L’assetto normativo europeo in materia di protezione dei dati personali, costruito attorno al Regolamento (UE) 2016/679, si trova oggi al centro di una fase di possibile revisione funzionale, sollecitata dalla necessità di rendere il sistema compatibile con le dinamiche di sviluppo dell’intelligenza artificiale. Non si tratta di una revisione formale del GDPR, bensì di un insieme di interventi di “semplificazione” che, se confermati, inciderebbero in modo sostanziale sull’equilibrio tra libertà economiche e diritti fondamentali.
Le iniziative in discussione a livello europeo – inserite nel più ampio quadro delle politiche per la competitività digitale – mirano a ridurre gli oneri regolatori percepiti dalle imprese, in particolare con riferimento all’utilizzo dei dati per finalità di sviluppo e addestramento di sistemi di intelligenza artificiale. Il punto di frizione è evidente: il GDPR, per come strutturato, non è una normativa neutra rispetto agli interessi economici, ma un presidio costruito attorno a principi rigidi, tra cui la limitazione della finalità, la minimizzazione dei dati e la necessità di una base giuridica specifica per ogni trattamento. È qui che il caso assume un rilievo giuridico ben più ampio. In materia, abbiamo pubblicato la seconda edizione del Formulario commentato della privacy, disponibile su Shop Maggioli e su Amazon. Abbiamo anche organizzato il corso “Dal GDPR alla Legge AI – Policy, reporting e strumenti pratici per la governance dei dati”
Indice
- 1. Il possibile ampliamento del legittimo interesse
- 2. La ridefinizione del concetto di dato personale
- 3. Il principio di limitazione della finalità sotto pressione
- 4. Il rapporto con l’AI Act
- 5. Il rischio di una trasformazione sistemica
- 6. Considerazioni conclusive
- Formazione in materia per professionisti
- Vuoi ricevere aggiornamenti costanti?
1. Il possibile ampliamento del legittimo interesse
Uno dei nodi centrali delle proposte riguarda l’estensione dell’ambito applicativo del legittimo interesse di cui all’art. 6, par. 1, lett. f), GDPR. In particolare, si prospetta la possibilità di riconoscere, in via più ampia, l’addestramento di modelli di intelligenza artificiale come attività legittimata da un interesse economico del titolare, con conseguente attenuazione dell’obbligo di acquisire il consenso degli interessati.
Una simile impostazione solleva criticità rilevanti. Il legittimo interesse, nella costruzione del GDPR, non è una clausola generale utilizzabile in modo indiscriminato, ma richiede un bilanciamento concreto tra l’interesse del titolare e i diritti e le libertà fondamentali dell’interessato. La giurisprudenza della Corte di giustizia ha ribadito, in più occasioni, che tale bilanciamento deve essere effettivo, documentato e non meramente presunto.
L’ipotesi di riconoscere ex ante una prevalenza dell’interesse allo sviluppo dell’AI rischia di svuotare di contenuto questo meccanismo, trasformando una base giuridica residuale in uno strumento ordinario per trattamenti su larga scala, spesso caratterizzati da elevata invasività. In materia, abbiamo pubblicato la seconda edizione del Formulario commentato della privacy, disponibile su Shop Maggioli e su Amazon.
