L’ AI bisticcia con la protezione dati
Di Intelligenza Artificiale sentiamo parlare molto spesso, forse troppo spesso. E a volte anche a sproposito. La sua pervasività e la sua prestazione nascono, tra l’altro, dal fatto che viene “alimentata” con una quantità incredibile di dati da cui pesca per fornire all’utilizzatore le risposte richieste.
Tutto bene, tutto bello. A patto che l’AI non travalichi certi limiti e certe disposizioni di Legge perché, in questi casi, esistono precise responsabilità per gli stessi Titolari del Trattamento.
Ne abbiamo parlato con Roberto Giovanni Loche che si occupa in modo specifico di Privacy e Cybersecurity, perché ci aiutasse a mettere in luce responsabilità e rischi connessi alla diffusione in azienda dell’AI. Crediamo che le sue osservazioni meritino una particolare attenzione.
L’Intelligenza Artificiale in azienda e la Protezione dei Dati
Il rapporto tra Intelligenza Artificiale (AI) e Regolamento Generale sulla Protezione dei Dati (GDPR) rappresenta uno dei nodi giuridici e tecnologici più complessi del nostro tempo, ulteriormente delineato dall’entrata in vigore di due disposizioni:
– l’AI Act europeo, il primo quadro normativo completo al mondo specificatamente dedicato all’Intelligenza Artificiale
– la successiva normativa italiana come la Legge 132/2025, che si basa su un approccio antropocentrico, che mette l’essere umano al centro dello sviluppo tecnologico.
L’integrazione di sistemi intelligenti nei processi aziendali non esclude l’applicazione della disciplina privacy, ma al contrario ne amplifica la necessità di rigore, al fine di normalizzare e regolarizzare il flusso di dati personali necessari ad alimentare l’AI.
Le sfide principali tra AI e GDPR
Il rapporto tra Intelligenza Artificiale e GDPR ruota attorno alla trasparenza, alla limitazione del trattamento e ai processi decisionali automatizzati. I sistemi di AI che elaborano dati personali devono rispettare i principi di minimizzazione e non discriminazione, tutelando i diritti fondamentali dell’interessato. In particolare:
– Processo decisionale automatizzato (Art. 22): il GDPR garantisce il diritto di non essere sottoposto a decisioni basate unicamente su trattamenti automatizzati (inclusa la profilazione) che producono effetti giuridici. L’AI deve prevedere un controllo umano.
– Trasparenza (Art. 13 e 14): gli utenti devono essere informati in modo chiaro e semplice se i loro dati vengono utilizzati per alimentare modelli di AI o se interagiscono con sistemi automatizzati (come chatbot o AI generative).
– Valutazione d’impatto (DPIA – Art. 35): l’utilizzo di algoritmi per trattamenti su larga scala, profilazione o per scopi di valutazione richiede una preventiva valutazione d’impatto sulla protezione dei dati.
Privacy by Design e by Default
L’architettura dell’AI deve integrare la protezione dei dati fin dalla sua progettazione iniziale e garantire la massima tutela come impostazione predefinita. Questo include tecniche di oscuramento come l’anonimizzazione e la pseudonimizzazione dei flussi informativi.
Inoltre, in linea con il framework dell’AI Act, i dati usati per l’addestramento devono essere privi di pregiudizi (bias) discriminatori per evitare che l’AI generi risultati ingiusti o lesivi dei diritti fondamentali in base a categorie sensibili come etnia, genere o opinioni politiche.
Implicazioni per i Titolari del Trattamento
Queste disposizioni, tra gli altri effetti, comportano l’assunzione di responsabilità decisamente rilevanti da parte dei titolari del trattamento. Questi hanno l’obbligo tassativo di informare gli interessati quando utilizzano sistemi di AI per trattare i loro dati personali. Questo dovere è stato rafforzato dalle recenti riforme normative che integrano i dettami storici del GDPR:
– Informativa Chiara: le aziende devono aggiornare le proprie policy spiegando in modo semplice e accessibile come e perché l’AI processa i dati.
– Uso in Backoffice: la trasparenza non riguarda solo i chatbot visibili all’utente (front-end), ma anche gli algoritmi silenti utilizzati per scopi interni come la classificazione dei clienti, l’assegnazione di priorità o la profilazione.
