Condividi su Facebook

Guida completa all’uso dell’AI generativa nel rispetto della privacy e della protezione dei dati

Approfondisci le migliori pratiche per l'applicazione dell'Intelligenza Artificiale Generativa nella Pubblica Amministrazione. Scopri come ottimizzare i processi, migliorare l'efficienza e potenziare i servizi al cittadino attraverso strategie innovative e soluzioni tecnologiche all'avanguardia.

guida completa alluso dellai generativa nel rispetto della privacy e della protezione dei dati 1761787012

Il 28 ottobre 2025 ha segnato un passo significativo nel campo della protezione dei dati con la pubblicazione della seconda versione delle orientations for ensuring data protection compliance when using generative AI systems da parte del Garante europeo della protezione dei dati (EDPS). Questo documento rappresenta una guida operativa che traduce le normative europee riguardanti la privacy in indicazioni pratiche per l’utilizzo di sistemi di AI generativa.

Sebbene la guida sia principalmente rivolta alle istituzioni dell’Unione Europea che seguono il Regolamento (UE) 2018/1725, le indicazioni fornite si applicano anche a enti pubblici nazionali e a soggetti privati che devono rispettare il GDPR.

Struttura e contenuti della guida

La guida è organizzata in un formato di domande e risposte, presentando casi pratici per chiarire l’applicazione delle normative. I punti principali trattano la liceità dell’uso dell’AI generativa nella pubblica amministrazione e i requisiti da rispettare. Tra gli aspetti fondamentali, troviamo la necessità di definire lo scopo e la base giuridica del trattamento dei dati, come indicato negli articoli 5 e 6 del GDPR.

Definizione dei ruoli

Una delle prime sfide discusse riguarda l’individuazione dei ruoli all’interno dei sistemi AI. Il AI Act fa riferimento a termini come provider, developer e deployer, che non corrispondono direttamente ai concetti di titolare e responsabile previsti dal GDPR. È cruciale stabilire chi decide le modalità di trattamento dei dati, poiché questo determina la qualifica di titolare.

Per esempio, se l’Istituzione A sviluppa un tool HR basato su AI generativa e definisce le modalità di trattamento, essa è considerata titolare. Tuttavia, se l’Istituzione B utilizza questo strumento con i propri dati, diventa titolare di un trattamento distinto. Se entrambe collaborano alla creazione del sistema, si configura una contitolarità che richiede accordi specifici sui diritti e i doveri.

Analisi dei dati e rischi

Un altro tema cruciale è la presenza di dati personali nei sistemi di AI generativa. L’EDPS chiarisce che non è corretto affermare che non ci siano mai dati personali a priori; è necessaria un’analisi concreta che consideri ogni fase, dall’addestramento alla generazione degli output. Anche quando i dati sembrano anonimi, possono esistere tracce che permettono la reidentificazione.

Coinvolgimento del Data Protection Officer

È essenziale coinvolgere il Data Protection Officer fin dalle fasi iniziali di sviluppo dell’AI generativa. Il DPO deve fornire assistenza e consulenza, lavorando in sinergia con altre funzioni aziendali come il servizio legale e IT. Si consiglia di creare una task force dedicata all’AI, per affrontare le sfide normative e promuovere la formazione a tutti i livelli organizzativi.

L’uso di tecnologie emergenti come l’AI generativa comporta un alto rischio per i diritti degli individui. Qualora il sistema adottato sia classificato come AI ad alto rischio, è necessaria una DPIA, che risulta quindi sempre fondamentale.

Base giuridica e finalità del trattamento

La base giuridica per le istituzioni pubbliche differisce rispetto a quella dei privati. Mentre il legittimo interesse è una possibilità per le aziende private, le istituzioni pubbliche devono trovare la loro base giuridica nell’interesse pubblico o in obblighi legali. L’EDPS sottolinea che ottenere il consenso per l’uso dell’AI generativa può essere complicato e fragile, specialmente in un contesto di larga scala.

Un esempio utile è quello di un’istituzione che utilizza un sistema di analytics per reclutare. In questo caso, la base giuridica è l’interesse pubblico nel garantire processi equi e trasparenti, sostenuta dallo Statuto del personale dell’Unione europea.

Considerazioni sulle finalità

Sebbene la guida sia principalmente rivolta alle istituzioni dell’Unione Europea che seguono il Regolamento (UE) 2018/1725, le indicazioni fornite si applicano anche a enti pubblici nazionali e a soggetti privati che devono rispettare il GDPR.0

Sebbene la guida sia principalmente rivolta alle istituzioni dell’Unione Europea che seguono il Regolamento (UE) 2018/1725, le indicazioni fornite si applicano anche a enti pubblici nazionali e a soggetti privati che devono rispettare il GDPR.1

Mitigazione dei bias e protezione dei diritti

Sebbene la guida sia principalmente rivolta alle istituzioni dell’Unione Europea che seguono il Regolamento (UE) 2018/1725, le indicazioni fornite si applicano anche a enti pubblici nazionali e a soggetti privati che devono rispettare il GDPR.2

Sebbene la guida sia principalmente rivolta alle istituzioni dell’Unione Europea che seguono il Regolamento (UE) 2018/1725, le indicazioni fornite si applicano anche a enti pubblici nazionali e a soggetti privati che devono rispettare il GDPR.3

Scritto da Giulia Lifestyle

Bending Spoons Acquisisce AOL da Yahoo per 2,8 Milioni di Dollari: Un’Operazione Strategica nel Settore Tech

Retelit potenzia la propria rete con un investimento di 20 milioni di euro per il futuro digitale