Per la prima volta, AI e privacy vengono integrate in un unico quadro normativo. Infatti, il 23 settembre 2025 è entrata in vigore la Legge n. 132 sull’intelligenza artificiale, un provvedimento che segna una svolta per l’Italia e per l’Europa.
La protezione dei dati non è più un ostacolo, ma la base su cui costruire uno sviluppo dell’AI sicuro, trasparente e rispettoso dei diritti fondamentali. La nuova legge non sostituisce il GDPR, ma lo rafforza, ponendo l’accento sulla fiducia dei cittadini verso la tecnologia.
La trasparenza, già prevista dal GDPR, assume un significato più ampio: i sistemi di intelligenza artificiale e privacy devono non solo dichiarare i dati trattati, ma anche essere spiegabili.
Gli utenti devono comprendere, con un linguaggio semplice, come ragiona l’algoritmo e quali rischi comporta, rendendo il rapporto tra cittadini e tecnologia più chiaro.
Uno degli aspetti più delicati riguarda l’uso dei dati. Il principio di minimizzazione, cardine del GDPR, viene adattato all’AI, imponendo che le informazioni siano raccolte solo se strettamente necessarie.
Per conciliare AI e privacy, la legge promuove strumenti come:
anonimizzazione
pseudonimizzazione
dati sintetici
I dati sintetici, generati artificialmente, mantengono il valore statistico di quelli reali senza riferimenti diretti alle persone. Sono particolarmente utili nella ricerca sanitaria e scientifica, dove servono grandi quantità di informazioni per sviluppare modelli di intelligenza artificiale efficaci senza compromettere la riservatezza.
Il consenso rimane un pilastro della normativa. La legge prevede regole rafforzate per i minori: per chi ha meno di 14 anni sarà necessario il consenso dei genitori per accedere a tecnologie basate sull’AI.
Questa misura consolida il legame tra AI e GDPR, garantendo maggiori tutele alle categorie più vulnerabili.
La legge disciplina le decisioni automatizzate: nessuna scelta può essere lasciata esclusivamente a un algoritmo. È sempre necessaria una supervisione umana, con la possibilità per l’interessato di contestare le decisioni.
Diritto all’oblio: non basta cancellare i dati, bisogna anche evitare che continuino a influenzare i modelli già addestrati.
Portabilità algoritmica: i cittadini hanno il diritto di sapere come i propri dati sono stati utilizzati nell’addestramento dell’AI.
Come il GDPR ha introdotto la privacy by design, la nuova legge stabilisce il principio di AI privacy by design: la sicurezza e la protezione dei dati devono essere garantite lungo tutto il ciclo di vita dei sistemi di intelligenza artificiale.
Ciò comporta nuove responsabilità per i Data Protection Officer, chiamati a valutare rischi come discriminazioni algoritmiche, perdita di autonomia decisionale o errori dei modelli. Inoltre, il Garante Privacy collaborerà con altre autorità nazionali per gestire insieme la governance dell’intelligenza artificiale.
La Legge 132/2025 segna la nascita di un modello di integrazione tra AI e privacy. Innovazione e diritti fondamentali non sono più in conflitto, ma devono avanzare di pari passo.
Per cittadini e imprese si apre una nuova fase fatta di opportunità ma anche di responsabilità: l’intelligenza artificiale potrà crescere solo se saprà rispettare la fiducia delle persone.