– Comunicazione dei Professionisti: dal 10 ottobre 2025 (con l’introduzione della Legge 132), i professionisti hanno l’obbligo di dichiarare esplicitamente ai clienti l’utilizzo di strumenti di AI nello svolgimento delle proprie attività.
I rischi per la Privacy Aziendale
L’adozione incontrollata di strumenti di AI generativa da parte dei dipendenti espone l’organizzazione a pesanti criticità sotto il profilo della protezione dei dati:
– Exfiltration tramite prompt: dipendenti che inseriscono dati aziendali riservati, segreti industriali o dati sensibili nei prompt di strumenti AI pubblici (come ChatGPT o Gemini), portando alla perdita di controllo dei dati stessi.
– Trasferimenti Transfrontalieri: Molte infrastrutture di calcolo risiedono su server cloud posizionati al di fuori dell’Unione Europea, violando potenzialmente le restrizioni del GDPR sui trasferimenti esteri.
– Discriminazione: dati di addestramento distorti o inaccurati generano output discriminatori; il GDPR esige l’esattezza del dato e la minimizzazione, concetti difficili da conciliare con la natura “black box” di alcuni modelli di machine learning.
Come l’AI aumenta il rischio di Data Breach
L’adozione di sistemi AI, in particolare i modelli di linguaggio (LLM), espone le aziende a scenari di violazione inediti:
– Attacchi ai training set: i malintenzionati possono sfruttare il data poisoning per “avvelenare” i dati di addestramento manipolando l’output dell’AI, oppure forzare il modello a rivelare informazioni sensibili memorizzate nel suo addestramento (es. chiavi API o password rimaste nei dataset)
– Phishing su scala industriale: gli hacker utilizzano l’AI generativa per creare e-mail di phishing iper-personalizzate, prive di errori grammaticali e difficili da intercettare, aumentando il tasso di successo dei vettori d’attacco tradizionali.
Come Adeguarsi: macro linee guida operative
Per gestire i sistemi di Intelligenza Artificiale, garantendo la conformità congiunta al GDPR e all’AI Act (Regolamento UE 2024/1689), le organizzazioni devono adottare un approccio operativo integrato basato sul rischio:
1. Valutazione di Impatto (DPIA e FRIA): prima di implementare un sistema di AI, è obbligatorio eseguire una DPIA (Valutazione di Impatto sulla Protezione dei Dati) per misurare i rischi sui diritti e le libertà delle persone fisiche, interfacciandola con la FRIA (Valutazione dei diritti fondamentali) prevista dall’AI Act.
2. Identificare l’Alto Rischio: se l’AI incide su aree critiche (risorse umane, selezione del personale, credit scoring, infrastrutture), si applicano i massimi obblighi di conformità.
3. Definizione dei Ruoli: chiarire la catena delle responsabilità contrattuali ex Articolo 28 del GDPR, distinguendo accuratamente tra sviluppatori del sistema (spesso responsabili o titolari autonomi) e utilizzatori finali.
4. Formazione del personale: la formazione è uno dei pilastri fondamentali per ridurre l’esposizione aziendale ad un uso improprio dell’AI con relative violazioni della privacy e sanzioni legali.
5. Coinvolgimento del DPO: Il Responsabile della Protezione dei Dati deve supervisionare l’intero ciclo di vita dell’algoritmo, fungendo da ponte normativo e garantendo l’applicazione dei principi di Privacy by Design e by Default.
Conclusioni: verso una governance responsabile dell’IA
I progressi nella capacità di elaborazione dei dati e nelle tecniche di apprendimento hanno portato a sistemi di AI generativa che possono creare contenuti, prendere decisioni e interagire con gli esseri umani in modi prima impensabili. Domani, con i computer quantistici, la sfida sarà ancora più grande e non possiamo che incominciare ad affrontarla oggi.
Tuttavia, restano sfide significative. La rapidità dell’evoluzione tecnologica continua a mettere alla prova la capacità del legislatore di stare al passo. Nel futuro prossimo sarà fondamentale sviluppare standard tecnici condivisi, strumenti di conformità accessibili e best practice che possano aiutare le organizzazioni di tutte le dimensioni a navigare questo complesso panorama normativo.
La sfida più grande rimane la necessità di garantire che l’innovazione tecnologica proceda, ed evolva, di pari passo con la protezione dei diritti fondamentali in un ecosistema digitale sempre più complesso e interconnesso.
Roberto Giovanni Loche
Consulente Privacy e Cybersecurity
Mobile: +39 331.2917785

