NEWS

Agenti di intelligenza artificiale e protezione dei dati personali: titolarità, base giuridica e responsabilità nell’era dell’IA agentica

La protezione dei dati ha sin qui affrontato l’intelligenza artificiale soprattutto sul versante dell’addestramento dei modelli: la liceità della raccolta dei dati, l’anonimato dei modelli, le basi giuridiche del training. È il terreno su cui si è esercitata, da ultimo, l’opinione dell’European Data Protection Board sui dati personali nei modelli di IA (EDPB, Opinion 28/2024, adottata il 17 dicembre 2024 ai sensi dell’art. 64, par. 2, del Regolamento (UE) 2016/679, su richiesta dell’autorità di controllo irlandese).

(Nella foto: l'Avv. Michele Iaselli, Coordinatore del Comitato Scientifico di Federprivacy)

La cosiddetta IA «agentica» introduce però una discontinuità qualitativa. Non si tratta più soltanto di sistemi che producono un output testuale che l’utente legge e valuta, bensì di sistemi che — sulla base di obiettivi assegnati — pianificano e compiono azioni: interrogano altri servizi, compilano moduli, inviano comunicazioni, effettuano prenotazioni o operazioni, orchestrano più strumenti in sequenza, talvolta interagendo con altri agenti. È esattamente la caratteristica che il Regolamento (UE) 2024/1689 (regolamento sull’intelligenza artificiale, di seguito «AI Act») pone al centro della nozione di sistema di IA: una «capacità inferenziale» che genera output in grado di «influenzare gli ambienti fisici e virtuali» e un funzionamento con «livelli di autonomia variabili» rispetto al coinvolgimento umano, fino all’adattabilità mediante autoapprendimento (considerando 12).

Quando l’autonomia si traduce in azione, il dato personale non è più soltanto materia prima del modello: diventa oggetto di un trattamento dinamico, distribuito, che attraversa una pluralità di servizi e di contesti in tempi rapidissimi e con un controllo umano puntuale tendenzialmente affievolito. Su questo scenario la disciplina di protezione dei dati va riletta nei suoi istituti cardine.

Il rapporto con l’AI Act: discipline complementari, non alternative - Va anzitutto sgombrato il campo da un equivoco. L’AI Act non sostituisce né attenua il GDPR. Lo afferma in modo esplicito il considerando 10 del Regolamento (UE) 2024/1689, secondo cui il regolamento «lascia impregiudicati gli obblighi dei fornitori e dei deployer dei sistemi di IA nel loro ruolo di titolari del trattamento o responsabili del trattamento» derivanti dal diritto dell’Unione e nazionale in materia di protezione dei dati, nella misura in cui progettazione, sviluppo o uso del sistema comportino trattamento di dati personali. Lo stesso considerando ribadisce che gli interessati continuano a godere di tutti i diritti garantiti dalla disciplina sui dati, «compresi i diritti connessi al processo decisionale esclusivamente automatizzato relativo alle persone fisiche, compresa la profilazione».

Le due cornici, dunque, si applicano congiuntamente: l’AI Act regola il prodotto-sistema secondo un approccio basato sul rischio; il GDPR continua a governare ogni trattamento di dati personali che quel sistema realizza. Sul piano nazionale, la Legge 23 settembre 2025, n. 132 («Disposizioni e deleghe al Governo in materia di intelligenza artificiale», in Gazzetta Ufficiale — Serie Generale n. 223 del 25 settembre 2025, in vigore dal 10 ottobre 2025) si colloca nel medesimo solco, da interpretarsi e applicarsi in coerenza con l’AI Act, e ribadisce la centralità della persona e della supervisione umana nei processi decisionali che coinvolgono l’IA — la stessa impostazione «antropocentrica» che l’AI Act pone tra le proprie finalità (considerando 1 e art. 1).

Il nodo della titolarità - Il primo problema che l’agente solleva è l’individuazione del titolare del trattamento. La nozione di «deployer» dell’AI Act — «qualsiasi persona fisica o giuridica […] che utilizza un sistema di IA sotto la sua autorità, salvo nel caso in cui il sistema di IA sia utilizzato nel corso di un’attività personale non professionale» (considerando 13) — offre un primo orientamento, ma non risolve la qualificazione ai fini del GDPR, che dipende dalla determinazione delle finalità e dei mezzi del trattamento.
Occorre distinguere almeno tre scenari.

