Con le Raccomandazioni pubblicate il 5 gennaio 2026 (di seguito, le “Raccomandazioni“), l’Autorità Garante della protezione dei dati francese, Commission Nationale de l’Informatique et des Libertés (di seguito, “CNIL“) ha reso disponibile una metodologia operativa finalizzata a consentire ai fornitori di modelli di intelligenza artificiale (di seguito, “IA“) di valutare e documentare se un modello, o un sistema che lo incorpora, rientri nell’ambito di applicazione del Regolamento (UE) 2016/679 (di seguito, “GDPR“).
Il contributo dell’Autorità francese non si colloca, tuttavia, sul piano di una ridefinizione concettuale delle categorie del diritto della protezione dei dati personali, ma si muove deliberatamente entro coordinate già note, applicandole ad un vettore tecnologico che ne mette oggi alla prova la tenuta sistemica.
Il punto di partenza dell’analisi è, infatti, volutamente sobrio. La CNIL assume come parametro di riferimento il criterio classico, oramai consolidato nella giurisprudenza e nella prassi europea, secondo cui un trattamento ricade nel campo di applicazione del GDPR quando attiene a dati riferibili a persone fisiche identificate o identificabili, tenuto conto dei mezzi ragionevolmente suscettibili di essere utilizzati per l’identificazione.
Le Raccomandazioni chiariscono che un modello di IA può essere considerato escluso dall’ambito applicativo del GDPR solo se la probabilità di re-identificazione delle persone i cui dati sono stati utilizzati in fase di addestramento può essere qualificata come insignificante. In questo senso, la posizione della CNIL si pone in esplicita continuità con l’orientamento espresso dall’European Data Protection Board (di seguito, “EDPB“), che ha chiarito nell’Opinione 28/2024 come la qualificazione di un modello di IA come anonimo non possa mai essere presunta in astratto, ma debba essere il risultato di una valutazione caso per caso. Tale valutazione deve tenere conto non solo delle caratteristiche intrinseche del modello, ma anche delle modalità concrete di accesso, utilizzo e interazione, nonché dello stato dell’arte delle tecniche di estrazione dei dati.
- Modello e Sistema di IA: premesse metodologiche
Uno dei passaggi più rilevanti, e meno scontati, della metodologia proposta dalla CNIL riguarda la distinzione concettuale e funzionale tra modello di e sistema di IA. Si tratta di una distinzione che non ha carattere meramente terminologico, ma che incide in modo diretto sull’ordine logico dell’analisi richiesta ai fini dell’applicabilità del GDPR.
Nelle Raccomandazioni della CNIL:
- il modello di IA è inteso come una rappresentazione statistica delle caratteristiche del dataset utilizzato per l’addestramento. In quanto tale, esso può incorporare informazioni sufficientemente granulari da consentire la ricostruzione, diretta o indiretta, di dati personali relativi agli individui presenti nel training set. Il rischio giuridicamente rilevante si colloca, dunque, a questo livello: è nel modello che può annidarsi una capacità di memorizzazione o inferenza tale da rendere possibile la re-identificazione.
- Il sistema di IA, invece, rappresenta il livello applicativo e organizzativo che governa l’uso del modello. Interfacce, controlli di accesso, modalità di interrogazione, filtri sugli output, limiti funzionali, misure di sicurezza e presidi organizzativi concorrono a definire come, e in che misura, il modello sia concretamente accessibile e sfruttabile. È il sistema a determinare il contesto operativo, ma non a eliminare, di per sé, il rischio intrinseco eventualmente incorporato nel modello.
La conseguenza giuridica di questa distinzione è centrale nell’impostazione della CNIL: l’analisi circa l’applicabilità del GDPR deve necessariamente partire dal modello. Solo dopo aver accertato che il modello non possa essere considerato anonimo diventa rilevante interrogarsi sulla possibilità che l’integrazione in un sistema dotato di misure robuste riduca la probabilità di re-identificazione fino a renderla insignificante. In altri termini, l’Autorità esclude implicitamente un approccio “inverso”, secondo cui l’assenza di rischio percepibile a livello di sistema renderebbe irrilevante la natura del modello sottostante. Il rischio deve essere valutato nel punto più vicino alla sua possibile origine, ossia là dove avviene la memorizzazione, anche solo potenziale, di informazioni riconducibili a persone fisiche. Il sistema può attenuare o neutralizzare tale rischio, ma non può cancellarlo retroattivamente né rendere superflua l’analisi del modello.
