UE e Intelligenza Artificiale: GDPR 2.0 e AI

UE e Intelligenza Artificiale: GDPR 2.0 e AI

9.9.2025

Di Alessandro Mirani

Dal 2018, in Unione Europea, il trattamento dei dati personali – inclusi quelli biometrici e sensibili – avviene all’interno di un quadro normativo volto a garantire una forte tutela dei diritti fondamentali: il GDPR. Nel 2025 è atteso un aggiornamento, una sorta di “GDPR 2.0”, pensato per rispondere ai rischi posti dall’intelligenza artificiale e dai sistemi automatizzati. L’obiettivo principale è rafforzare la trasparenza, imponendo alle organizzazioni di spiegare chiaramente come l’IA utilizza i dati personali e obbligandole a informare gli interessati in caso di decisioni automatizzate. Inoltre, sarà richiesto un consenso esplicito e specifico per ogni finalità – sempre revocabile – soprattutto per le attività di addestramento dei modelli di intelligenza artificiale.

Si potrebbe dire che trasparenza e consenso fossero già principi cardine del GDPR. La vera novità del GDPR 2.0, a mio parere, è l’introduzione del diritto di contestare le decisioni automatiche, con l’obbligo per le organizzazioni di fornire spiegazioni dettagliate sugli elementi che hanno inciso in modo significativo nella decisione dell’IA.

Altri elementi del GDPR 2.0 relativi all’IA saranno il diritto alla cancellazione dei dati e il principio di minimizzazione, entrambi già presenti nella prima versione del regolamento.

Non sarà però il solo GDPR 2.0 a intervenire sull’uso dell’intelligenza artificiale. L’AI Act, infatti, rafforza i principi di GDPR (trasparenza, consenso, minimizzazione e cancellazione) e di GDPR 2.0 (contestazione e spiegazione delle decisioni), introducendo al tempo stesso nuove linee guida per gli sviluppatori.

Attenzione però: insieme alle linee guida arriveranno anche nuove sanzioni.

AI Act

Definire in modo univoco e universale cosa siano i “dati personali” fu la sfida principale del GDPR. Allo stesso modo, l’AI Act dovrà stabilire una definizione chiara di cosa si intenda per intelligenza artificiale e quali sistemi rientrino nel suo ambito di applicazione.

Secondo l’AI Act, per “sistema di IA” si intende:

“un sistema basato su macchina, progettato per operare con diversi livelli di autonomia e che può presentare adattabilità dopo la distribuzione. Per obiettivi espliciti o impliciti, questo sistema trae inferenze dagli input ricevuti per generare output – come previsioni, contenuti, raccomandazioni o decisioni – che possono influenzare ambienti fisici o virtuali”.

L’AI Act ha come obiettivo dichiarato quello di migliorare il funzionamento del mercato interno europeo, stabilendo “un quadro giuridico uniforme per lo sviluppo, l’immissione sul mercato, la messa in servizio e l’impiego dei sistemi di IA nell’Unione, in conformità ai valori dell’Unione”.

Lo scopo è duplice:

  • da un lato incentivare un’IA affidabile, antropocentrica e favorevole all’innovazione,
  • dall’altro assicurare un elevato livello di protezione della salute, sicurezza, diritti fondamentali, inclusi la tutela dei dati personali, la democrazia e lo Stato di diritto.

Sono previste norme armonizzate per i sistemi di IA e per i cosiddetti modelli di IA di uso generale, tra cui rientrano i grandi modelli generativi, oltre a obblighi in materia di trasparenza, sicurezza e governance dei mercati.

Il regolamento si applica non solo agli sviluppatori e fornitori di sistemi di IA (anche se stabiliti fuori dall’UE ma i cui output sono utilizzati nell’Unione), ma anche a chi li utilizza all’interno dell’UE (“deployer”), agli importatori, distributori e rappresentanti autorizzati, nonché ai produttori che integrano l’IA nei propri prodotti.

Sono invece esclusi, per ragioni di sicurezza nazionale, i sistemi destinati esclusivamente a scopi militari, di difesa o di sicurezza nazionale, così come quelli sviluppati unicamente per ricerca scientifica.

Approccio basato sul rischio e pratiche vietate

L’impianto regolatorio dell’AI Act poggia su un approccio basato sul rischio: quanto più elevato è il rischio per la sicurezza, i diritti e gli interessi pubblici, tanto maggiori sono i requisiti e le restrizioni previsti. Il Regolamento identifica quattro categorie di rischio:

  • Pratiche vietate: alcune applicazioni sono considerate inaccettabili in quanto incompatibili con i valori e i diritti fondamentali dell’UE. Il Regolamento proibisce:
    1. IA che manipola subdolamente le persone, distorce il comportamento o sfrutta le vulnerabilità, causando danni significativi;
    2. Sistemi di social scoring che valutano o classificano le persone conducendo a trattamenti discriminatori;
    3. IA che effettua valutazioni del rischio di crimini basate unicamente su profilazione o tratti di personalità;
    4. Sistemi che raccolgono database di riconoscimento facciale tramite scraping indiscriminato dal web o da telecamere di sorveglianza;
    5. Sistemi che interpretano emozioni nel contesto lavorativo o educativo, salvo ragioni mediche o di sicurezza;
    6. Sistemi di categorizzazione biometrica che deducono etnia, convinzioni religiose, opinioni politiche, orientamento sessuale;
    7. L’uso di sistemi di identificazione biometrica remota in tempo reale in luoghi pubblici da parte delle forze dell’ordine è vietato, salvo limitate eccezioni per gravi minacce alla sicurezza o indagini su reati gravi autorizzate da un giudice.
  • Sistemi “ad alto rischio”: sono sottoposti a rigorosi requisiti di gestione del rischio, sicurezza, accuratezza, trasparenza, tracciabilità e supervisione umana. Sono “ad alto rischio” i sistemi usati in settori come occupazione, educazione, infrastrutture critiche, servizi pubblici essenziali, applicazione della legge, gestione della migrazione e amministrazione della giustizia. Tra gli obblighi troviamo:
    1. implementazione di sistemi di gestione del rischio per l’intero ciclo di vita del sistema;
    2. uso di dataset di qualità elevata, rappresentativi, privi di bias e con un appropriato governo dei dati;
    3. obbligo di documentazione tecnica, log automatici degli eventi, prove di conformità ai requisiti;
    4. trasparenza nei confronti dei deployer con chiare istruzioni d’uso e limitazioni;
    5. supervisione umana effettiva e capacità di intervento in caso di errori o malfunzionamenti;
    6. requisiti di robustezza, accuratezza e cybersecurity.
  • Altri sistemi IA: per le IA che presentano rischi limitati o minimi (es. chatbot, assistenza clienti, filtri antispam) sono previste solo alcune obbligazioni di trasparenza: ad esempio, occorre informare l’utente che sta interagendo con un sistema automatizzato o che un contenuto è stato generato o manipolato dall’IA (“deep fake”).
  • Modelli di IA generali e ad alto impatto: i cosiddetti general-purpose AI models, inclusi i modelli generativi di grandi dimensioni, sono sottoposti a obblighi di documentazione e trasparenza, politiche di conformità al diritto d’autore, sintesi pubblica del materiale di training, e – se ritenuti “ad impatto sistemico” (es. perché superano determinati threshold tecnici) – devono effettuare valutazioni periodiche dei rischi, testing anti-abuso, e adottare misure per mitigare i rischi sistemici lungo l’intera catena del valore.

Obblighi per fornitori, deployer, importatori e distributori

I regolamenti europei non identificano con precisione solo le tecnologie, ma anche gli attori coinvolti.

L'AI act delinea tre attori in particolare con responsabilità distinte:

  • Fornitori: sono responsabili della conformità dei sistemi di IA ai requisiti previsti. Devono garantire la qualità dei dati, eseguire test di accuratezza e robustezza, mantenere la documentazione tecnica, effettuare la valutazione di conformità e apporre la marcatura CE. Inoltre, hanno l’obbligo di monitorare il sistema anche dopo la messa in servizio e di intervenire tempestivamente in caso di rischi o incidenti gravi.
  • Deployer (utilizzatori): devono utilizzare i sistemi nel rispetto delle istruzioni del fornitore, monitorarne il funzionamento, conservare i log (quando tecnicamente sotto il loro controllo) e informare utenti e lavoratori quando viene impiegata l’IA. Inoltre, i soggetti pubblici – o privati che erogano servizi pubblici essenziali – sono tenuti a effettuare una valutazione d’impatto sui diritti fondamentali prima della messa in servizio del sistema.
  • Importatori e distributori: hanno il compito di verificare la conformità dei sistemi di IA prima della loro immissione sul mercato europeo. Possono inoltre diventare direttamente responsabili della conformità qualora intervengano con modifiche sostanziali o procedano alla rimarcatura del prodotto.

