L’adozione dei sistemi di IA non riguarda più solo l’innovazione tecnologica, ma anche la capacità di governarne rischi, responsabilità e adempimenti privacy sin dalla progettazione.
Ormai, infatti, imbattersi in progetti o soluzioni tecnologiche in cui siano incluse funzionalità legate a sistemi di intelligenza artificiale non è più una novità. L’IA è dentro, avanti e dietro tutto: negli smartphone, nelle app, nel lavoro, nelle chat, in macchina, nei servizi rivolti ai clienti sotto forma di assistenti virtuali, in televisione, nei processi produttivi, nelle foto, nella salute, negli atti, pareri e nei documenti. E chi ne ha più ne metta.
Indice degli argomenti
L’intelligenza artificiale è ormai dentro ogni processo
Il tema non è semplice neanche per gli addetti ai lavori, che si impegnano non tanto per “bloccare” l’uso di tali sistemi di IA, quanto piuttosto per cercare di plasmarli in conformità alla normativa. Si pensi a quanto possa essere controproducente (oltre che difficile) “remare contro” l’utilizzo di modelli di IA nel campo della ricerca scientifica[1] e medica[2], nei quali questa tecnologia può portare ad analisi ed elaborazioni di dati estremamente più rapide di quanto non avvenga oggi, ed avere un evidente impatto positivo sia sulle aziende che sulla vita dei singoli cittadini.
La stessa normativa e la sua interpretazione giuridica si stanno evolvendo: stessi occhi ma prospettiva diversa. Un esempio semplice di questo scenario riguarda la nozione di dato personale.
La nozione di dato personale tra GDPR e nuove prospettive
Ormai è evidente a tutti l’importanza di che cosa si debba intendere per dato personale e di ciò che sta dietro la nozione: “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato») […]” (art. 4, punto 1 del Reg. UE n. 2016/679 – “GDPR”). Tale dettato voleva riflettere l’obiettivo del legislatore dell’Unione Europea di attribuire un’accezione estesa a tale nozione, che comprendesse potenzialmente ogni tipo di informazioni, tanto oggettive quanto soggettive.
L’analisi del concetto di dato personale era ed è tutt’ora una di quelle attività basilari che vengono fatte in un qualsiasi corso di formazione base in materia di protezione dei dati personali, proprio per la sua forza giuridica prorompente in ciascun diverso scenario applicativo.
Eppure, la sua forza, la sua tenacia, la sua resilienza è stata leggermente scalfita dalla sentenza dalla Corte di Giustizia dell’Unione Europea che, intervenendo sul tema con la sentenza del 4 settembre 2025 nella causa C-412/23[3], ne ha sottratto un po’ di potere: “88 Per quanto riguarda l’argomento del GEPD vertente sull’obiettivo di garantire un livello elevato di protezione dei dati personali, sebbene i termini dell’articolo 3, punto 1, del regolamento 2018/1725 riflettano l’obiettivo del legislatore dell’Unione di attribuire un significato ampio alla nozione di «dati personali», tale nozione non è illimitata, dal momento che la disposizione citata richiede segnatamente che l’interessato sia identificato o identificabile.”
Da un’accezione estesa del termine si è passati ad una nozione che non è più illimitata: come dicevamo: stessi occhi, prospettive diverse.
Quanto detto, è ciò che si sta verificando anche con l’uso dei sistemi di IA.
Sistemi di IA e GDPR: il problema è la governance
Solo qualche anno fa restavamo sbigottiti alla lettura di articoli riportanti casi di avvocati che depositavano atti giudiziari, scritti – per l’appunto – con l’IA, in cui venivano citati precedenti inesistenti e sentenze mai emesse. Si dava colpa alla superficialità o sbadataggine di chi usava tali strumenti che, magari, non conosceva neanche il concetto di “hallucinations”: sostanzialmente si pensava che quanto prodotto dall’IA fosse “oro colato”.
Ma adesso? Il problema non è l’IA, non è la tecnologia adottata né l’algoritmo utilizzato ma è la governance: governare i sistemi di IA sin dalla progettazione e definizione.
Ed è proprio in questo scenario in continua evoluzione che, per quanto il prodotto finale possa essere efficace ed efficiente, non si può nascondere la mano (tornando al sasso). E non si possono sottovalutare né tenere a mente le conseguenze privacy che tali sistemi possono produrre.
Infatti, per quanto le nozioni normative possano evolversi ed essere suscettibili di diverse interpretazioni, è evidente a tutti che i sistemi di IA e i loro modelli basino la loro sopravvivenza sui dati.