La CNIL chiarisce, inoltre, che la valutazione dello status riguarda qualsiasi modello addestrato su dati personali, indipendentemente dalla finalità dichiarata o dalle funzioni per cui esso è stato progettato. Non è determinante che il modello sia destinato a produrre informazioni su individui specifici; ciò che rileva è la possibilità tecnica, anche accidentale, di estrazione o inferenza di dati personali mediante mezzi ragionevolmente utilizzabili. La finalità del modello, in altre parole, non opera come criterio esimente sul piano giuridico. Questa impostazione si colloca in piena continuità con l’orientamento espresso dall’EDPB, secondo cui un modello progettato per produrre o inferire informazioni riferite a persone fisiche contiene necessariamente dati personali, mentre un modello addestrato anche su dati personali ma non orientato a tali finalità può essere considerato anonimo solo se il rischio di identificazione diretta o indiretta è altamente improbabile, tanto attraverso l’analisi dei parametri quanto mediante interrogazioni.
Ne deriva un effetto sistemico rilevante per l’intera filiera dell’IA. Se il modello è considerato anonimo, un sistema che lo utilizza esclusivamente sarà, in linea di principio, escluso dall’ambito applicativo del GDPR. Se, invece, il modello non è anonimo, l’eventuale esclusione del sistema richiederà un’analisi autonoma e aggiuntiva, fondata su misure e test idonei a dimostrare che il rischio di re-identificazione è stato effettivamente neutralizzato. In assenza di tale dimostrazione, il trattamento si estende inevitabilmente anche agli attori a valle.
- Dal dataset al Modello, l’analisi del rischio come obbligo di accountability
Uno degli elementi più significativi della metodologia delineata dalla CNIL è l’affermazione, priva di ambiguità, secondo cui l’analisi dello status di un modello di IA non costituisce un’opzione rimessa alla discrezionalità tecnica del provider, ma un vero e proprio obbligo giuridico, direttamente riconducibile al principio di accountability sancito dal GDPR. Ogniqualvolta un modello venga addestrato su dati personali, l’analisi del rischio di re-identificazione deve essere condotta in modo sistematico, indipendentemente dall’esito che essa potrà produrre.
La logica sottesa è pienamente coerente con l’impianto del diritto europeo della protezione dei dati. Non è necessario che il trattamento determini effetti immediati sugli interessati affinché sorga un obbligo di valutazione. È sufficiente che il trattamento incorpori un rischio giuridicamente rilevante, ossia la possibilità non trascurabile che persone fisiche possano essere identificate, direttamente o indirettamente, a partire dal modello. L’analisi richiesta dalla CNIL non serve a confermare un presupposto di anonimato già dato, ma a verificare se tale presupposto possa essere sostenuto alla luce di criteri oggettivi e verificabili.
In questo quadro, il ruolo del provider del modello assume una centralità evidente. È il provider che, nella maggior parte dei casi, determina le finalità e i mezzi del trattamento di sviluppo: seleziona il dataset di addestramento, definisce l’architettura del modello, stabilisce le modalità di training e ne prefigura i contesti di utilizzo. Su di lui ricade, pertanto, la responsabilità primaria di condurre l’analisi e di trarne una conclusione motivata circa l’applicabilità o meno del GDPR.
- Quando il provider conclude per l’esclusione del modello dall’ambito applicativo del GDPR, tale conclusione non può restare confinata in una valutazione interna o meramente dichiarativa. Essa deve essere supportata da una documentazione idonea a essere sottoposta al vaglio dell’autorità di controllo, che consenta di ricostruire il percorso logico e tecnico seguito. Non rileva soltanto l’esito dell’analisi, ma la sua tracciabilità: le misure adottate per ridurre il rischio di memorizzazione dei dati, le valutazioni effettuate sullo stato dell’arte, gli eventuali test condotti per verificare la resistenza del modello ad attacchi di re-identificazione. In questo senso, la documentazione assume una funzione eminentemente probatoria. Essa diventa lo strumento attraverso cui il provider dimostra di aver adempiuto all’obbligo di accountability, rendendo difendibile la propria posizione in caso di verifica o contestazione.
- La CNIL estende questa logica anche al livello di sistema. Qualora un modello non possa essere considerato anonimo, non è escluso che il suo utilizzo all’interno di un sistema più ampio consenta di ridurre il rischio fino a renderlo insignificante. Tuttavia, anche in questo caso, l’onere analitico non viene meno, ma si sposta. Il fornitore del sistema è tenuto a condurre una propria analisi autonoma, che tenga conto non solo delle caratteristiche del modello, ma anche delle misure implementate a livello di accesso, interazione, filtraggio degli output e monitoraggio degli usi. Tale analisi non può limitarsi a richiamare valutazioni effettuate a monte sul modello, ma deve fondarsi su verifiche specifiche riferite al sistema nel suo complesso.
