidente necessità di mettere in atto questo nuovo approccio può essere rintracciata prendendo spunto dal provvedimento in materia di “face boarding” adottato pochi giorni addietro dall’Autorità Garante per la protezione dei dati personali.
Indice degli argomenti
Face boarding, l’intervento del Garante
Parliamo del provvedimento n. 489 dell’11 settembre 2025, con il quale l’Autorità ha disposto la limitazione provvisoria del trattamento dei dati biometrici dei passeggeri posto in essere tramite il sistema FaceBoarding, ai fini dell’identificazione ai varchi di accesso all’area sterile e ai gate di imbarco presso l’aeroporto di Milano Linate.
Sui contenuti della misura molto è stato già scritto, anche in ragione di una prima interpretazione superficiale del provvedimento da parte di alcuni commentatori, che ha portato il Garante Privacy a dover correttamente pubblicare una nota di chiarimento sulla portata – particolare e non generale – dell’intervento rispetto alla compatibilità del ricorso a tecnologie di riconoscimento facciale in aeroporto.
Sul punto, peraltro, si era espresso precedentemente anche l’European Data Protection Board (EDPB) con il parere n. 11 del 23 maggio 2024, adottato su richiesta dell’Autorità data protection francese e finalizzato ad analizzare la compatibilità di tali trattamenti con i principi di limitazione della conservazione, integrità e riservatezza, privacy by design e by default e sicurezza del trattamento.
L’applicazione dei pareri sul piano nazionale
Le indicazioni rese dai Garanti europei sono state quindi richiamate e applicate dall’Autorità italiana sul piano nazionale. Ed è qui che emerge il primo tassello del nuovo sistema in cui società e interpreti sono chiamati a muoversi oggi.
Questa prima area di movimento – che possiamo immaginare come un vettore verticale che si muove nella stessa area, la circolazione e protezione dei dati personali, collegando la dimensione nazionale a quella europea – non è certamente nuova, ma oggi assume ancora più rilevanza. Ciò per la natura sempre più transnazionale di flussi di dati e soluzioni offerte al mercato, ma anche per il connesso rischio di frammentazione per le potenziali posizioni contrastanti tra le varie autorità data protection, che rende i chiarimenti dell’EDPB oggi come non mai fondamentali.
Face boarding e i rapporti tra normative: GDPR e AI Act
C’è però una seconda area di movimento, che questa volta possiamo immaginare come un vettore orizzontale, e riguarda le possibili interazioni tra le normative europee su IA e data economy.
Guardando infatti al provvedimento adottato dal Garante, è possibile interrogarsi sul rilievo che la medesima fattispecie potrebbe avere (e con tutta probabilità avrà) ai sensi della nuova legge europea in materia di intelligenza artificiale.
L’AI Act, infatti, considera in più occasioni i rischi derivanti dall’utilizzo di tecnologie di biometria. Vietando, ad esempio, l’uso di sistemi di identificazione biometrica remota in tempo reale in spazi accessibili al pubblico a fini di attività di contrasto (salve le circoscritte eccezioni elencate dalla legge).
La stessa legge europea sottopone poi allo stringente complesso di requisiti e obblighi previsti per i sistemi di IA ad alto rischio i sistemi di identificazione biometrica remota (con la sola esclusione dei sistemi di IA per la verifica biometrica la cui unica finalità è confermare che una determinata persona è chi dice di essere), i sistemi di IA per il riconoscimento delle emozioni e quelli per la categorizzazione biometrica in base ad attributi o caratteristiche sensibili protetti basati sulla deduzione di tali attributi o caratteristiche.
Il ruolo della nuova legge italiana sull’AI
E in questo contesto occorrerà ora considerare anche la nuova normativa italiana in materia di intelligenza artificiale. Un nuovo vettore verticale che si aggiunge a tutti gli altri, e che nei prossimi mesi e anni acquisterà sempre più importanza.
Ciò anche in quanto le nuove Autorità nazionali per l’intelligenza artificiale, vale a dire l’Agenzia per l’Italia digitale (AgID) e l’Agenzia per la cybersicurezza nazionale (ACN), inizieranno presto ad adempiere alle proprie nuove funzioni. Non solo in termini di enforcement, ma anche e soprattutto dal punto di vista orientativo e consulenziale verso aziende e pubbliche amministrazioni.
Posizioni che dovranno essere lette ed interpretate anche alla luce e tenendo conto di quanto verrà definito dalle istituzioni europee e dai nuovi organi sovranazionali istituiti dall’Artificial Intelligence Act. E si riproporrà anche in questo caso un’esigenza di coerenza per ricondurre a una generale armonizzazione gli interventi delle diverse authority IA nazionali.
Serve un cambio di prospettiva
Questa (nuova) convivenza tra normative e competenze di autorità diverse, nazionali e sovranazionali, in relazione a fenomeni tecnico-sociali affini come l’IA e la circolazione e protezione dei dati personali è un fattore di non poco conto. Serve dunque un cambio di prospettiva. Tanto per le aziende quanto per le Autorità.
Le prime saranno chiamate d’ora in avanti a ragionare in termini di compliance integrata. Le diverse leggi da rispettare, compreso tutto il complesso di orientamenti e posizioni interpretative e giurisprudenziali, non potranno più essere considerate in maniera monolitica. Ciò non solo per gli oggettivi rischi e svantaggi che un simile approccio è destinato a riservare. Ma anche, e soprattutto, perché solo una visione integrata, dinamica, flessibile e semplificata della compliance può liberare i rilevanti benefici competitivi e reputazionali della conformità normativa.
In parallelo, le Autorità dovranno essere innanzitutto dotate di adeguati strumenti e risorse, umane ed economiche, per rispondere a un mercato a complessità crescente e per adempiere alle funzioni richieste da tutte le diverse normative applicabili, anche cumulativamente. Questo è un requisito essenziale anche per permettere alle Autorità di portare avanti forme di dialogo e collaborazione con le aziende, che richiedono tempo e risorse.
L’importanza della collaborazione istituzionale
Ma occorrerà anche mettere in atto forme istituzionalizzate di collaborazione tra Autorità, sia sul piano nazionale che a livello europeo. Le normative fino a qui citate sembrano avere a mente questa necessità, prevedendo appositi meccanismi per garantire coerenza e scambi di informazioni.
Al contempo, le leggi scritte a volte da sole non bastano: servono impegni concreti e azioni effettive, a beneficio dell’apparato statale, ma anche del mercato stesso, che solo in una condizione di certezza giuridica potrà essere in grado di sbloccare il valore competitivo delle nuove regole sull’IA e la data economy.