Formulario commentato della privacy
La nuova edizione dell’opera affronta con taglio pratico gli aspetti sostanziali e procedurali del trattamento dei dati personali alla luce delle nuove sfide poste dall’evoluzione normativa e tecnologica degli ultimi due anni. La disciplina di riferimento è commentata tenendo conto dei rilevanti interventi a livello europeo e nazionale (tra cui le Linee Guida EDPB, i regolamenti AI Act e DORA, l’attuazione della direttiva NIS 2), offrendo al Professionista una guida completa e aggiornata.Il libro è suddiviso in tredici sezioni, che coprono ogni aspetto della materia e tutti gli argomenti sono corredati da oltre 100 formule e modelli. Tra le novità più rilevanti:• Connessioni tra il nuovo AI Act e il GDPR, differenze tra FRIA e DPIA, valutazione dei rischi e incidenti• Gestione del personale: smart working, telelavoro e whistleblowing• Strumenti di monitoraggio: controlli a distanza dei lavoratori, cloud computing e gestione degli strumenti informatici in azienda• Tutela degli interessati: una guida completa su profilazione, processi decisionali automatizzati e sull’esercizio dei diritti• Strumenti di tutela: sanzioni, reclami, segnalazioni e ricorsi al Garante.Giuseppe CassanoDirettore del Dipartimento di Scienze Giuridiche della European School of Economics della sede di Roma e Milano, ha insegnato Istituzioni di Diritto Privato nell’Università Luiss di Roma. Avvocato cassazionista. Studioso dei diritti della persona, del diritto di famiglia, della responsabilità civile e del diritto di Internet, ha pubblicato oltre trecento contributi in tema, fra volumi, trattati, voci enciclopediche, note e saggi.Enzo Maria Tripodiattualmente all’Ufficio legale e al Servizio DPO di Unioncamere, è un giurista specializzato nella disciplina della distribuzione commerciale, nella contrattualistica d’impresa, nel diritto delle nuove tecnologie e della privacy, nonché nelle tematiche attinenti la tutela dei consumatori. È stato docente della LUISS Business School e Professore a contratto di Diritto Privato presso la facoltà di Economia della Luiss-Guido Carli. Ha insegnato in numerosi Master post laurea ed è autore di oltre quaranta monografie con le più importanti case editrici.Cristian ErcolanoPartner presso Theorema Srl – Consulenti di direzione, con sede a Roma; giurista con circa 20 anni di esperienza nell’applicazione della normativa in materia di protezione dei dati personali e più in generale sui temi della compliance e sostenibilità. Ricopre incarichi di Responsabile della Protezione dei Dati, Organismo di Vigilanza e Organismo Indipendente di Valutazione della performance presso realtà private e pubbliche. Autore di numerosi contributi per trattati, opere collettanee e riviste specialistiche sia tradizionali che digitali, svolge continuativamente attività didattica, di divulgazione ed orientamento nelle materie di competenza.
Giuseppe Cassano, Enzo Maria Tripodi, Cristian Ercolano | Maggioli Editore 2025
58.90 €
2. La ridefinizione del concetto di dato personale
Un ulteriore profilo riguarda la possibile revisione – anche solo interpretativa – della nozione di dato personale di cui all’art. 4, n. 1, GDPR. In particolare, si discute della qualificazione dei dati utilizzati per il training dei modelli, specie quando sottoposti a processi di anonimizzazione o pseudonimizzazione.
Il rischio, in questo ambito, è quello di una progressiva estensione dell’area dei dati considerati “non personali”, attraverso una lettura funzionale che tenga conto delle difficoltà tecniche di re identificazione anziché della possibilità astratta della stessa. Una simile impostazione si porrebbe in tensione con l’orientamento consolidato della Corte di giustizia, che ha adottato una nozione ampia di dato personale, fondata sulla potenzialità di identificazione anche indiretta.
La distinzione tra anonimizzazione e pseudonimizzazione, già centrale nel GDPR, assume qui un rilievo decisivo. Se la prima comporta l’irreversibilità del processo, la seconda lascia aperta la possibilità di re identificazione, con conseguente permanenza dell’applicabilità del Regolamento. Un indebolimento di tale distinzione determinerebbe un arretramento significativo del livello di tutela.
3. Il principio di limitazione della finalità sotto pressione
L’utilizzo dei dati per l’addestramento di sistemi di intelligenza artificiale pone in modo evidente la questione della compatibilità delle finalità, disciplinata dall’art. 5, par. 1, lett. b), GDPR. Il principio di limitazione della finalità impone che i dati siano raccolti per scopi determinati, espliciti e legittimi, e successivamente trattati in modo compatibile con tali scopi.
Nel contesto dell’AI, tuttavia, i dati vengono spesso riutilizzati per finalità diverse da quelle originarie, in un’ottica di riuso massivo che mal si concilia con una lettura rigorosa del principio. Le proposte di semplificazione sembrano orientate a riconoscere una maggiore elasticità in questo ambito, valorizzando la natura “innovativa” del trattamento.
