La legge italiana sull'AI tra aspettative e aspirazioni forse ancora velleitarie

Dal 2 agosto 2025 una parte importante dello AI act è in vigore: I capi I e II - pratiche vietate - Il capo III, sezione 4, - autorità di notifica e organismi notificati, il capo V - disciplina dei modelli di IA per finalità generali -, il capo VII - sistema di governance europea-, il capo XII - sanzioni - e l'articolo 78 a eccezione dell'articolo 101. Dal 2 agosto 2026 sarà in vigore la parte rimanente, a eccezione dell'articolo 6, paragrafo 1- classificazione sistemi AI ad alto rischio, e i corrispondenti obblighi che saranno in vigore dal 2 agosto 2027.

Il 17 settembre 2025 con la legge n. 132, pubblicata sulla "Gazzetta Ufficiale" n. 224 del 26 settembre 2025, il Parlamento italiano ha definitivamente approvato il passo fondamentale per la sua attuazione nel nostro ordinamento, sciogliendo numerose delle riserve a sua disposizione e delegando Governo, Ministeri ed Autorità competenti a cascata a completare il quadro regolatorio. Un passo da salutare con grande favore per molti contenuti della normativa ma che in alcuni passaggi rischia di essere velleitario per la carenza di interventi sistemici e adeguati finanziamenti.

Una legge di delega alquanto complessa 

Quella approvata è una legge di delega alquanto complessa (legge n. 132 del 17 settembre 2025), con scelte forti che interessano anche altri plessi normativi come il codice dei dati personali, e la pianificazione di investimenti significativi. Complessità inevitabile, dato il carattere pervasivo e di tecnologia abilitante della IA, ma che richiede qualche riflessione.La logica della normativa vuole indubbiamente essere un primo viatico di semplificazione e di disciplina flessibile che:

• Prova a semplificare la disciplina dei dati personali per ciò che rileva il ciclo di vita dell'IA,
• Disegna uno scenario di sviluppo economico all'impronta della sinergia tra livelli di governo, mondo delle imprese e PPAA (ad esempio, articolo 5.1.e sulla ricerca collaborativa)
• Necessariamente cerca di coniugare un libero mercato della IA con le sempre più pressanti esigenze in materia di sicurezza e difesa nazionale (vedi per esempio articolo 5 sulla localizzazione sul territorio nazionale dei data centers per la PPAA).

Sotto il primo profilo oltre a ribadire i consueti principi di trasparenza e liceità per il trattamento dei dati si richiede il consenso dei genitori per l'accesso degli infraquattordicenni alle tecnologie di intelligenza artificiale, ma soprattutto si forniscono agili basi giuridiche per il trattamento secondario dei dati in settori strategici.

Così, per il settore sanitario, non solo si promuove l'uso della IA per il "supporto nei processi di prevenzione, diagnosi, cura e scelta terapeutica" pur "lasciando impregiudicata la decisione» rimessa ai medici ma si proclamano di interesse pubblico rilevante i trattamenti secondari di dati anche particolari «per la ricerca e la sperimentazione scientifica nella realizzazione di sistemi di intelligenza artificiale per finalità di prevenzione, diagnosi e cura di malattie, sviluppo di farmaci, terapie e tecnologie riabilitative, realizzazione di apparati medicali, incluse protesi e interfacce fra il corpo e strumenti di sostegno alle condizioni del paziente, salute pubblica, incolumità della persona, salute e sicurezza sanitaria nonché studio della fisiologia, della biomeccanica e della biologia umana anche in ambito non sanitario, in quanto necessari ai fini della realizzazione e dell'utilizzazione di banche di dati e modelli di base".

Uniche condizioni che il trattamento avvenga "nell'ambito di progetti di ricerca a cui partecipano soggetti pubblici e privati senza scopo di lucro o IRCCS"; che i dati siano privati «degli elementi identificativi diretti»; e i trattamenti comunicati al Garante (articolo 8). L'apertura al trattamento secondario interessa pure la pianificazione e i controlli in ambito sanitario (di cui all'articolo 2-sexies, comma 2, lettera v), la ricerca sui gesti atletici. Va però notato che la norma non definisce le "misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato" come richiederebbe l'articolo 9 del GDPR.

Per proseguire la lettura dell'articolo di Giovanni Comande - Professore ordinario di Diritto comparato presso l'Università Sant'Anna di Pisa - questo è il link