AI Act e GDPR come sistemi normativi integrati
È utile ricordare che quando parliamo di GDPR e Reg. UE n. 2024/1689 (di seguito anche “AI ACT”) parliamo di una integrazione tra i due sistemi normativi quasi “funzionale”.
Eh sì, perché l’AI ACT è “impregnato” di GDPR. Si pensi al Considerando 10 che prevede “Il diritto fondamentale alla protezione dei dati personali è garantito in particolare dai regolamenti (UE) 2016/679 (11) e (UE) 2018/1725 (12) del Parlamento europeo e del Consiglio e dalla direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio (13). La direttiva 2002/58/CE del Parlamento europeo e del Consiglio (14) tutela inoltre la vita privata e la riservatezza delle comunicazioni, in particolare stabilendo le condizioni per l’archiviazione di dati personali e non personali e l’accesso ai dati in apparecchi terminali.
Tali atti giuridici dell’Unione costituiscono la base per un trattamento sostenibile e responsabile dei dati, anche nei casi in cui gli insiemi di dati comprendono una combinazione di dati personali e non personali. Il presente regolamento non mira a pregiudicare l’applicazione del vigente diritto dell’Unione che disciplina il trattamento dei dati personali, inclusi i compiti e i poteri delle autorità di controllo indipendenti competenti a monitorare la conformità con tali strumenti. Inoltre, lascia impregiudicati gli obblighi dei fornitori e dei deployer dei sistemi di IA nel loro ruolo di titolari del trattamento o responsabili del trattamento derivanti dal diritto dell’Unione o nazionale in materia di protezione dei dati personali, nella misura in cui la progettazione, lo sviluppo o l’uso di sistemi di IA comportino il trattamento di dati personali.” oppure al Considerando 69 “Il diritto alla vita privata e alla protezione dei dati personali deve essere garantito durante l’intero ciclo di vita del sistema di IA. A tale riguardo, i principi della minimizzazione dei dati e della protezione dei dati fin dalla progettazione e per impostazione predefinita, sanciti dal diritto dell’Unione in materia di protezione dei dati, sono applicabili nel trattamento dei dati personali. […]”.
Anche sul piano nazionale la Legge del 23 settembre 2025, n. 132 sull’intelligenza artificiale segna nel panorama nazionale il momento di incontro tra i due mondi normativi: l’art. 4, comma 2, prevede che: “L’utilizzo di sistemi di intelligenza artificiale garantisce il trattamento lecito, corretto e trasparente dei dati personali e la compatibilità con le finalità per le quali sono stati raccolti, in conformità al diritto dell’Unione europea in materia di dati personali e di tutela della riservatezza.”
Ciò che tale disposizione richiede è che la costruzione di un sistema di IA tenga in conto dei requisiti del GDPR sin dalla sua progettazione.
Il prodotto finale, quindi, per quanto efficace ed efficiente, deve essere sempre e comunque progettato, in conformità alla normativa in materia di protezione dei dati personali.
Ruoli privacy e responsabilità nei sistemi di IA
Accanto all’attribuzione dei ruoli previsti dall’AI ACT quali deployer, fornitore, importatore o distributore, si dovranno comprendere i ruoli privacy e dunque assegnare a ciascun soggetto coinvolto il ruolo di Titolare o di Responsabile del trattamento a meno che non vi siano i presupposti per una Contitolarità ai sensi dell’art. 26 del GDPR.
La definizione di tali ruoli consente anche di definire e poter rispondere alla domanda: “chi fa cosa?”.
Ad esempio, sarà compito del Titolare del trattamento farsi consegnare dal fornitore tutta la documentazione tecnica del sistema di IA che si vuole implementare in azienda: la documentazione è fondamentale per comprendere le logiche sottese alla macchina, la descrizione dell’algoritmo e il funzionamento dello stesso. Ciò consente di avere tutte le informazioni per ottemperare agli obblighi di cui agli artt. 12 e ss. del GDPR e dunque poter predisporre l’informativa sulla privacy in modo chiaro e trasparente nei confronti degli interessati. Tale obbligo, oltretutto, sarà rafforzato nel caso si vogliano implementare sistemi di IA ad alto rischio: tra gli oneri del fornitore, infatti, vi è proprio la produzione di copiosa documentazione di compliance che descriva in modo compiuto il funzionamento del sistema di IA e permetta al deployer di utilizzarlo adeguatamente (come previsto dall’art. 13 dell’AI Act).
