La Commissione europea ha avviato una revisione del GDPR all’interno del pacchetto Digital Omnibus per chiarire come i dati personali possano essere utilizzati nello sviluppo dei sistemi di intelligenza artificiale. Il tema riguarda da vicino imprese tecnologiche, startup e piattaforme digitali che lavorano su modelli addestrati con grandi quantità di informazioni raccolte online o attraverso servizi proprietari. Il nodo è giuridico ma ha effetti molto concreti sulle strategie industriali.
Come cambia l’uso dei dati personali per addestrare l’intelligenza artificiale
La proposta introduce un chiarimento rilevante sull’interesse legittimo, includendo tra le possibili basi giuridiche lo sviluppo e l’operatività dei sistemi di intelligenza artificiale. Questo significa che un’azienda potrebbe fondare il trattamento dei dati su tale presupposto, a condizione che dimostri la proporzionalità dell’uso, rispetti il principio di minimizzazione e garantisca alle persone il diritto di opposizione. Non si tratta di una liberalizzazione generalizzata, bensì di una cornice che mira a ridurre l’incertezza interpretativa che negli ultimi anni ha frenato diversi progetti nel campo dell’AI. Per molte realtà digitali il punto è decisivo, perché l’addestramento dei modelli richiede dataset ampi e spesso eterogenei, con margini di rischio difficili da valutare in assenza di indicazioni normative chiare.
Un altro passaggio significativo riguarda i dataset che includono dati sensibili, come informazioni relative alla salute o alle opinioni politiche. Nei casi in cui la rimozione completa di tali dati comporti sforzi sproporzionati, la proposta prevede una base giuridica specifica accompagnata da misure tecniche e organizzative più stringenti. Si parla di controlli sull’accesso, tecniche di anonimizzazione rafforzate, audit interni e tracciabilità delle operazioni sui dati. Per chi sviluppa modelli generativi o sistemi predittivi su larga scala, questo aspetto incide direttamente sulla progettazione dei processi interni e sulla documentazione richiesta in caso di verifica.
Quali effetti per imprese digitali e compliance europea
Il Digital Omnibus interviene anche su altri punti del regolamento, tra cui il concetto di dato personale in relazione all’identificabilità e alcune semplificazioni legate alla valutazione di impatto e alla gestione delle violazioni. L’intento dichiarato è rendere il GDPR più coerente con l’AI Act e con l’evoluzione tecnologica che ha trasformato il modo in cui i dati vengono raccolti, aggregati e analizzati. Per le imprese italiane attive nel settore digitale questo si traduce in una possibile maggiore prevedibilità del rischio legale, ma anche in un rafforzamento delle responsabilità lungo l’intera filiera dei dati, dal reperimento dei dataset alla distribuzione dei modelli.
Il dibattito è già acceso. Una parte della comunità giuridica teme che l’estensione dell’interesse legittimo possa ridurre le tutele originarie del regolamento; altri vedono nella proposta un tentativo di evitare che l’Europa resti indietro nella competizione globale sull’intelligenza artificiale. La questione si gioca su un equilibrio delicato. Sostenere lo sviluppo tecnologico senza compromettere la fiducia delle persone nella protezione dei propri dati. Nei prossimi mesi il confronto politico e tecnico definirà la portata effettiva delle modifiche.
