Immagina l’AI Act come il guardaroba regolamentare dell’Unione Europea: un vestito che ogni Paese deve adattare su misura.
In Italia, questo “abito” sta passando dalle mani dell’Unione al nostro sarto nazionale, attraverso il DDL AI, con uno sguardo attento alla privacy e al GDPR.
Passiamo ad analizzare come questo vestito si sta cucendo.
All’inizio, l’Italia non aveva una legge specifica per l’IA. Esisteva solo il GDPR, la nostra cintura di sicurezza per i dati personali, e qualche appunto sparso come la Legge 196/2003 e il Codice del Consumo. Ma da un po’ l’AI Act europeo ha bussato alla porta: è un regolamento in vigore che stabilisce principi generali e una classificazione del rischio per i sistemi IA .
Per rispondere a questa novità, il Senato ha approvato il 20 marzo 2025 un disegno di legge delega, il cosiddetto “AI Bill”, che darà al Governo potere di tradurre l’AI Act in decreto nazionale entro un anno.
Questo DDL non è un ricamo: contiene principi generali – trasparenza, proporzionalità, dati personali, accuratezza, sicurezza, non discriminazione – e una serie di regole mirate a settori come sanità, Pubblica Amministrazione, lavoro, giustizia, cybersecurity e persino copyright.
Un ponte tra GDPR e AI Act per una convivenza possibile?
Qui entriamo nella zona delle sovrapposizioni: l’AI Act si allaccia al GDPR quando i sistemi IA trattano dati personali, in particolare quelli “ad alto rischio” (agendadigitale.eu).
Il GDPR stabilisce le basi legali per ogni trattamento: liceità, minimizzazione dei dati, privacy by design e sicurezza. L’AI Act, a sua volta, richiede valutazioni d’impatto: la DPIA del GDPR si intreccia con la FRIA dell’AI Act, offrendo un filo guida condiviso.
In pratica, lo sviluppatore di una IA ad alto rischio dovrà fare un doppio esercizio: valutare l’impatto sul trattamento dei dati personali (DPIA) e sull’impatto forensico e sociale dell’algoritmo (FRIA). Se la DPIA copre già quei profili, la FRIA potrà integrarla, evitando duplicazioni inutili .
Quando IA e privacy fanno a pugni
C’è però un elemento che fa storcere il naso: i dati sensibili. L’AI Act permette di usare questi dati – come informazioni su salute, etnia, opinioni – per correggere bias negli algoritmi ad alto rischio, persino senza consenso esplicito.
Ma il GDPR (art. 9) impone regole ferree: il trattamento è vietato, salvo condizioni rigorose e spesso con consenso o interesse pubblico . È come se tu avessi una chiave universale per aprire tutte le porte, ma la legge ti costringe a usarla solo con il consenso dell’intestatario.
Questo crea un “rompicapo legale”: l’AI Act chiede flessibilità per correggere i bias nel credito o nei colloqui di lavoro, mentre il GDPR ha standard più severi. Alcuni esperti dicono che non c’è conflitto, ma una complessità normativa da gestire con attenzione, basandosi sull’interesse pubblico e sul rispetto degli articoli 6 e 9 del GDPR.
Il ruolo attivo del Garante Privacy
Il Garante italiano ha fatto sentire la sua voce. Ha dato un parere favorevole al DDL AI, ma con osservazioni precise :
- Chiede clausole esplicite che affermino il rispetto del GDPR e del Codice Privacy.
- Vuole responsabilità chiara sull’età minima per l’uso dell’IA, con sistemi di verifica affidabili.
- Insiste su misure specifiche nel settore sanitario: promuovere l’uso di dati sintetici o anonimi e limitare la conservazione dei dati sensibili.
- Sottolinea che in ambiti come selezione del personale serve tutela anti‑discriminazione, collegata a norme GDPR articolo 22-88.
- Chiede partecipazione attiva del Garante nei processi decisionali, nelle misure del Comitato di coordinamento e soprattutto negli spazi di sandbox regolatori (art. 57 AI Act) .
- Vuole che il Garante sia la figura competente per autorizzazioni speciali, come il riconoscimento biometrico in luoghi pubblici .
La governance tra AgID, ACN e indipendenza
Il DDL individua l’Agenzia per l’Italia Digitale (AgID) e l’Agenzia Nazionale per la Cybersicurezza (ACN) come autorità nazionali per IA.
Ma c’è un problema: queste agenzie sono legate al governo, e quindi mancano dell’indipendenza che l’UE richiede – come ha segnalato la Commissione e ribadisce il Garante .
Per questo si sta lavorando a coinvolgere anche il Garante Privacy, l’Agcom e l’AGCM, per dare more peso indipendente alle valutazioni.
Coordinamento e collaborazione in un puzzle da montare
Ed eccoci al punto decisivo: servono linee guida chiare, coordinamento costante tra autorità e formazione per le imprese. Altrimenti rischiamo che l’IA si trasformi in un orologio diritto e sbagliato: puntuale ma fuori sincrono con i diritti delle persone.
- Le imprese devono integrare DPIA, FRIA, registri delle attività e inventari IA, seguendo la logica del GDPR e dell’AI Act.
- Serve una governance interna che riconosca ruoli chiari, come il DPO, e responsabilità nette.
- Il Garante può svolgere un ruolo guida: le sue raccomandazioni sono fondamentali per evitare confusione e garantire che lo Stato di diritto resti centrale.
Ti ho parlato degli aspetti tecnici e normativi, ma cosa vuol dire tutto questo nella vita di tutti i giorni? Immagina un’app che valuta il merito creditizio o un sistema IA che analizza curriculum: se dietro ci sono dati dell’etnia o dello stato di salute, serve il consenso o una base pubblica robusta. Se non ci sono misure idonee, si rischia sia una sanzione GDPR che il bavaglio tecnologico dell’AI Act.
È come guidare un’auto iper-tecnologica: serve il cruscotto (GDPR), la patente (AI Act) e l’autostrada regolata dallo Stato (DL AI ‑ Garante). Se un pezzo manca, non solo guidi a rischio, ma rischi anche multe salate.
Siamo dunque di fronte a un percorso di raffinamento: il DDL AI approvato in Senato è un primo passo, ma rimangono da sistemare nodi tecnici – specialmente sulla privacy –, definire ruoli precisi e garantire che l’autonomia del Garante resti intatta. Resta da vedere come il Governo tradurrà tutto in decreto esecutivo nei prossimi 12 mesi.
Per ora, l’Italia sta intessendo il suo abito europeo sull’IA, cucendo attenzione alla privacy e vestendo responsabilità. Non sarà facile, ma è un’occasione per dimostrare che innovazione e rispetto dei diritti possono viaggiare insieme.
E ora, come in un bellissimo libro aperto, lascio la penna sospesa: c’è molto da scrivere, riflettere e affilare le idee su IA, privacy, diritti digitali e responsabilità collettiva.
