Dal 20 al 24 aprile 2026, Ca’ Foscari ha ospitato a Venezia la nuova edizione del Privacy and Data Governance Symposium: cinque giorni, oltre cento sessioni, più di quattrocento tra relatori, autorità di controllo, ricercatori e professionisti provenienti da tutto il mondo. Un appuntamento che si conferma il più importante convegno internazionale dedicato alla protezione dei dati e alla governance digitale, punto di riferimento per chi lavora quotidianamente con il GDPR, l’AI Act, il Data Act e l’intero ecosistema normativo europeo in materia di tecnologie.
Ho avuto il privilegio di partecipare come relatrice in due sessioni. In un panel dedicato ai diritti delle persone vulnerabili — minori e anziani — ho cercato di portare una prospettiva che non si limitasse al dato tecnico-giuridico, ma interrogasse il significato concreto di “vulnerabilità” nel contesto dei sistemi algoritmici.
Nel Keynote Speech “The Algorithmic Person and the human loop: redefining privacy in the age of cognitive exploitation” ho affrontato un tema che mi sta particolarmente a cuore e su cui lavoro da tempo: il diritto all’attenzione e all’integrità cognitiva nell’era dell’intelligenza artificiale, ovvero la questione di come i sistemi di AI progettati per massimizzare l’engagement sistematicamente sfruttino — nel senso letterale del termine — i meccanismi cognitivi ed emotivi delle persone, con effetti profondi e ancora largamente sottovalutati sul piano giuridico.
Torno da Venezia con la testa piena di stimoli, qualche certezza rafforzata e una domanda che non mi abbandona. È una domanda scomoda, che mi rendo conto possa sembrare ingrata verso una manifestazione di cui da quattro anni faccio parte e che stimo. Ma è precisamente perché stimo il Privacy Symposium — e il lavoro di chi lo organizza — che vale la pena porla. In materia, abbiamo pubblicato la seconda edizione del Formulario commentato della privacy, disponibile su Shop Maggioli e su Amazon. Abbiamo anche organizzato il corso “Dal GDPR alla Legge AI – Policy, reporting e strumenti pratici per la governance dei dati”
Indice
- 1. Il valore di questi appuntamenti: cosa funziona davvero
- 2. Il limite strutturale: la stanza che parla a sé stessa
- 3. Il nodo giuridico-culturale: i diritti che nessuno conosce non vengono esercitati
- 4. Il modello che manca: “Non è mai troppo tardi” per i diritti digitali
- 5. Cosa si può fare: dalla proposta alla prassi
- 6. Conclusione: uscire dalla stanza
- Formazione in materia per professionisti
- Vuoi ricevere aggiornamenti costanti?
1. Il valore di questi appuntamenti: cosa funziona davvero
Partiamo da ciò che è indubitabile. Il Privacy Symposium è un presidio intellettuale importante. In un panorama normativo che si riscrive in tempo reale — il Digital Omnibus presentato lo scorso novembre, le modifiche all’AI Act ancora in itinere, l’evoluzione della giurisprudenza della Corte di Giustizia, i provvedimenti delle autorità di controllo nazionali — avere uno spazio in cui esperti, autorità e ricercatori si confrontano in modo sistematico e interdisciplinare ha un valore che non va sottovalutato.
Il programma di quest’anno ha coperto temi di frontiera con serietà: le basi giuridiche per il trattamento dei dati nell’addestramento dei modelli di IA, la geopolitica dei trasferimenti internazionali di dati, l’evoluzione del quadro normativo regionale e globale, i dati sanitari, la certificazione. Sessioni come “Evolution of Legal Grounds and Challenges for AI Processing of Personal Data” o “The Geopolitics of Data: Transfers, Sovereignty and Legal Frameworks in Progress” rappresentano il tipo di approfondimento che non si trova altrove con la stessa densità e con la stessa qualità degli interlocutori.
Il networking tra professionisti, la possibilità di confrontarsi direttamente con rappresentanti delle autorità di controllo, l’aggiornamento continuo richiesto dall’art. 38 GDPR: tutto questo è reale, e sarebbe disonesto negarlo. In materia, abbiamo pubblicato la seconda edizione del Formulario commentato della privacy, disponibile su Shop Maggioli e su Amazon.