Anche in questo caso, la tensione è evidente. Il principio di limitazione della finalità non è un mero vincolo formale, ma uno strumento di controllo del potere informativo del titolare. Una sua attenuazione rischia di incidere direttamente sulla prevedibilità del trattamento per l’interessato, elemento centrale per l’effettività del diritto alla protezione dei dati.
4. Il rapporto con l’AI Act
L’entrata in vigore del Regolamento (UE) 2024/1689 (AI Act) introduce un ulteriore elemento di complessità. Il legislatore europeo ha scelto di non intervenire direttamente sul GDPR, ma di costruire un sistema parallelo di regolazione dei sistemi di intelligenza artificiale, fondato su una classificazione per livelli di rischio.
Il coordinamento tra i due strumenti normativi è tutt’altro che lineare. L’AI Act presuppone, in molti casi, la liceità del trattamento dei dati personali, rinviando implicitamente al GDPR. Se, tuttavia, quest’ultimo viene interpretato in modo più flessibile per favorire lo sviluppo dell’AI, il rischio è quello di una convergenza verso un modello di regolazione meno protettivo.
Si potrebbe configurare, in altri termini, una sorta di “deriva funzionalista”, in cui le esigenze di sviluppo tecnologico orientano l’interpretazione delle norme in materia di protezione dei dati, anziché essere bilanciate da esse.
5. Il rischio di una trasformazione sistemica
Le iniziative di semplificazione non devono essere lette come interventi puntuali, ma come segnali di una possibile trasformazione sistemica del diritto alla protezione dei dati personali nell’Unione europea. Il GDPR è stato concepito come una normativa di rango quasi costituzionale, strettamente connessa agli artt. 7 e 8 della Carta dei diritti fondamentali.
Una sua reinterpretazione in chiave “pro-innovazione” rischia di alterarne la natura, trasformandolo da presidio di diritti in strumento di gestione del rischio regolatorio. Il punto non è negare la necessità di favorire lo sviluppo dell’intelligenza artificiale, ma evitare che ciò avvenga attraverso un indebolimento dei principi fondamentali.
6. Considerazioni conclusive
La traiettoria che si sta delineando non riguarda un semplice adattamento tecnico del quadro normativo, ma incide sulla qualificazione stessa del diritto alla protezione dei dati personali all’interno dell’ordinamento europeo. Il GDPR nasce come strumento di riequilibrio del rapporto tra individuo e potere informativo, non come leva di politica industriale. Alterarne la funzione, anche solo attraverso interpretazioni sistematicamente orientate alla facilitazione dei trattamenti, significa modificarne la natura senza passare da un intervento legislativo esplicito.
Il punto critico non è rappresentato dall’emersione di esigenze economiche connesse allo sviluppo dell’intelligenza artificiale – esigenze fisiologiche in un mercato digitale avanzato – ma dalla modalità con cui tali esigenze vengono integrate nel sistema giuridico. L’estensione del legittimo interesse, la dilatazione della nozione di dato non personale e l’elasticità crescente attribuita al principio di limitazione della finalità costituiscono, se considerate nel loro insieme, segnali convergenti verso una progressiva riduzione dell’intensità della tutela.
In questa prospettiva, il rischio più concreto non è quello di una violazione manifesta del GDPR, ma di una sua progressiva “normalizzazione”, attraverso pratiche interpretative che ne attenuano la portata precettiva. Un diritto che può essere sistematicamente bilanciato al ribasso in funzione di obiettivi economici contingenti perde, nel tempo, la propria capacità di incidere sui comportamenti dei titolari del trattamento, trasformandosi in uno standard flessibile anziché in un parametro vincolante.
L’interazione con l’AI Act accentua ulteriormente questa dinamica. Se il nuovo quadro normativo sull’intelligenza artificiale presuppone la liceità del trattamento dei dati personali, ma al contempo si assiste a una reinterpretazione più permissiva delle condizioni di liceità previste dal GDPR, il risultato è un sistema che, pur formalmente coerente, consente in concreto un ampliamento significativo delle possibilità di trattamento. In altri termini, il coordinamento tra le due discipline rischia di realizzarsi non attraverso un rafforzamento delle garanzie, ma mediante un loro adattamento funzionale.
