Alla 47ª edizione della Global Privacy Assembly, l’Autorità italiana si unisce al coro internazionale: la protezione dei dati personali vale pienamente anche per l’intelligenza artificiale. Focus su trasparenza, basi giuridiche chiare e tutela dei minori.
L’IA sotto la lente dei Garanti mondiali
Dal 15 al 19 settembre 2025, Seoul ha ospitato la 47ª edizione della Global Privacy Assembly, un appuntamento chiave per il dibattito globale su privacy e protezione dei dati. Oltre 140 autorità da tutto il mondo si sono confrontate su come gestire le sfide poste dall’intelligenza artificiale, in un contesto sempre più dominato da modelli generativi, piattaforme digitali pervasive e algoritmi decisionali automatizzati.
Anche l’Italia ha avuto un ruolo centrale: la delegazione del Garante per la protezione dei dati personali, con la Vice Presidente Ginevra Cerrina Feroni e i componenti del Collegio Agostino Ghiglia e Guido Scorza, ha partecipato attivamente ai lavori, contribuendo a importanti risoluzioni.
Cinque principi per l’IA: chiarezza e responsabilità
Tra i principali risultati dell’Assemblea, spicca l’approvazione di tre risoluzioni fondamentali. La prima, co-sponsorizzata dall’Italia, riafferma un principio essenziale: le norme sulla protezione dei dati si applicano pienamente all’intelligenza artificiale.
Vengono ribaditi cinque pilastri imprescindibili:
- Base giuridica corretta: nessun trattamento senza una legittimazione normativa chiara.
- Limitazione delle finalità: i dati vanno usati solo per scopi dichiarati e legittimi.
- Minimizzazione: raccogliere solo ciò che è necessario.
- Trasparenza: utenti consapevoli e informati.
- Accuratezza: modelli che non generano contenuti fuorvianti o discriminatori.
Le autorità si impegnano inoltre a rafforzare il coordinamento nell’enforcement e a sensibilizzare sviluppatori e decisori su un uso responsabile dell’IA generativa.
Diritto alla privacy: non può diventare un lusso
Durante la plenaria, Cerrina Feroni ha sollevato un tema spinoso: il modello “pay or consent”, sempre più diffuso tra siti e piattaforme. In sostanza, l’utente deve scegliere se pagare un abbonamento o cedere i propri dati. Un meccanismo che, ha denunciato, “mina la libertà del consenso e rischia di trasformare la privacy in un privilegio per chi può permetterselo”.
Sul fronte della pubblicità online, la Vicepresidente ha ribadito: è lecita solo se trasparente, veritiera e rispettosa della libertà individuale. In Italia, anche il marketing non personalizzato richiede consenso esplicito e informato. Nessuna casella preselezionata, nessuna accettazione implicita.
Minori e trasferimenti internazionali: le sfide aperte
Agostino Ghiglia ha ricordato il caso TikTok del 2021: il Garante contestò l’uso del legittimo interesse come base per la pubblicità personalizzata, specie per la difficoltà della piattaforma nel verificare l’età degli utenti. Il rischio? Esporre i minori a profilazioni invasive.
Guido Scorza, invece, ha posto l’accento sulla necessità di una cooperazione internazionale reale nei trasferimenti di dati. Le regole comuni non bastano: servono meccanismi di enforcement efficaci.
Open source e trasparenza: il ruolo dell’Italia
Nel side event dedicato all’open source, l’Autorità italiana ha portato casi concreti come ChatGPT, Replica e Deepseek. Emerse criticità nella collaborazione con i fornitori, ma anche la necessità di interventi rapidi e, in alcuni casi, restrittivi, per garantire i diritti degli utenti.
Serve, si è ribadito, una base giuridica chiara per l’uso dei dati nei Large Language Model: né il consenso né l’interesse legittimo sono soluzioni sempre valide.
Educare alla privacy, sin da piccoli
Un’altra risoluzione chiave ha riguardato l’integrazione della protezione dei dati nei percorsi educativi, dalla scuola primaria all’università. L’obiettivo: creare consapevolezza e contrastare fenomeni come cyberbullismo, deepfake e furti d’identità.
In questo ambito si inserisce anche il “Privacy Tour” del Garante italiano, finalista alla GPA nella categoria “Education”: un progetto itinerante per diffondere cultura della privacy e uso responsabile della tecnologia, soprattutto nei territori meno digitalizzati.
Conclusione: l’IA ha bisogno di regole, non di zone grigie
La GPA 2025 ha lanciato un messaggio chiaro: l’IA non può operare in deroga ai diritti fondamentali. Serve una regolamentazione coerente, applicata con rigore, e una collaborazione internazionale continua. La sfida è aperta, ma la direzione tracciata.
