Dal 15 al 19 settembre 2025 Seoul è stata il centro mondiale del dibattito sulla privacy digitale, con la 47ª edizione della Global Privacy Assembly. All’incontro hanno partecipato oltre 140 autorità di protezione dati, chiamate a confrontarsi su intelligenza artificiale, modelli economici basati sulle informazioni personali e necessità di rafforzare la cooperazione internazionale per un enforcement più efficace.
L’intelligenza artificiale e il principio di piena applicazione delle regole
Il passaggio più rilevante dell’assemblea è stato l’approvazione di tre risoluzioni. La prima, sostenuta anche dal Garante italiano, ha stabilito senza ambiguità che i sistemi di intelligenza artificiale sono soggetti in modo pieno alla normativa sulla protezione dei dati. Cinque i punti cardine individuati: base giuridica corretta, limitazione delle finalità, minimizzazione, trasparenza e accuratezza delle informazioni. Le autorità si sono impegnate a rafforzare la vigilanza e a condividere esperienze pratiche, con un focus specifico sui sistemi generativi.
Le altre due risoluzioni hanno posto l’accento su due aspetti cruciali: la supervisione umana deve essere effettiva e non ridotta a un atto formale, mentre la protezione dei dati deve entrare stabilmente nei programmi di educazione digitale, dall’infanzia all’università, come strumento contro cyberbullismo, furti d’identità e deepfake.
Il contributo italiano tra consenso, pubblicità e trasferimenti
La delegazione italiana ha avuto un ruolo di primo piano nei dibattiti. La vicepresidente Ginevra Cerrina Feroni ha denunciato i rischi del modello “pay or consent”, che obbliga l’utente a scegliere se pagare un servizio o cedere i propri dati personali. In assenza di reali alternative, questa pratica compromette la libertà del consenso e rischia di trasformare la privacy in un privilegio. Sul fronte della pubblicità online, è stato ribadito che in Italia la base giuridica rimane il consenso esplicito, libero e informato, senza caselle preselezionate o accettazioni implicite. Agostino Ghiglia ha ricordato l’intervento del 2021 contro TikTok, sottolineando i pericoli derivanti dall’uso del legittimo interesse per la profilazione pubblicitaria, soprattutto nei confronti dei minori. Guido Scorza ha invece richiamato la necessità di strumenti concreti di cooperazione per affrontare i trasferimenti internazionali di dati, oggi tra i nodi più complessi del settore.
Uno dei momenti più seguiti è stato il side event dedicato all’open source e ai grandi modelli linguistici. L’Autorità italiana ha illustrato i casi di Replica, ChatGPT e Deepseek, evidenziando le difficoltà di collaborazione con i fornitori e l’esigenza, in taluni casi, di provvedimenti immediati come la sospensione o il divieto di utilizzo. Particolare attenzione è stata riservata alla questione dell’addestramento dei Large Language Model: né consenso né legittimo interesse possono costituire basi giuridiche valide in ogni situazione. Da qui la richiesta di regole più chiare e stabili per un settore in rapida evoluzione.
Tra le iniziative collaterali, la conferenza organizzata dal Garante insieme all’Ambasciata d’Italia a Seoul ha messo in luce le sfide poste dall’intelligenza artificiale in rapporto alla tutela della privacy. Anche il Privacy Tour, progetto italiano dedicato alla sensibilizzazione sul territorio, ha ricevuto un riconoscimento internazionale, entrando tra i finalisti della categoria “Education” della GPA.
Il messaggio emerso dall’assemblea è netto: l’intelligenza artificiale non può operare in una zona grigia priva di norme. Le imprese che puntano su queste tecnologie devono fondare i propri modelli su basi giuridiche solide, garantire una supervisione umana effettiva e accettare l’idea di una cooperazione internazionale sempre più stringente.