DPIA, trattamento automatizzato e intervento umano
Sarà opportuno comprendere anche gli impatti che il trattamento di dati personali attraverso sistemi di IA può avere per i diritti e le libertà delle persone fisiche coinvolte. In tal senso, il Titolare del trattamento dovrà capire se sia necessario o meno svolgere una valutazione d’impatto (Data Protection Impact Assessment – DPIA) ai sensi dell’art. 35 del GDPR.
Inoltre, tra i vari adempimenti da tenere a mente, sarà importante ricordarsi quanto disposto dall’art. 22 del GDPR secondo cui l’interessato ha diritto a non essere sottoposto ad una “decisione basata unicamente sul trattamento automatizzato che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona” a meno che la decisione: a) sia necessaria per la conclusione o l’esecuzione di un contratto tra l’interessato e un titolare del trattamento; b) sia autorizzata dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento, che precisa altresì misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato; c) si basi sul consenso esplicito dell’interessato. Nei casi in cui la decisione sia necessaria per la conclusione di un contratto o si basi sul consenso dell’interessato, il Titolare del trattamento deve attuare “misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato, almeno il diritto di ottenere l’intervento umano da parte del titolare del trattamento, di esprimere la propria opinione e di contestare la decisione.”
È opportuno, pertanto, che i sistemi di IA vengano progettati, considerando tale dettato normativo, in modo tale da poter garantire l’intervento umano. L’aspetto “umano” viene richiamato anche dall’AI ACT in diverse occasioni, ad esempio al considerando 73 viene disposto come “I sistemi di IA ad alto rischio dovrebbero essere progettati e sviluppati in modo da consentire alle persone fisiche di sorvegliarne il funzionamento, garantire che siano utilizzati come previsto e che i loro impatti siano affrontati durante il ciclo di vita del sistema. Il fornitore del sistema dovrebbe a tal fine individuare misure di sorveglianza umana adeguate prima dell’immissione del sistema sul mercato o della sua messa in servizio.
Tali misure dovrebbero in particolare garantire, ove opportuno, che il sistema sia soggetto a vincoli operativi intrinseci che il sistema stesso non può annullare e che risponda all’operatore umano, e che le persone fisiche alle quali è stata affidata la sorveglianza umana dispongano delle competenze, della formazione e dell’autorità necessarie per svolgere tale ruolo […]”. I principi di tale considerando vengono poi ripresi nel dettato normativo dell’art. 14 dell’AI Act.
Sempre con riguardo al fornitore del sistema di IA, sarà opportuno verificare se questi tratta dati personali per conto del deployer e, in tal caso, verificare se è presente la nomina a Responsabile del trattamento ai sensi dell’art. 28 del GDPR.
Addestramento dei modelli IA e riutilizzo dei dati personali
Infine, ma non per questo meno importante, si dovrà sempre indagare e verificare se i sistemi di IA addestrino o meno i dati presenti per migliorare i servizi resi. Dal punto di vista privacy, questo è un tema particolarmente delicato: il riutilizzo dei dati da parte del fornitore di IA per finalità di addestramento del proprio modello di IA, se tra i dati sono presenti dati personali, costituisce dal punto di vista del soggetto che li trasmette un trattamento a sé stante che deve essere basato uno dei presupposti di liceità ex art. 6 del GDPR e rispettare tutti i principi del trattamento previsti dall’art. 5 del GDPR. Il deployer, quindi, dovrà sempre analizzare la documentazione in essere con il fornitore del sistema di IA e verificare se nel contratto siano presenti o meno clausole che disciplinino se e come avviene l’addestramento del proprio modello di IA con i dati immessi nel sistema di IA da parte del deployer.
Quest’attività non deve cadere in secondo piano poiché porterà concretamente ad ulteriori attività privacy, quali ad esempio: la verifica del rispetto dei principi di minimizzazione dei dati, di correttezza e di aggiornamento delle informazioni elaborate, il rispetto degli obblighi di informazione e trasparenza nei confronti degli interessati.
Privacy by design per l’adozione dei sistemi di IA
In conclusione, l’adozione di un sistema di IA, per quanto possa rendere efficace e efficiente l’attività lavorativa, non può tralasciare sin dalla progettazione le valutazioni e gli adempimenti in ambito privacy che sono fondamentali per garantire un trattamento lecito e corretto dei dati personali, così come stabilito dalla Legge sull’intelligenza artificiale del 23 settembre 2025, n. 132.
Note
[1] https://www.ibsafoundation.org/it/blog/intelligenza-artificiale-disegna-super-antibiotici
Partecipa alla community