Proseguiamo con gli articoli tratti dal GDPR Forum 2025. Quello che segue è il secondo articolo, un’intervista, estratta dall’intervento di Francesco Pizzetti, Professore emerito UniTO, già Presidente dell’Autorità Garante per la Protezione dei dati personali.
Hai letto il primo: Il GDPR è nato anche per favorire la circolazione dei dati nella società digitale? No? Allora recuperalo e poi torna qui, che ci concentriamo sull’AI Act e sulle sue conseguenze per le aziende che decidono di usare l’intelligenza artificiale!
Perché L’UE ha adottato l’AI Act?
Andrea Chiozzi: Professore, perché si è arrivati all’AI Act? Sentiamo in giro frasi come “abbiamo fatto la prima norma al mondo che regola l'intelligenza artificiale, wow quanto siamo bravi, quanto siamo belli…” ma è davvero così?
Francesco Pizzetti: Siamo sinceri, l’Unione Europea ha adottato l’AI Act perché temeva, giustamente, che l'intelligenza artificiale - tecnologia sviluppata nel mondo statunitense, ma non presente con efficacia analoga in Europa - potesse mettere in crisi il mercato unico europeo.
Allora, avendo ormai iniziato la strada del “le regole europee si applicano a chi riceve i servizi in Europa”, ha adottato l’AI Act che si applica sia al fornitore del servizio, se ha sede in Europa, sia all'utilizzatore del servizio, se ha sede in Europa. E quindi, in questo modo, l’AI Act è diventato un esempio di regolamentazione dell'intelligenza artificiale con efficacia globale.
Andrea Chiozzi: Perché?
Francesco Pizzetti: Perché si applica anche al fornitore extra UE del servizio, quando questo servizio è destinato a un utente, all'interno dell'Unione Europea.
Questo ha ulteriormente complicato il quadro perché l’AI Act vincola con modalità analoghe e con analoghe responsabilità sia i soggetti che forniscono servizi di intelligenza artificiale - cominciando dalla fornitura dei dati utilizzati per queste tecnologie - sia gli utenti di questi servizi. Quindi crea una obiettiva difficoltà o preoccupazione anche da parte degli utenti, nel ricorrere a queste tecnologie.
È un problema grandissimo - ed è la motivazione che spiega perché l'Europa sta accumulando vistosi ritardi nell'uso dell'intelligenza artificiale - perché naturalmente ci troviamo di fronte a una situazione in cui io, che acquisto in Europa servizi di intelligenza artificiale, che mi sono forniti da un soggetto che opera fuori dall'Unione Europea, mi devo preoccupare delle regole che lui applica, dell'analisi che fa dei rischi connessi ai servizi che mi fornisce, sapendo che l’UE mi considera responsabile come colui che fornisce il servizio, se lo uso senza un'adeguata valutazione dei rischi.
La responsabilità del fornitore e dell’utilizzatore dei servizi di intelligenza artificiale
Francesco Pizzetti: Questa doppia responsabilità del fornitore e dell'utilizzatore in tema di valutazione dei rischi dell'intelligenza artificiale spaventa ragionevolmente i fruitori, cioè gli utenti potenziali di questi servizi.
Andrea Chiozzi: Per quali motivi? Io un’idea me la sono fatta…
Francesco Pizzetti: Perché è evidente che una cosa è assumersi la responsabilità della valutazione dei rischi se io sono il fornitore, se io sono colui che ha disegnato il sistema tecnologico di analisi dei dati, e quindi ho anche avuto la possibilità di applicare i principi della privacy-by-design e della privacy-by-default. Un’altra è se io sono l'utilizzatore, quello che acquista questi servizi, che assume la stessa responsabilità del fornitore e che può essere chiamato a rispondere come il fornitore della valutazione dei rischi che la tecnologia utilizzata può comportare. Ma, ovviamente, essendo l'acquirente del servizio - e non il fornitore della tecnologia - può avere più preoccupazioni.
Deve fidarsi di più del fornitore e questo, per essere sinceri, è il lato oscuro del regolamento sull'intelligenza artificiale che rischia, a mio giudizio - ma non solo a mio giudizio -, di rallentare ulteriormente la possibilità per l'Unione Europea e per le sue imprese di ricorrere a questi servizi.
Perché è vero che l’acquirente può ricorrere a questi servizi, anche se non sono forniti da operatori residenti nell'Unione Europea, però poi deve sapere che è chiamato a rispondere degli eventuali danni che l'uso di queste tecnologie possa comportare, se non ha fatto una valutazione adeguata dei rischi, come deve fare il fornitore.