Quando l’agente è impiegato dalla persona fisica per scopi esclusivamente personali o domestici, il trattamento da essa svolto può ricadere nell’esclusione domestica; resta però fermo che il fornitore della piattaforma agentica, che determina in via autonoma finalità e mezzi del trattamento sottostante (funzionamento del modello, logging, miglioramento del servizio), agisce come titolare per le proprie operazioni. L’esclusione domestica, peraltro, non copre i trattamenti che l’agente compie su dati di terzi (i destinatari delle comunicazioni, le controparti delle operazioni), rispetto ai quali la posizione dell’utente va valutata con attenzione.

Quando l’agente è impiegato da un’organizzazione (impresa, studio professionale, pubblica amministrazione) per finalità proprie, è quest’ultima a determinare le finalità del trattamento e dunque ad assumere la titolarità, mentre il fornitore della tecnologia tenderà a qualificarsi come responsabile del trattamento, da disciplinare con apposito atto giuridico, salvo che — per il training o per finalità autonome — determini esso stesso finalità e mezzi, configurandosi come (con)titolare.

L’azione «a catena» dell’agente, infine, moltiplica i punti di contatto: ogni servizio terzo interrogato dall’agente realizza un proprio trattamento, con una propria titolarità. La mappatura dei ruoli — titolare, contitolare, responsabile, sub-responsabile — non è un adempimento formale, ma la precondizione per stabilire chi risponde di che cosa. È un’operazione che va condotta ex ante, in sede di progettazione, e tradotta in una catena contrattuale coerente.

La base giuridica e il problema della finalità - Identificato il titolare, resta da individuare la base giuridica. Qui l’IA agentica eredita e amplifica una questione già emersa per i modelli. L’EDPB, nell’Opinion 28/2024, ha riconosciuto che il legittimo interesse (la base giuridica di cui all’art. 6, par. 1, lett. f, del GDPR, su cui l’opinione verte) può in linea di principio fondare il trattamento per lo sviluppo e l’impiego di modelli di IA, ricorrendo — significativamente — proprio all’esempio dell’«agente conversazionale a supporto degli utenti» quale ipotesi astrattamente compatibile, ma a condizione che il trattamento superi il consueto test in tre fasi: sussistenza di un interesse legittimo, stretta necessità del trattamento rispetto a tale interesse, e prevalenza nel bilanciamento con diritti e libertà degli interessati, tenuto conto delle loro ragionevoli aspettative.

Il salto agentico complica il bilanciamento. L’agente, per compiere l’azione, attiva trattamenti ulteriori rispetto a quello che ne ha giustificato l’attivazione: trasmette dati a servizi terzi, li combina, ne genera di nuovi. Riemerge così, in forma acuta, il principio di limitazione della finalità: la base giuridica e la finalità individuate a monte non legittimano automaticamente ogni operazione che l’agente decida autonomamente di compiere a valle. Allo stesso modo, l’autonomia operativa non sospende il principio di minimizzazione: la capacità dell’agente di accedere indistintamente a un’ampia base informativa non equivale alla liceità di trattarla tutta.

Particolare cautela impone l’eventualità — tutt’altro che teorica in un agente che gestisce posta, salute, finanze, spostamenti — del trattamento di categorie particolari di dati ai sensi dell’art. 9 del GDPR, per il quale occorre che ricorra una delle condizioni di liceità ulteriori previste dalla norma, non surrogabile dalla mera disponibilità tecnica del dato.

Decisione automatizzata, profilazione e supervisione umana - Il tratto più delicato è che l’agente non si limita a suggerire: decide e agisce. Ciò riporta al centro la tutela contro le decisioni adottate unicamente sulla base di un trattamento automatizzato — compresa la profilazione — che producano effetti giuridici o incidano in modo analogamente significativo sull’interessato: una tutela che lo stesso considerando 10 dell’AI Act richiama espressamente come impregiudicata.

La risposta non può essere un assenso meramente nominale dell’utente a valle, prestato senza reale comprensione né possibilità di intervento. La logica antropocentrica — che attraversa tanto l’AI Act quanto la L. n. 132/2025 — esige una supervisione umana effettiva, calibrata sulla rilevanza dell’azione: punti di conferma per le operazioni a impatto significativo, possibilità di interruzione, tracciabilità delle decisioni dell’agente e intellegibilità delle ragioni dell’azione. Tanto più ampio è il mandato conferito all’agente, tanto più robusti devono essere i presidi di controllo e di reversibilità.

