Privacy e intelligenza artificiale dopo la nuova Legge 132/2025: il modello italiano per un'innovazione responsabile
La Legge 23 settembre 2025, n. 132 sull'intelligenza artificiale segna un momento di convergenza tra due universi normativi che fino ad oggi hanno viaggiato su binari paralleli: la protezione dei dati personali e la regolamentazione dell'AI. Il rapporto tra il GDPR e la nuova normativa italiana non è solo di coesistenza, ma di vera e propria integrazione funzionale, dove i principi di protezione della privacy diventano architrave per uno sviluppo responsabile dell'intelligenza artificiale.
(Nella foto: l'Avv. Michele Iaselli, Coordinatore del Comitato Scientifico di Federprivacy)
L'articolo 4 della legge italiana stabilisce che "l'utilizzo di sistemi di intelligenza artificiale garantisce il trattamento lecito, corretto e trasparente dei dati personali e la compatibilità con le finalità per le quali sono stati raccolti, in conformità al diritto dell'Unione europea in materia di dati personali". Questa formulazione non rappresenta una semplice clausola di stile, ma un principio operativo che richiede una progettazione dei sistemi AI nativamente compatibile con i requisiti del GDPR.
La trasparenza assume una dimensione particolare nell'intersezione tra privacy e intelligenza artificiale. Mentre il GDPR richiede informazioni chiare sul trattamento dei dati, la legge italiana aggiunge l'obbligo di spiegabilità dei sistemi AI. L'articolo 4, comma 3 prevede che le informazioni siano rese "con linguaggio chiaro e semplice, in modo da garantire all'utente la conoscibilità dei relativi rischi e il diritto di opporsi ai trattamenti autorizzati dei propri dati personali". Si crea così un doppio livello di trasparenza: sui dati trattati e sui meccanismi decisionali dell'AI.
Il principio di minimizzazione dei dati, cardine del GDPR, trova nuova applicazione nel contesto dell'intelligenza artificiale. I sistemi AI tendono naturalmente ad assorbire grandi quantità di dati per migliorare le proprie prestazioni, ma la normativa italiana richiede che questo avvenga "secondo il principio di proporzionalità in relazione ai settori nei quali sono utilizzati". Emerge così la necessità di bilanciare l'efficacia degli algoritmi con la protezione della privacy, sviluppando tecniche di machine learning che possano operare con dataset ridotti o anonimizzati.
L'anonimizzazione e la pseudonimizzazione assumono un ruolo fondamentale in questo equilibrio. L'articolo 8 della legge italiana prevede specifiche disposizioni per la ricerca scientifica in ambito sanitario, autorizzando "il trattamento per finalità di anonimizzazione, pseudonimizzazione o sintetizzazione dei dati personali, anche appartenenti alle categorie particolari". Questa previsione introduce il concetto di "dati sintetici", generati attraverso AI, che mantengono l'utilità statistica dei dati originali senza compromettere la privacy degli interessati.
Il consenso, pilastro del GDPR, si confronta con le peculiarità dell'intelligenza artificiale. L'articolo 4, comma 4 della legge italiana stabilisce regole specifiche per i minori, richiedendo il consenso dei genitori per l'accesso alle tecnologie AI da parte di minori di quattordici anni. Questa disposizione riconosce che l'AI presenta rischi specifici per i soggetti vulnerabili, richiedendo protezioni rafforzate che vanno oltre quelle previste dal GDPR generale.
La profilazione automatizzata, già disciplinata dall'articolo 22 del GDPR, trova nuove sfaccettature nell'era dell'AI generativa. La legge italiana non introduce divieti assoluti, ma rafforza i principi di supervisione umana e spiegabilità. Ogni decisione automatizzata deve rimanere sotto controllo umano effettivo, garantendo all'interessato il diritto di comprendere la logica utilizzata e di contestare le decisioni che lo riguardano.
Il diritto all'oblio si arricchisce di nuove dimensioni nel contesto dell'intelligenza artificiale. Non si tratta più solo di cancellare dati da database, ma di garantire che le informazioni eliminate non continuino ad influenzare i modelli AI già addestrati. Questa sfida tecnica richiede lo sviluppo di tecniche di "machine unlearning" che permettano di rimuovere selettivamente l'influenza di specifici dati dai modelli addestrati.
La portabilità dei dati assume significati inediti quando applicata all'AI. Gli interessati potrebbero non solo richiedere i propri dati, ma anche informazioni su come questi abbiano contribuito all'addestramento di modelli AI e quali decisioni automatizzate ne siano derivate. Si prospetta così un diritto alla "portabilità algoritmica" che va oltre la semplice esportazione di dati.
La privacy by design e by default, principi fondamentali del GDPR, diventano "AI privacy by design" nella nuova normativa. L'articolo 3, comma 6 della legge italiana richiede che "la cybersicurezza lungo tutto il ciclo di vita dei sistemi e dei modelli di intelligenza artificiale" sia garantita come "precondizione essenziale".
Il Data Protection Officer assume nuove responsabilità nell'era dell'AI, dovendo valutare non solo la conformità dei trattamenti al GDPR, ma anche l'impatto dei sistemi AI sui diritti degli interessati. La valutazione d'impatto sulla protezione dei dati (DPIA) deve essere estesa (come prevede già l’AI Act) per includere i rischi specifici dell'intelligenza artificiale, come la discriminazione algoritmica e l'erosione dell'autonomia decisionale umana.
La cooperazione tra Autorità di controllo si intensifica con l'introduzione delle Autorità nazionali per l'AI. L'articolo 20, comma 4 della legge italiana stabilisce che "restano fermi le competenze, i compiti e i poteri del Garante per la protezione dei dati personali", ma prevede meccanismi di coordinamento con AgID e ACN. Si delinea così un sistema di governance multi-livello dove diverse autorità collaborano per garantire uno sviluppo dell'AI rispettoso dei diritti fondamentali.
Le sanzioni assumono una dimensione particolare nell'incrocio tra GDPR e normativa AI. Mentre il Regolamento europeo prevede multe fino al 4% del fatturato globale per violazioni gravi, la legge italiana introduce sanzioni specifiche per l'uso illecito di sistemi AI. L'articolo 26 prevede aggravanti penali per reati commessi mediante AI, creando un sistema sanzionatorio articolato che copre sia gli aspetti amministrativi che quelli penali.
La ricerca scientifica beneficia di un regime particolare che bilancia innovazione e protezione dati. L'articolo 8 della legge italiana dichiara di "rilevante interesse pubblico" i trattamenti per ricerca in ambito sanitario, semplificando le procedure senza compromettere le garanzie privacy. Questo approccio pragmatico riconosce l'importanza dell'AI per il progresso scientifico, mantenendo però fermi i principi di protezione degli interessati.
L'enforcement congiunto delle due normative richiede competenze specialistiche che vanno oltre la tradizionale expertise privacy. I DPO e i consulenti privacy devono acquisire conoscenze tecniche sui sistemi AI per valutarne correttamente l'impatto sui diritti degli interessati. Emergono nuove figure professionali, come l'AI Ethics Officer, che integrano competenze giuridiche, tecniche ed etiche.
Il futuro del rapporto tra privacy e AI si prospetta caratterizzato da crescente integrazione normativa e tecnica. La convergenza tra GDPR e legge italiana sull'AI rappresenta un modello di regolamentazione che potrebbe influenzare altri ordinamenti. L'obiettivo è sviluppare un ecosistema normativo dove innovazione tecnologica e protezione dei diritti fondamentali si rafforzino reciprocamente, dimostrando che privacy e progresso non sono antitetici ma complementari.
