Garanti privacy mondiali: la protezione dati si applica pienamente all’IA

Temi attuali e di estrema rilevanza sono stati al centro dei lavori della 47° edizione della Global Privacy Assembly (GPA) - che riunisce oltre 140 Autorità e agenzie di protezione dati e privacy a livello mondiale - tenutasi dal 15 al 19 settembre scorso a Seoul: l'intelligenza artificiale e le sue implicazioni per la tutela dei diritti e la protezione dei dati personali. Accolto dalla Personal Information Protection Commission della Corea del Sud, l'evento si è articolato in sessioni aperte al pubblico, dedicate ai temi più attuali del dibattito, sessioni a porte chiuse riservate alle Autorità di protezione dati per il confronto regolatorio e l’adozione delle risoluzioni e in sessioni parallele che hanno affrontato temi e questioni emergenti.

Alla GPA 2025 ha partecipato anche una delegazione del Garante italiano, composta dalla Vice Presidente Ginevra Cerrina Feroni, e dai componenti del Collegio, Agostino Ghiglia e Guido Scorza.

Tre risoluzioni approvate

Sono state tre le risoluzioni approvate a conclusione dei lavori. La prima, che ha avuto co-sponsor proprio il Garante privacy del nostro Paese, affronta i rischi legati all’uso dei dati personali per l’addestramento dei modelli di IA. 

Il testo riafferma che le norme sulla protezione dati si applicano pienamente all’intelligenza artificiale e richiama cinque principi fondamentali: base giuridica corretta, limitazione delle finalità, minimizzazione, trasparenza e accuratezza. Le Autorità si impegnano inoltre a sensibilizzare sviluppatori e decisori, a rafforzare il coordinamento nell’enforcement e a condividere esperienze sull’IA generativa. Le altre risoluzioni si riferiscono a una supervisione umana delle decisioni automatizzate che sia reale, effettiva e non formale e all’urgenza di integrare la protezione dei dati nell’educazione digitale, dall’infanzia all’università, attraverso programmi di alfabetizzazione che combattano fenomeni come cyberbullismo, deepfake e furti d’identità.

Il tema del “pay or consent”

Nel corso della plenaria, Ginevra Cerrina Feroni ha affrontato il tema del “pay or consent”, un modello sempre più diffuso tra piattaforme e siti di informazione che solleva dubbi sulla libertà del consenso, soprattutto in assenza di alternative realistiche. La protezione dei dati non può diventare un lusso riservato a chi può pagare, né generare discriminazioni per chi non può permetterselo. Il suo intervento durante il panel sul targeted advertisement ha ribadito la liceità della pubblicità online solo se trasparente, veritiera e rispettosa della libertà delle persone. In Italia, la base giuridica per il marketing, anche non personalizzato, resta il consenso esplicito, specifico e informato: nessuna casella preselezionata o accettazione implicita, bensì una scelta libera e consapevole.

In tema di utilizzo del legittimo interesse per la pubblicità personalizzata degli utenti, Agostino Ghiglia ha ricordato il provvedimento del 2021 nei confronti di TikTok, in cui il Garante evidenziava il rischio che tale pratica possa coinvolgere anche utenti minorenni, a causa delle difficoltà della piattaforma nel verificare con certezza l’età degli iscritti.

La tutela di utenti e consumatori

Una sessione era dedicata alle tutele per utenti e consumatori. Guido Scorza ha ribadito l’importanza di affrontare con realismo il tema dei trasferimenti internazionali di dati e la necessità di una vera cooperazione internazionale: non bastano regole uniformi, ma servono anche meccanismi concreti di enforcement che rendano effettivi i principi sanciti dalle norme. L’Autorità italiana, nel side event dedicato all’open source, ha portato la propria esperienza sulla IA, con i casi Replica, ChatGPT e Deepseek, sottolineando la difficoltà di cooperazione con i fornitori e, in alcuni casi, la necessità di interventi tempestivi come il divieto di uso di tali sistemi sul territorio nazionale. È emersa inoltre la necessità di basi giuridiche chiare per l’uso dei dati nei Large language model (LLM), dal momento che né il consenso né l’interesse legittimo possono rappresentare soluzioni sempre valide.

Tra i side events della GPA 2025, anche quello organizzato dall’Autorità italiana e dall’Ambasciata d’Italia a Seoul, dal titolo “Privacy in the face of the challenges posed by artificial intelligence”.

Il Privacy Tour del Garante italiano, iniziativa che si propone di promuovere la cultura della privacy e dell’uso responsabile delle nuove tecnologie nei territori dove è più necessaria una adeguata formazione, è risultato tra i finalisti nella categoria “Education”, dedicata ai progetti più significativi ideati e promossi dalle Autorità e agenzie per la protezione dei dati personali in tutto il mondo.