In questo scenario, assume un rilievo centrale il ruolo delle autorità di controllo e della giurisprudenza, chiamate a presidiare il nucleo essenziale dei principi del Regolamento. Tuttavia, è illusorio ritenere che tale funzione possa supplire in modo stabile a una tendenza sistemica orientata in senso opposto. La tenuta del modello europeo di protezione dei dati dipende, in ultima analisi, da una scelta politica chiara: considerare il dato personale come un fattore produttivo da valorizzare o come un elemento costitutivo della dignità e dell’autodeterminazione dell’individuo.
Non si tratta di opzioni equivalenti. La prima conduce a una progressiva assimilazione del diritto alla protezione dei dati alle logiche di mercato; la seconda impone limiti strutturali all’utilizzo delle informazioni personali, anche a costo di rallentare determinati processi di innovazione. Il GDPR, nella sua formulazione originaria, si colloca inequivocabilmente nella seconda prospettiva.
Ogni intervento che ne modifichi l’interpretazione o l’applicazione dovrebbe essere valutato con estrema cautela, tenendo conto non solo degli effetti immediati sulla competitività delle imprese, ma anche delle conseguenze di lungo periodo sull’assetto dei diritti fondamentali. Una protezione dei dati “flessibile” può apparire funzionale nel breve termine, ma rischia di produrre, nel medio periodo, un indebolimento strutturale della fiducia degli individui nei sistemi digitali e nelle istituzioni che li regolano.
La questione, in definitiva, non è se il GDPR debba evolvere, ma in quale direzione. Un’evoluzione che ne preservi i principi fondamentali, adattandone gli strumenti applicativi, è coerente con la sua funzione originaria. Un’evoluzione che ne attenui progressivamente i vincoli, trasformandolo in una normativa negoziabile, rappresenta invece un mutamento di paradigma che merita di essere esplicitato e discusso apertamente, senza essere veicolato attraverso interventi di semplificazione apparentemente neutri.
Formazione in materia per professionisti
Dal GDPR alla Legge AI – Policy, reporting e strumenti pratici per la governance dei dati
Un ciclo di quattro incontri per tradurre le norme su AI e protezione dei dati in procedure operative concrete. Dalla definizione delle policy alla costruzione del reporting e delle linee guida interne, il webinar offre ai professionisti della compliance strumenti immediatamenti applicabili:
• Basi giuridiche e accountability documentale: principi applicabili ai trattamenti tipici dell’ufficio legale, distinzione fra esigenze legali, difensive e operative, mappatura end-to-end del flusso “revisione clausole contrattuali” ed errori frequenti con relative contromisure.
• Criteri e controllo dei risultati: accettazione dei risultati di analisi e AI, registrazione dei casi d’uso e delle verifiche, esempi pratici di analytics.
• KPI, reporting e governance del dato: definizione e monitoraggio degli indicatori, progettazione di dashboard efficaci e policy interne per garantire tracciabilità e qualità dei dati.
• Integrazione AI e workflow aziendale: collegamento dell’AI con l’ecosistema aziendale, flusso “review automatizzata delle clausole” e linee guida “Uso dati e AI nell’ufficio legale”.
>>>Per info ed iscrizioni<<<
Vuoi ricevere aggiornamenti costanti?
Salva questa pagina nella tua Area riservata di Diritto.it e riceverai le notifiche per tutte le pubblicazioni in materia. Inoltre, con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!
Iscriviti!
Iscriviti alla newsletter
Scegli quale newsletter vuoi ricevere
Autorizzo l’invio di comunicazioni a scopo commerciale e di marketing nei limiti indicati nell’informativa.
Presto il consenso all’uso dei miei dati per ricevere proposte in linea con i miei interessi.
Cliccando su “Iscriviti” dichiari di aver letto e accettato la privacy policy.
Grazie per esserti iscritto alla newsletter.
Scrivi un commento
Accedi per poter inserire un commento