Formulario commentato della privacy
La nuova edizione dell’opera affronta con taglio pratico gli aspetti sostanziali e procedurali del trattamento dei dati personali alla luce delle nuove sfide poste dall’evoluzione normativa e tecnologica degli ultimi due anni. La disciplina di riferimento è commentata tenendo conto dei rilevanti interventi a livello europeo e nazionale (tra cui le Linee Guida EDPB, i regolamenti AI Act e DORA, l’attuazione della direttiva NIS 2), offrendo al Professionista una guida completa e aggiornata.Il libro è suddiviso in tredici sezioni, che coprono ogni aspetto della materia e tutti gli argomenti sono corredati da oltre 100 formule e modelli. Tra le novità più rilevanti:• Connessioni tra il nuovo AI Act e il GDPR, differenze tra FRIA e DPIA, valutazione dei rischi e incidenti• Gestione del personale: smart working, telelavoro e whistleblowing• Strumenti di monitoraggio: controlli a distanza dei lavoratori, cloud computing e gestione degli strumenti informatici in azienda• Tutela degli interessati: una guida completa su profilazione, processi decisionali automatizzati e sull’esercizio dei diritti• Strumenti di tutela: sanzioni, reclami, segnalazioni e ricorsi al Garante.Giuseppe CassanoDirettore del Dipartimento di Scienze Giuridiche della European School of Economics della sede di Roma e Milano, ha insegnato Istituzioni di Diritto Privato nell’Università Luiss di Roma. Avvocato cassazionista. Studioso dei diritti della persona, del diritto di famiglia, della responsabilità civile e del diritto di Internet, ha pubblicato oltre trecento contributi in tema, fra volumi, trattati, voci enciclopediche, note e saggi.Enzo Maria Tripodiattualmente all’Ufficio legale e al Servizio DPO di Unioncamere, è un giurista specializzato nella disciplina della distribuzione commerciale, nella contrattualistica d’impresa, nel diritto delle nuove tecnologie e della privacy, nonché nelle tematiche attinenti la tutela dei consumatori. È stato docente della LUISS Business School e Professore a contratto di Diritto Privato presso la facoltà di Economia della Luiss-Guido Carli. Ha insegnato in numerosi Master post laurea ed è autore di oltre quaranta monografie con le più importanti case editrici.Cristian ErcolanoPartner presso Theorema Srl – Consulenti di direzione, con sede a Roma; giurista con circa 20 anni di esperienza nell’applicazione della normativa in materia di protezione dei dati personali e più in generale sui temi della compliance e sostenibilità. Ricopre incarichi di Responsabile della Protezione dei Dati, Organismo di Vigilanza e Organismo Indipendente di Valutazione della performance presso realtà private e pubbliche. Autore di numerosi contributi per trattati, opere collettanee e riviste specialistiche sia tradizionali che digitali, svolge continuativamente attività didattica, di divulgazione ed orientamento nelle materie di competenza.
Giuseppe Cassano, Enzo Maria Tripodi, Cristian Ercolano | Maggioli Editore 2025
58.90 €
2. Il limite strutturale: la stanza che parla a sé stessa
Detto questo, è tempo di essere onesti su un limite che il Symposium condivide con la quasi totalità dei convegni specialistici del settore, e che riguarda non l’eccellenza dei contenuti, ma la geometria della comunicazione.
Chi parla in queste sale? Avvocati, DPO, responsabili della compliance, ricercatori, funzionari delle autorità di controllo, esperti di tecnologia. Chi ascolta? Gli stessi. Il dibattito è tra pari, nel senso più letterale: persone che condividono già il lessico, le preoccupazioni, i riferimenti normativi. Ci “cantiamo e suoniamo” tra noi, per usare un’espressione che trovo straordinariamente precisa.
Questo non è di per sé un difetto. Ogni disciplina ha bisogno di spazi di elaborazione interna, di luoghi in cui approfondire senza dover semplificare. Il problema nasce quando questi spazi diventano l’unica forma di circolazione della conoscenza; quando la comunità degli esperti produce, discute e replica a sé stessa, mentre fuori da quella stanza — nelle scuole, nelle famiglie, nelle piccole imprese, nelle amministrazioni locali — la consapevolezza dei diritti digitali rimane vicina allo zero.