Sicurezza, accountability e responsabilità - L’autonomia agentica apre, sul piano della sicurezza, una superficie di rischio nuova. Un agente che riceve istruzioni dal contesto in cui opera è esposto a manipolazioni dei contenuti che elabora (le tecniche di prompt injection), capaci di dirottarne il comportamento e di provocare esfiltrazione o trattamenti illeciti di dati.

Le misure tecniche e organizzative adeguate a garantire la sicurezza del trattamento, e l’impostazione della protezione dei dati fin dalla progettazione e per impostazione predefinita, vanno perciò concepite tenendo conto della capacità dell’agente di agire, e non solo di elaborare: confini ai privilegi dell’agente, segregazione dei dati, validazione delle azioni a rischio, registrazione degli eventi.

Sul piano dell’accountability, la complessità e la potenziale incidenza di questi trattamenti rendono in molti casi opportuna — e spesso doverosa — una valutazione d’impatto sulla protezione dei dati condotta a monte, idonea a far emergere i rischi specifici dell’agire autonomo e a documentare le scelte di mitigazione. Si tratta, del resto, dello strumento attraverso cui il titolare assolve l’onere di dimostrare la conformità dei propri trattamenti.

Resta, infine, il tema della responsabilità verso l’interessato. La frammentazione della filiera — fornitore del modello, fornitore dell’agente, deployer, servizi terzi — non può tradursi in una diluizione delle tutele. Il diritto al risarcimento del danno subito per effetto di un trattamento non conforme presuppone che la ripartizione dei ruoli sia chiara e che ciascun operatore risponda della porzione di trattamento che governa: ragione ulteriore per cui la mappatura dei ruoli descritta sopra non è un esercizio teorico, ma il presidio pratico dell’effettività dei diritti.

Indicazioni operative - Dal quadro emergono alcune direttrici concrete per chi progetti, adotti o gestisca sistemi di IA agentica. Conviene, in sintesi: mappare ex ante i ruoli privacy lungo l’intera filiera dell’agente e tradurli in una catena contrattuale coerente; individuare per ciascun trattamento la base giuridica e la finalità, presidiando in particolare i trattamenti ulteriori generati dall’azione autonoma e l’eventuale coinvolgimento di categorie particolari di dati; definire e documentare i limiti del mandato dell’agente, con punti di supervisione umana proporzionati all’impatto delle azioni; impostare la sicurezza in funzione della capacità di agire dell’agente, considerando i rischi di manipolazione dei contenuti; condurre, ove ne ricorrano i presupposti, una valutazione d’impatto che dia conto dei rischi specifici; assicurare trasparenza e tracciabilità, così che l’interessato sappia di interagire con un sistema di IA e sia possibile ricostruire e, se necessario, contestare le azioni compiute.

Conclusioni - L’IA agentica non richiede una nuova disciplina della protezione dei dati: richiede di applicare con rinnovato rigore quella esistente a una tecnologia che non si limita più a prevedere, ma agisce. Il punto di equilibrio non sta nel rallentare l’innovazione, bensì nel mantenere fermo il principio che l’autonomia della macchina non assorbe la responsabilità di chi la governa né comprime i diritti di chi ne subisce gli effetti. È, in fondo, la stessa visione antropocentrica che ispira tanto il quadro europeo quanto la prima legge organica italiana sull’intelligenza artificiale: l’IA come strumento al servizio della persona, e non come misura dell’umano.

Note sull'Autore

Michele Iaselli Michele Iaselli

Coordinatore del Comitato Scientifico di Federprivacy. Avvocato, docente di  diritto digitale e tutela dei dati presso LUISS - dipartimento di giurisprudenza. Specializzato presso l'Università degli Studi di Napoli Federico II in "Tecniche e Metodologie informatiche giuridiche". Presidente del Comitato Scientifico dell’Associazione Nazionale per la Difesa della Privacy. Funzionario del Ministero della Difesa - X : @infomicheleias1

 

Prev Dilagano le truffe deepfake, e l’intelligenza artificiale è unica arma che abbiamo a disposizione per difenderci
Next Una sentenza della Corte Suprema degli Stati Uniti fa scricchiolare i trasferimenti di dati personali UE-USA

Privacy Day Forum 2025: il servizio dell'Ansa

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy