Lo scorso 7 febbraio, a Reggio Emilia, si è tenuta la sesta edizione del GDPR Forum. In quell’occasione ho fortemente voluto che Francesco Pizzetti, Professore emerito UniTO, già Presidente dell’Autorità Garante per la Protezione dei dati personali, fosse con noi per parlare di GDPR, dati ed AI. Perché è stato uno dei primi a intravedere le problematiche legate all'intelligenza artificiale connesse al trattamento dell'informazione e dei dati personali. Quello che segue è un estratto del suo intervento al GDPR Forum, che abbiamo trasformato in articolo per il blog di PrivacyLab: “Trattamento dati personali e intelligenza artificiale: quale futuro auspicare?”
Andrea Chiozzi
Armonizzare il GDPR con l’intelligenza artificiale
Abbiamo cominciato a occuparci di dati con il GDPR, avendo a mente il concetto di dato personale, che aveva un senso importante sia per l'unione Europea, sia per la cultura anche costituzionalistica italiana, pensiamo a Rodotà. La difesa dei dati personali era effettivamente un modo per tutelare il diritto individuale e familiare alla riservatezza e consisteva in quei principi che ci sono ormai noti e cioè che non si possono utilizzare dati riferibili a persone identificate o identificabili, senza che esse abbiano dato il loro consenso informato, e quindi essendo state messe al corrente dell'uso che si voleva fare dei dati a loro riferiti. Ora, naturalmente, questo era essenzialmente un diritto ed è stato affermato in modo forte nell'ambito dell'Unione Europea (UE), prima ancora del Consiglio d'Europa.
Ci ha aiutato moltissimo il GDPR, perché ci ha messo in contatto con il concetto di dato e poi, sviluppandosi la società digitale, col concetto di dato inteso come informazione trasmessa attraverso la rete, con modalità digitali.
Quindi, effettivamente, coloro che hanno vissuto nella cultura del GDPR, si sono trovati facilitati nel passaggio alla società digitale. Ma il problema che io vedo come particolarmente rilevante riguarda l'Unione Europea ed è per questo che ci interessa l'intelligenza artificiale.
L’Unione Europea è in grande ritardo
L’Unione Europea è in grande ritardo - lo diciamo tutti e l'ha detto in modo magistrale il Presidente Draghi nel suo rapporto - ha accumulato gravi ritardi tecnologici, in particolare rispetto al sistema americano. E cerca disperatamente di far fronte alle conseguenze di questi ritardi tecnologici con l'attività normativa, che ha prodotto in misura molto rilevante, nell'arco degli ultimi anni, nell'ambito di quello che aveva già individuato come il decennio digitale, inteso come regolazione dell'uso dei dati nel mondo digitale. L’AI Act, il regolamento sull'intelligenza artificiale si inserisce in questo quadro.
Quindi è una regolazione dell'Unione Europea sull'utilizzo dell'intelligenza artificiale, la quale a sua volta è un gruppo di tecnologie, non un'unica tecnologia, che ha alla base l’analisi dei dati a disposizione del soggetto che fa ricorso a queste tecnologie.
E l’Unione europea, in tutti i suoi regolamenti, richiama sempre il GDPR, sottolineando che la nuova regolazione deve essere armonizzata e applicata in modo conforme al GDPR.
Quindi, in sostanza, l'UE continua a porre al centro la tutela dei dati personali, anche con questa nuova attività regolatrice. E qui nasce il problema di come si armonizza il GDPR con l'intelligenza artificiale.
Il GDPR è la tutela di un diritto individuale, anche se non dobbiamo mai dimenticare che si basa su un principio essenziale, il quale, nella spinta a considerarlo come uno strumento di tutela di un diritto, si è un po’ perso.
Cioè, il GDPR si basa sull’obiettivo dell'Unione Europea che è, sì, difendere un diritto fondamentale alla protezione dei dati personali, ma anche - in modo molto rilevante - tutelare questo principio per favorire la circolazione dei dati.
GDPR come strumento per favorire la circolazione dei dati
Nel sottolineare il GDPR come tutela dei diritti personali, si è trascurato questo altro aspetto che invece è assolutamente centrale: “noi - Unione Europea - vogliamo garantire la tutela dei dati personali dello Spazio economico europeo, per facilitare la circolazione dei dati e per facilitare le tecnologie che si basano sulla circolazione dell'informazione”.
Lo dice con chiarezza assoluta il GDPR: affinché le persone non abbiano paura della società digitale, noi garantiamo la tutela dei loro dati personali ritenendo che questo sia necessario per favorire la circolazione dei dati.
Allora, attenzione, il GDPR non è solo uno strumento finalizzato a limitare o regolare la circolazione dei dati, ma anche a favorirla. Per questo è stato fin dall'inizio in armonia con lo sviluppo della società digitale, perché è stato adottato, non solo per tutelare il diritto individuale, ma anche per rafforzare la fiducia dei cittadini europei nella società digitale e nella circolazione dei dati anche con modalità digitale.