E il paradosso è stridente: stiamo discutendo di diritti che riguardano ogni persona che usa uno smartphone, ogni bambino che apre TikTok, ogni anziano che clicca su un link di phishing, ogni insegnante che adotta uno strumento di IA in classe senza sapere cosa firma quando accetta i termini d’uso. Ma quelle persone non erano a Venezia. Non erano nemmeno connesse online. E non lo saranno nemmeno alla prossima edizione (a cui peraltro, dopo questo articolo, probabilmente non verrò più invitata).
3. Il nodo giuridico-culturale: i diritti che nessuno conosce non vengono esercitati
C’è una questione che mi sembra sottorappresentata nel dibattito tra specialisti, e che ha implicazioni giuridiche dirette. Il GDPR riconosce agli interessati una serie di diritti — accesso, rettifica, cancellazione, opposizione, portabilità, non essere soggetti a decisioni automatizzate con effetti significativi — che nella pratica rimangono lettera morta per la stragrande maggioranza dei cittadini europei. Non perché non esistano, ma perché nessuno li ha mai spiegati a quelle persone in un linguaggio accessibile, con esempi concreti, con la pazienza che richiede la vera alfabetizzazione.
Lo stesso vale per l’AI Act, entrato progressivamente in vigore con la sua architettura di rischi e tutele, e per le implicazioni del Digital Omnibus che sta per modificare ulteriormente il quadro. Noi discutiamo delle basi giuridiche per il training dei modelli; la persona che usa ChatGPT ogni giorno non sa che esiste un problema di basi giuridiche. Noi dibattiamo del futuro dell’art. 22 GDPR sulle decisioni automatizzate; chi riceve un rifiuto automatico per un mutuo non sa che esiste un diritto a richiedere l’intervento umano.
Un diritto che non si conosce non si esercita. Un diritto che non si esercita non esiste nella realtà materiale, qualunque sia la sua eleganza formale. Questo è un problema giuridico prima ancora che culturale.
4. Il modello che manca: “Non è mai troppo tardi” per i diritti digitali
Negli anni Sessanta, l’Italia aveva un problema enorme e in buona parte taciuto: milioni di adulti analfabeti o semi-analfabeti, esclusi dalla piena partecipazione civile per mancanza di strumenti di base. La RAI diede una risposta straordinaria: “Non è mai troppo tardi”, il programma di Alberto Manzi andato in onda dal 1960 al 1968, che insegnò a leggere e scrivere a oltre un milione e mezzo di italiani attraverso la televisione. Uno strumento di massa per un problema di massa. Semplice nell’intuizione, rivoluzionario nell’impatto.
Oggi abbiamo un problema strutturalmente analogo: decine di milioni di italiani che navigano in un ambiente digitale profondamente normato — e profondamente asimmetrico — senza gli strumenti cognitivi e giuridici minimi per orientarsi, per riconoscere quando i loro diritti vengono violati, per fare scelte consapevoli. L’analfabetismo digitale-giuridico è il nuovo analfabetismo del XXI secolo. E non riguarda solo gli anziani: riguarda i genitori che non sanno cosa succede ai dati dei loro figli sulle piattaforme, gli insegnanti che adottano strumenti di IA senza una formazione adeguata, i lavoratori che non conoscono i limiti del controllo algoritmico sui luoghi di lavoro.
Serve qualcosa di simile a quel programma RAI: non un convegno di più, non un webinar tra addetti ai lavori, ma una risposta di sistema, strutturata, capillare, progettata con la stessa cura con cui si progetta la divulgazione scientifica o l’educazione civica. Un’iniziativa che parli a chi non sa di avere diritti, non a chi li studia già.
5. Cosa si può fare: dalla proposta alla prassi
Non mi limito a indicare il problema, perché lavoro già, da anni, su una parte di questa soluzione. Negli ultimi due anni ho formato oltre diecimila studenti nelle scuole su temi di diritti digitali, privacy, uso consapevole dell’intelligenza artificiale e dei social media. Ho lavorato con genitori e insegnanti, cercando ogni volta un linguaggio che non tradisse il rigore giuridico ma che fosse comprensibile a chi non ha mai aperto il testo del GDPR e non ha motivo di farlo.
Da questa esperienza diretta traggo alcune indicazioni concrete, che propongo come contributo al dibattito.
La formazione nelle scuole deve diventare curricolare, non episodica.