Solo che il fornitore è extra UE e quindi si può regolare in base alle norme extra UE ed è tenuto a rispondere all’Unione Europea per i servizi che fornisce nel mercato unico, però, certamente, è più difficile per le autorità dell’UE perseguire operatori che abbiano sede fuori dall'unione. Mentre gli acquirenti di questi servizi nell'UE sono ovviamente costantemente sotto il mirino delle autorità di garanzia dei dati personali e della stessa Unione Europea.
Andrea Chiozzi: Il Garante qualcosa ha fatto, ma “l’Occhio di Sauron” resta sulle aziende europee…
Francesco Pizzetti: Abbiamo già visto con ChatGPT e adesso con la nuova chat cinese (N.d.A. DeepSeek), che il Garante italiano, giustamente, meritoriamente, ha bloccato questi servizi ritenendo che non sia chiaro come sono acquisiti i dati che questi due sistemi trattano e temendo, giustamente, che possano essere utilizzati anche dati personali, in violazione del Regolamento sulla protezione dei dati personali.
Non è possibile continuare solo col mantra “questa nuova regolazione deve essere applicata in modo conforme al GDPR”
Andrea Chiozzi: Cosa può fare l’Unione Europea, secondo lei?
Francesco Pizzetti: Io credo che non possiamo andare avanti a lungo con l'Unione Europea che aumenta la regolazione della società digitale limitandosi, in ogni nuova regolazione, a inserire il mantra “questa regolazione deve essere armonizzata col GDPR”.
Perché questa armonizzazione talvolta è semplice, talvolta può essere fatta dal fornitore del servizio e talaltra, come nel caso dell'AI Act, l'Unione Europea responsabilizza anche l'utilizzatore della tecnologia ai fini del GDPR, creando una situazione che può essere obiettivamente molto difficile.
Aggiungo - e questo è un altro aspetto molto rilevante che io vado ripetendo da tempo - che nella società digitale la tutela dei dati personali non può essere considerata prima di tutto ed essenzialmente un diritto della persona, perché è in realtà un diritto della società nel suo complesso.
Quindi noi abbiamo bisogno - e prima questo avverrà meglio sarà - che l'Unione Europea cominci a ripensare non i suoi valori, ma al modo con cui i suoi valori sono applicati nell'area del mercato unico a partire, appunto, dai dati personali.
Non possiamo immaginare di risolvere i problemi limitandoci come un mantra a ripetere sempre “questa nuova regolazione deve essere applicata in modo conforme al GDPR” perché, oltre un certo limite, questo diventa difficile da assicurare.
Andrea Chiozzi: E cosa dovrebbero fare DPO e aziende secondo lei?
Francesco Pizzetti: L’AI Act ha un aspetto essenziale che io condivido, che è comprensibile, ma che pone nuovi problemi. Gli imprenditori, che non potranno a lungo rinunciare ai servizi di intelligenza artificiale, devono necessariamente acquisire le competenze indispensabili per poter valutare i rischi dei sistemi che adottano. Naturalmente possono e devono avvalersi di esperti nei trattamenti di dati digitali, i quali anch'essi devono acquisire nuove competenze. I DPO non possono più pensare in futuro di svolgere la loro attività professionale solo tenendo conto delle norme del GDPR e di tutto l'insegnamento molto ampio fatto in questi anni dall'Autorità Garante, ma devono dotarsi di competenze nuove, sufficienti, intanto, ad applicare L’AI Act e quindi a dare sostegno agli imprenditori presso i quali prestano servizio. I DPO devono rimettersi a studiare: non bastano più la conoscenza del GDPR e corsi di formazione che siano stati fatti nel passato.
Le implicazioni dell’AI Act
Francesco Pizzetti: L’AI Act muove dal principio che la società digitale è continuamente in evoluzione, dove la tecnologia mi consente di acquisire e trattare una grande quantità di dati per trarne delle deduzioni circa quello che potrà accadere in futuro. Da queste informazioni è possibile migliorare le prestazioni e i servizi offerti agli utenti.
Il regolamento sull'intelligenza artificiale si basa su questo principio: se vuoi usare sistemi di intelligenza artificiale devi valutare tu, utente - perché la tecnologia cambia continuamente - i rischi che l'uso di questi dati può comportare per i cittadini ai quali i servizi vengono forniti.
Quindi devi fare una valutazione del rischio ed è questo il punto forte dell'AI Act, che si basa sulla valutazione di rischio stabilendo che ci sono rischi che non è consentito far correre agli utenti, ci sono servizi ad alto rischio che richiedono l'adozione di misure protettive elevate, ci sono servizi a rischio medio o servizi a rischio basso.