Le nuove Sanzioni

Le sanzioni previste dall’AI Act possono arrivare fino a 35 milioni di euro o al 7% del fatturato globale per le infrazioni più gravi, come l’immissione sul mercato di sistemi di IA vietati. Si tratta di importi proporzionati alla dimensione dell’operatore, ma pensati per essere effettivi e dissuasivi.

L’AI Act sarà applicato in modo progressivo: alcune disposizioni, come quelle relative alle pratiche proibite, entreranno in vigore già nel 2025, mentre i requisiti su trasparenza, conformità e governance diventeranno pienamente operativi dal 2026.

 Se sei un imprenditore e fai uso di AI, cerca di evitare le principali sanzioni che possono essere dovute a:

  • Immissione sul mercato o utilizzo di sistemi IA vietati (pratiche proibite): controlla che la tua AI non rientri nella lista nera
  • Mancato rispetto dei requisiti per sistemi ad alto rischio: ricorda di avere attiva una pratica di gestione rischio, documentazione e trasparenza aziendale.
  • Copyright: è necessario mantenere aggiornata una policy sul rispetto della normativa UE in materia di diritto d’autore, identificando e rispettando eventuali riserve di diritti. Inoltre, occorre pubblicare un riassunto dei contenuti utilizzati per l’addestramento del modello.
  • Contatto con le autorità: ricordati di istituire processi e infrastrutture adeguate per notificare, condividere informazioni e supportare le investigazioni delle autorità competenti in caso di incidente
  • Obblighi di post-market monitoring: I fornitori di sistemi AI ad alto rischio devono implementare un sistema di monitoraggio post-commercializzazione, documentato e continuo lungo tutto il ciclo di vita del prodotto

Conclusione

L’Unione Europea si sta posizionando come leader globale nella regolamentazione dell’intelligenza artificiale attraverso strumenti come GDPR 2.0 e AI Act. Queste normative introducono maggiori tutele per i diritti fondamentali, puntando sulla trasparenza, sul controllo degli utenti e sulla responsabilizzazione degli attori della filiera IA. 

Le organizzazioni dovranno investire in processi strutturati di gestione del rischio, compliance e trasparenza per evitare sanzioni rilevanti e garantire sistemi affidabili e sicuri.

Il nuovo scenario regolatorio europeo mira non solo a tutelare cittadini, lavoratori e consumatori, ma anche a favorire un’innovazione tecnologica eticamente sostenibile, rafforzando la fiducia nell’uso dell’IA e ponendo al centro i valori della persona e della democrazia. Adattarsi tempestivamente agli obblighi introdotti è quindi strategico per le imprese che intendono operare in modo conforme e competitivo nel mercato UE.

Articoli recenti

Agricoltura Intelligente: Smart Farming e Tecnologie di Precisione

Agricoltura Intelligente: Smart Farming e Tecnologie di Precisione

LEGGI DI PIù
Digitalizzazione dei Titoli Auto con Blockchain: Sicurezza, Velocità e Trasparenza

Digitalizzazione dei Titoli Auto con Blockchain: Sicurezza, Velocità e Trasparenza

LEGGI DI PIù
Sanità connessa: dispositivi indossabili, monitoraggio remoto dei pazienti e gestione intelligente delle strutture sanitarie

Sanità connessa: dispositivi indossabili, monitoraggio remoto dei pazienti e gestione intelligente delle strutture sanitarie

LEGGI DI PIù
XR in Medicina: Applicazioni della Realtà Estesa in Sanità

XR in Medicina: Applicazioni della Realtà Estesa in Sanità

LEGGI DI PIù
Analisi Predittiva e IoT Industriale: Trasformazione Industria 4.0

Analisi Predittiva e IoT Industriale: Trasformazione Industria 4.0

LEGGI DI PIù
Blockchain e Voto Elettronico: Sistemi Sicuri per e-Voting

Blockchain e Voto Elettronico: Sistemi Sicuri per e-Voting

LEGGI DI PIù
Identità Digitale e Blockchain: SSI e Identificatori Decentralizzati

Identità Digitale e Blockchain: SSI e Identificatori Decentralizzati

LEGGI DI PIù
Smart City e Cybersecurity: Rischi e Soluzioni per la Sicurezza nelle Città Digitalizzate

Smart City e Cybersecurity: Rischi e Soluzioni per la Sicurezza nelle Città Digitalizzate

LEGGI DI PIù