Portare un esperto in classe una volta all’anno non è formazione: è un evento. Serve che i concetti fondamentali di diritto digitale — consenso, profilazione, diritti degli interessati, rischi dell’IA — entrino nei programmi scolastici con la stessa dignità dell’educazione civica. Non come materia separata, ma come dimensione trasversale.
La formazione degli insegnanti è la leva moltiplicatrice.
Un insegnante formato raggiunge centinaia di studenti ogni anno per decenni. Investire sulla preparazione dei docenti — non su corsi di un’ora, ma su percorsi seri, aggiornati, certificati — è l’intervento con il maggiore rapporto costo-beneficio nell’intero sistema.
La comunicazione pubblica istituzionale deve cambiare registro.
Il Garante Privacy pubblica provvedimenti eccellenti, tecnici, rigorosi. Li legge chi già sa. Occorre un canale parallelo — semplice, visivo, narrativo — dedicato al grande pubblico. I social media delle autorità di controllo europee e nazionali restano ampiamente sottoutilizzati come strumenti di alfabetizzazione di massa.
Serve una regia nazionale.
In Italia, la legge 132/2025 sull’intelligenza artificiale ha creato nuove strutture istituzionali. È il momento di assegnare a queste strutture — in coordinamento con il Garante, il MIUR, l’AgID — un mandato esplicito sulla formazione digitale dei cittadini, con risorse adeguate e indicatori di risultato misurabili.
6. Conclusione: uscire dalla stanza
Torno da Venezia convinta che il Privacy Symposium faccia bene quello che fa: creare uno spazio di eccellenza per chi già lavora nel settore. Non è questo il problema. Il problema è pensare che sia sufficiente.
La sfida della protezione dei dati e dei diritti nell’era dell’intelligenza artificiale non si vince nei convegni tra esperti. Si vince — o si perde — nelle case, nelle scuole, nelle piccole imprese, nei comuni, nelle famiglie. Si vince quando una madre sa riconoscere un dark pattern. Quando un insegnante sa spiegare ai propri studenti cos’è la profilazione. Quando un anziano sa che può opporsi al trattamento dei propri dati per finalità di marketing. Quando un ragazzo sa che l’app che usa per studiare sa più cose di lui di quanto lui sappia di sé stesso.
Quegli italiani aspettano il loro Alberto Manzi. E forse è tempo che la comunità degli esperti smetta di parlare solo a sé stessa e inizi a costruirlo.
Formazione in materia per professionisti
Dal GDPR alla Legge AI – Policy, reporting e strumenti pratici per la governance dei dati
Un ciclo di quattro incontri per tradurre le norme su AI e protezione dei dati in procedure operative concrete. Dalla definizione delle policy alla costruzione del reporting e delle linee guida interne, il webinar offre ai professionisti della compliance strumenti immediatamenti applicabili:
• Basi giuridiche e accountability documentale: principi applicabili ai trattamenti tipici dell’ufficio legale, distinzione fra esigenze legali, difensive e operative, mappatura end-to-end del flusso “revisione clausole contrattuali” ed errori frequenti con relative contromisure.
• Criteri e controllo dei risultati: accettazione dei risultati di analisi e AI, registrazione dei casi d’uso e delle verifiche, esempi pratici di analytics.
• KPI, reporting e governance del dato: definizione e monitoraggio degli indicatori, progettazione di dashboard efficaci e policy interne per garantire tracciabilità e qualità dei dati.
• Integrazione AI e workflow aziendale: collegamento dell’AI con l’ecosistema aziendale, flusso “review automatizzata delle clausole” e linee guida “Uso dati e AI nell’ufficio legale”.
>>>Per info ed iscrizioni<<<
Vuoi ricevere aggiornamenti costanti?
Salva questa pagina nella tua Area riservata di Diritto.it e riceverai le notifiche per tutte le pubblicazioni in materia. Inoltre, con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!
Iscriviti!
Scegli quale newsletter vuoi ricevere
Autorizzo l’invio di comunicazioni a scopo commerciale e di marketing nei limiti indicati nell’informativa.
Presto il consenso all’uso dei miei dati per ricevere proposte in linea con i miei interessi.
Cliccando su “Iscriviti” dichiari di aver letto e accettato la privacy policy.
Grazie per esserti iscritto alla newsletter.
Scrivi un commento
Accedi per poter inserire un commento