Andrea Chiozzi: Quali sono le implicazioni?
Francesco Pizzetti: Si carica sull’utilizzatore di tecnologie di intelligenza artificiale la responsabilità di valutare se queste tecnologie a cui fa ricorso, per la lodevole speranza di fornire un servizio migliore, fanno correre dei rischi agli utenti e quale livello di rischio fanno correre. Se si arriva a quei rischi che non è consentito far correre - come la profilazione o l'acquisizione di informazioni che limitino la libertà delle persone - allora la responsabilità di chi faccia ricorso a queste tecnologie è elevata e le autorità garanti titolari del potere di controllo interverranno sia per bloccare l'uso di queste tecnologie sia eventualmente per sanzionare gli utilizzatori.
Questo significa innanzitutto un salto in avanti notevole dell'Unione Europea, perché passa a un sistema di individuazione dei vincoli mobile adatto a una società digitale in continuo cambiamento. Carica sugli utenti il compito di valutare qual è il rischio che la tecnologia adottata può far correre alle persone e questo implica l'acquisizione di nuove competenze, non solo da parte dei DPO, ma da parte dei titolari stessi dell'impresa. Perché poi la responsabilità è del titolare dell'impresa, non del DPO, dell'esperto di trattamenti digitali dei dati.
Quale futuro per l’Unione Europea?
Andrea Chiozzi: Parliamo di futuro digitale e di capacità di gestione dell’Europa. È ipotizzabile che riusciremo a governare questo cavallo selvaggio o ormai i cavalli sono scappati, brucano nelle brughiere e non li recupereremo più? Qual è la sua idea?
Francesco Pizzetti: La mia idea coincide col Rapporto Draghi. Draghi dice con una chiarezza assolutamente cristallina: guardate che siamo in grandissimo ritardo, guardate che abbiamo perso moltissimo tempo, guardate che abbiamo moltiplicato le regole ma non le strutture della società digitale, guardate che in questo modo non andiamo da nessuna parte e guardate che in questo modo l'Unione Europea è destinata al declino. E dice anche che cosa bisogna fare: la realtà è che occorrono molti investimenti che finora non sono stati fatti in server, in raccolta di dati, in collegamenti fra le imprese… e lui quantifica anche gli investimenti urgenti.
Questo però implica - Draghi è chiarissimo nel dirlo e anche la von der Leyen, lo ripete - che l'Unione europea accetti di essere un'unione. Perché finora si è chiamata Unione europea, ma in realtà è un'area di libero scambio con regole condivise.
Noi abbiamo due problemi: uno è tecnologico, l'altro è istituzionale.
Per adottare le tecnologie che sono necessarie, servono investimenti tali e risorse così rilevanti che occorre accettare, primo, l'indebitamento comune dell'Unione Europea, che è l'elemento fondamentale di fronte al quale noi oggi ci troviamo, ma che alcuni Paesi non vedono con favore. Ma senza un debito comune europeo, le risorse necessarie per il salto richiesto non sono facilmente reperibili e se dobbiamo aspettare che ogni Stato nazionale faccia la sua parte di lavoro e dedichi le risorse necessarie, è probabile che aumenteremo il distacco, non lo diminuiremo. Secondo, occorre che l'Unione Europea accetti di fare un salto in avanti e di non essere più solo una Unione di libero scambio, un mercato unico. Ha fatto la moneta unica immaginando che la moneta unica con la Banca Centrale Europea fosse la spinta alla costruzione dell'Unione Europea. In parte è avvenuto, ma poi si è fermata questa spinta propulsiva.
Allora, per rispondere alla sua domanda, è necessario accelerare moltissimo, perché i ritardi accumulati sono molto rilevanti. Tenga presente che Trump ha già detto che gli Stati Uniti investiranno 5 miliardi di dollari in tecnologie di intelligenza artificiale, ben consapevoli che quello è un elemento essenziale della sfida con la Cina e con l'Europa. Quindi ci ha anche detto qual è la nostra fine. Però, ripeto, occorre che l'Unione Europea decida finalmente di esistere.
Questo è solo un assaggio!
La formazione completa e aggiornata su GDPR, privacy e cybersecurity è su Raise Academy, l'Accademia di Formazione Efficace di PrivacyLab che coinvolge consulenti e professionisti del GDPR, grazie al connubio tra tecnologia, presenza, competenza, contatto, condivisione e diffusione.