Questo lo dobbiamo sempre avere molto chiaro.
Ora che cosa succede?
Succede che, naturalmente, anche con buone ragioni - e in particolare per noi italiani è facilmente comprensibile, avendo avuto in Rodotà l'alfiere di questa impostazione - si è molto sottolineato l'aspetto di tutela del diritto, trascurando un poco l'aspetto di tutela della circolazione dei dati e l'aspetto della tutela della fiducia dei cittadini europei nella circolazione dei dati anche nella modalità digitale.
L’Unione Europea ha prestato grande attenzione alla regolazione, ma non alla sua struttura tecnologica
Quindi, in sostanza, il GDPR è stato fin dall'inizio uno strumento per favorire la società digitale, essendo l'Unione Europea del tutto consapevole che la società digitale si sarebbe imposta e che, essendo l’UE nata nella costruzione del mercato unico - cioè nella libertà di scambio di merci e informazioni nell'ambito del mercato unico europeo - o era in grado di favorire e tutelare la società digitale - ma questo significava anche rafforzare la fiducia dei cittadini nella utilizzazione dei mezzi digitali – o avrebbe rischiato la sua stessa implosione.
Perché l'Unione Europea è e non è altro, per il momento - e purtroppo –, che il mercato unico, cioè una area di libero scambio fra i paesi che si scambiano merci e servizi.
Che cosa si è verificato, ahimè? Che l'Unione Europea ha prestato grande attenzione alla regolazione, cominciando appunto dal GDPR, ma non altrettanto alla struttura tecnologica.
Noi, come UE, non abbiamo favorito lo svilupparsi di una industria tecnologica adeguata allo svilupparsi della società digitale. Abbiamo utilizzato moltissimo - e in questo modo abbiamo favorito - lo sviluppo delle società tecnologiche digitali, in particolare situate nell'ambito degli Stati Uniti d’America e nella Cina, ma soprattutto nell'ambito degli Stati Uniti d'America.
Perché? Perché, il GDPR impone che i dati personali prodotti nell'ambito dell'Unione Europea non siano trasferibili all'estero, se all'estero non si garantisce una tutela di questi dati adeguata alla normativa europea.
C’è stato un lunghissimo e anche faticoso braccio di ferro tra Unione Europea e Stati Uniti per trovare un quadro normativo, nell'ambito degli USA, che consentisse all’UE di dare la dichiarazione di equipollenza e quindi di consentire, senza ostacoli, il trasferimento di dati dall'Unione Europea al sistema americano.
Con fatica, con grande complessità, circa vent'anni fa – allora era il tema dominante -, si è arrivati a una normativa che ha consentito di far finta - perché non è del tutto così - che negli Stati Uniti le tutele dei dati trasferiti siano comparabili con quelle assicurate dall'Unione Europea.
E l'Unione Europea ha continuato su queste strade.
L’Unione Europea ha allargato progressivamente l’efficacia della sua regolazione
Avvicinandoci all’AI Act, possiamo anche dire che l’Unione Europea, negli ultimi regolamenti, ha fatto un salto in avanti, cioè, ha stabilito che le regole europee si applicano non solo ai fornitori di servizi o di piattaforme o di trattamenti di dati digitali che abbiano sede nell'UE, ma anche ai fornitori di servizi che abbiano sede fuori dall'Unione, se i destinatari di questi servizi hanno sede nell’UE.
Quindi ha, autonomamente, di iniziativa propria, allargato ulteriormente l'efficacia della sua regolazione. Perché, essendo l'Unione Europea un mercato molto rilevante, del quale non possono fare a meno né le imprese statunitensi né le imprese del mondo asiatico, l'unione immagina non solo di rafforzare il Brussels Effect ma, in sostanza, di fare una regolazione che tuteli i propri cittadini che si servono di servizi forniti da società extraeuropee.
E ovviamente le regole europee diventano regole che hanno una portata che, per definizione, va oltre l'ambito del mercato unico inteso in modo restrittivo. Perché, se fornisci un servizio a un soggetto che opera nel territorio europeo, ti devi adeguare alle regole europee.
Questo è il panorama. E in questo panorama si inserisce, quasi ultimo arrivato, perché dall'Unione Europea continua un'attività regolatoria incredibilmente corposa, l’AI Act.
Articolo tratto dalla prima parte dell’intervento di Francesco Pizzetti al GDPR Forum 2025
Se vuoi proseguire con la seconda parte, hai due possibilità:
- aspettare il prossimo articolo tratto dall’intervento di Francesco Pizzetti al GDPR Forum
- andare su Raise Academy e vedere direttamente la registrazione
Perché questo è solo un assaggio!
La formazione completa e aggiornata su GDPR, privacy e cybersecurity è su Raise Academy, l'Accademia di Formazione Efficace di PrivacyLab che coinvolge consulenti e professionisti del GDPR, grazie al connubio tra tecnologia, presenza, competenza, contatto, condivisione e diffusione.
