L’intelligenza artificiale (IA) rappresenta una delle componenti primarie della crescente complessità affrontata dal Garante per la Protezione dei Dati Personali nel corso del 2025.
La relazione annuale la cita ampiamente sin dalla introduzione evidenziando come l’intelligenza artificiale, pur non avendo ancora espresso tutto il suo potenziale, richieda un confronto a tutto campo per definire i rapporti tra innovazione e tutela dei dati personali.
I punti chiave emersi nella Relazione del Garante in merito all’IA toccano tre diversi ambiti
Il 23 settembre 2025 è stata approvata la Legge n. 132/2025 (“Disposizioni e deleghe al Governo in materia di intelligenza artificiale”). La legge stabilisce che la ricerca, lo sviluppo e l’uso dell’IA devono avvenire nel rispetto dei diritti fondamentali, della trasparenza, della proporzionalità e della sicurezza dei dati. Al riguardo il Garante evidenzia con preoccupazione che la legge nazionale non ha attribuito all’Autorità (o ad altro soggetto indipendente) il ruolo di autorità di vigilanza del mercato per i sistemi di IA ad alto rischio (come quelli biometrici, di giustizia, di law enforcement o di controllo delle frontiere). Questa esclusione dal sistema di governance coordinato viene definita come una “occasione mancata” per gestire la complessità dei sistemi in modo pienamente indipendente.
All’interno della cornice normative si collocano anche le regole per minori, il lavoro e la PA: tre aspetti cruciali per il mondo scolastico. Per i minori di 14 anni, l’uso dell’IA richiede il consenso dei genitori, mentre i maggiori di 14 anni possono esprimersi autonomamente se le informazioni sono facilmente accessibili e comprensibili. In ambito lavorativo, l’impiego dell’IA non deve mai violare la riservatezza dei dipendenti e richiede l’obbligo di informazione. La Pubblica Amministrazione deve assicurare agli interessati la conoscibilità del funzionamento dell’IA e la tracciabilità del suo utilizzo.
Da ultimo il Garante ricorda cheè stato introdotto nella legislazione italiana un nuovo reato penale (art. 612-quater c.p.) che punisce con la reclusione da uno a cinque anni chi diffonde, senza consenso, deepfake idonei a trarre in inganno e a causare danni ingiusti.
Il Garante ricorda che ha espresso parere favorevole sulle linee guida del Ministero dell’istruzione e del merito per l’introduzione dell’IA nelle scuole, vietando pratiche invasive (come il riconoscimento delle emozioni) e imponendo configurazioni che impediscano la profilazione o la conservazione dei prompt degli studenti. In ambito sanitario l‘Autorità ha proseguito le interlocuzioni con AGENAS e il Ministero della salute per l’introduzione di una piattaforma informatica di IA a supporto dell’assistenza sanitaria primaria. In particolare ha operato per chiarire quali siano i principi algoritmici inderogabili riassunti in tre principi fondamentali: conoscibilità (trasparenza sulla logica utilizzata), non esclusività delle decisioni algoritmiche e non discriminazione. L’affidamento fideistico alla tecnologia non è ammissibile: la supervisione umana qualificata è essenziale in tutte le fasi del ciclo di vita dell’IA per prevenire rischi per la salute.
Nel 2025Il Garante ha adottato un provvedimento di limitazione definitiva dei trattamenti contro le società cinesi titolari di un noto servizio di IA generativa (web e app), in quanto trattavano illecitamente i dati di soggetti in territorio italiano (portando alla rimozione dell’app dagli store italiani). Inoltre il Garante ha collaborato con l’autorità irlandese (DPC) per esaminare i progetti di addestramento dell’IA generativa da parte di note società statunitensi (tra cui Meta) basati sul “legittimo interesse” dei post pubblici degli utenti, verificando l’efficacia dei sistemi di opt-out predisposti per consentire agli utenti di opporsi al trattamento.
È stato poi adottato un provvedimento di limitazione provvisoria contro un servizio estero di “deep nude” (che alterava foto di persone vestite per renderle nude senza consenso) ed è stato emesso un avvertimento generale sui rischi dei sistemi di generazione di deepfake vocali e visivi. Un ulteriore caso concreto molto interessante riguarda una casa farmaceutica che è stata sanzionata per 21.000 euro per aver utilizzato algoritmi di deep learning nell’analisi di cellule tumorali senza fornire ai pazienti un’informativa trasparente e chiara sul processo di addestramento dei modelli.