Problematiche GDPR nell’utilizzo dell’AI nella consulenza professionale

• Primo Piano
• Sabato, 31 Maggio 2025 15:12

L'Unione Europea ha compiuto con l'approvazione dell'AI Act, entrato in vigore il 1° agosto 2024, un passo significativo fornendo il primo quadro normativo specificamente redatto per l'IA. Il principale obiettivo dell'Al Act è quello di fornire un insieme di norme armonizzate che regolamentino l'utilizzo dei sistemi di intelligenza artificiale all'interno dell'UE, garantendo che lo sviluppo e l'applicazione dell'IA si svolgano nel pieno rispetto dei diritti fondamentali dei cittadini europei.

In realtà l’AI Act non include soltanto la tutela della privacy, ma anche la salvaguardia della libertà di espressione e il diritto alla dignità umana.

Senza dubbio l'introduzione dell'Al Act ha evidenziato la sua interazione con il Regolamento UE 2016/679 (GDPR), che è stato concepito in un periodo storico in cui l'IA non era ancora così diffusa.

Mentre il GDPR è orientato esclusivamente sulla protezione dei dati personali, l'Al Act amplia il perimetro di applicazione, affrontando anche le implicazioni etiche e sociali dell'IA, ma in realtà entrambi hanno il comune obiettivo di proteggere i diritti fondamentali dei cittadini europei.

L’integrazione dell’AI nella consulenza professionale rappresenta una straordinaria opportunità di innovazione, efficienza e valore aggiunto per i clienti. Tuttavia, questa trasformazione tecnologica non si può prescindere da una solida base giuridica e da una gestione responsabile dei dati personali.

Nel contesto della consulenza professionale l’utilizzo di sistemi di intelligenza artificiale comporta frequentemente un trattamento di dati personali, talvolta anche particolari: questo porta ad alcune criticità su alcuni aspetti fondamentali del GDPR.

Premesso che ogni trattamento richiede una base giuridica, e che nell’esercizio della consulenza è generalmente l’esecuzione di un contratto per adempiere all’incarico professionale, non è da trascurare la possibilità di un’eventuale attività di profilazione. In tal caso il ricorso al legittimo interesse (non semplice da bilanciare e documentare) sarebbe rischioso se non fosse supportato da un DPIA e da relative adeguate misure e sarebbe quindi consigliabile ricorrere al consenso, qualora per questa finalità non fosse sufficiente il contratto.

(Nella foto: Cesare Montanucci, Presidente del Collegio Italiano Privacy, è speaker al Privacy Day Forum 2025)

È noto che gli algoritmi dell’AI tendono a “digerire” enormi quantità di dati, ma il Regolamento Europeo impone di limitare il trattamento allo stretto necessario (principio di minimizzazione) e i consulenti devono evitare di inserire nei sistemi AI dati in eccesso rispetto alla finalità di utilizzo.

La raccomandazione per i consulenti è di utilizzare questi nuovi strumenti dopo una informazione e, meglio, formazione adeguata, per conoscere non solo il funzionamento, ma anche i relativi limiti ed i conseguenti rischi.

Sono purtroppo frequenti errori di interpretazione dei risultati forniti dall’AI, o di una loro cieca accettazione dei risultati, che possono generare problematiche legali e danni reputazionali.

Il consulente prima di utilizzare l’AI dovrebbe innanzitutto valutare bene i relativi rischi e redigere l’eventuale Documento di Valutazione di Impatto (DPIA), informare i propri clienti sull’eventuale trattamento dei loro dati personali, formare i collaboratori dello studio sulle potenzialità e limiti di questo strumento nonché definire un’adeguata policy interna, la quale andrebbe peraltro aggiornata periodicamente, in base ai risultati ottenuti e i problemi man mano riscontrati.

L’utilizzo dell’AI nella consulenza non è soltanto una scelta tecnologica: è anche un percorso culturale e giuridico. Il GDPR non va visto come un ostacolo, ma come un perimetro entro cui poter innovare in modo responsabile e sostenibile la propria attività. La consulenza del futuro sarà sempre più supportata dalla tecnologia, ma il processo evolutivo dovrà essere accompagnato da trasparenza, competenza, consapevolezza e rispetto per gli interessati coinvolti.