Un ulteriore profilo di rilievo riguarda la dimensione relazionale ed informativa della accountability lungo la filiera dell’IA. Quando un provider di sistema sostiene che l’uso del sistema non rientra nel perimetro del GDPR nonostante l’impiego di un modello non anonimo, la CNIL raccomanda la condivisione di una documentazione sufficiente a consentire agli utilizzatori di verificare tale affermazione. Si tratta di una buona prassi che, pur non configurandosi come obbligo formale, assume un peso concreto in termini di allocazione delle responsabilità.
- I “mezzi ragionevolmente utilizzabili”: il vero standard giuridico dell’anonimato
Il criterio dei “mezzi ragionevolmente utilizzabili” rappresenta il perno attorno al quale ruota l’intera valutazione dell’anonimato dei modelli di IA. L’impostazione adottata dalla Commission Nationale de l’Informatique et des Libertés è, su questo punto, particolarmente rigorosa e pienamente coerente con il diritto europeo della protezione dei dati: l’anonimato non si valuta in astratto, né alla luce di scenari puramente teorici, ma in relazione alle possibilità concrete e realistiche di re-identificazione.
Le Raccomandazioni chiariscono che non rileva ciò che è tecnicamente possibile in condizioni estreme o accademiche, così come non è sufficiente limitare l’analisi allo scenario di utilizzo “ordinario” o dichiarato dal provider. La valutazione deve collocarsi in una zona intermedia, fondata su criteri oggettivi, che tenga conto delle capacità di un attaccante realistico e del contesto complessivo in cui il modello è sviluppato e utilizzato. È proprio questo equilibrio a rendere la nozione di mezzi ragionevolmente utilizzabili una categoria eminentemente giuridica, e non una mera variabile tecnica.
- In questa prospettiva, il rischio di re-identificazione non nasce dal modello considerato come un oggetto isolato, ma dall’ecosistema informativo in cui esso opera. La possibilità di combinare le informazioni ottenibili dal modello con dati ulteriori, pubblicamente disponibili o accessibili in altro modo, incide direttamente sulla valutazione. L’identificabilità è, dunque, il risultato di una correlazione, non di una singola fonte. Questo approccio è coerente con l’interpretazione consolidata del GDPR, che impone di considerare l’insieme dei mezzi a disposizione, e non soltanto le caratteristiche intrinseche del trattamento.
- Un ulteriore elemento centrale è rappresentato dal costo e dal tempo necessari per condurre un’eventuale estrazione di dati personali. La CNIL riconosce che attacchi che richiedano risorse sproporzionate, competenze altamente specialistiche o tempi incompatibili con un utilizzo realistico possono, in determinate circostanze, non rientrare tra i mezzi ragionevolmente utilizzabili. Tuttavia, tale valutazione è per definizione dinamica. Ciò che oggi appare complesso o oneroso può diventare rapidamente accessibile in un contesto di accelerazione delle tecniche di attacco e di diffusione degli strumenti di analisi dei modelli. Ne deriva l’impossibilità di cristallizzare l’anonimato in una fotografia congelata nel tempo dello stato dell’arte.
- Particolarmente significativa è poi l’attenzione dedicata all’accesso al modello da parte di soggetti non autorizzati. L’analisi non può limitarsi agli utenti legittimi o ai casi d’uso previsti dal provider, ma deve includere l’eventualità – tutt’altro che remota – di accessi indebiti o non conformi. In questo senso, la CNIL ribadisce un principio di grande rilevanza pratica: la mera restrizione dell’accesso non garantisce l’anonimato del modello. Le misure contrattuali, organizzative o di controllo degli accessi possono ridurre la probabilità di re-identificazione, ma non la rendono automaticamente insignificante.
- La valutazione dei mezzi ragionevolmente utilizzabili deve, inoltre, tener conto del contesto di deployment. Un modello reso accessibile al pubblico, o integrato in un servizio fruibile da un numero indefinito di utenti, presenta un profilo di rischio strutturalmente diverso rispetto a un modello utilizzato in un ambiente interno e controllato.
Il punto di chiusura dell’argomentazione è, sul piano giuridico, particolarmente netto. Un modello può essere considerato escluso dall’ambito applicativo del GDPR solo se, alla luce dei mezzi ragionevolmente utilizzabili, la probabilità di estrazione o inferenza di dati personali è insignificante. Non è sufficiente che tale probabilità sia bassa, contenuta o difficilmente realizzabile: lo standard richiesto è volutamente elevato e riflette la centralità del principio di accountability nell’ordinamento europeo.
- L’anonimato come condizione intrinsecamente instabile
Uno degli aspetti più rilevanti dell’impostazione delineata dalla CNIL riguarda il carattere intrinsecamente non definitivo dell’analisi sull’anonimato dei modelli e dei sistemi di IA. La conclusione secondo cui la probabilità di re-identificazione è insignificante non può essere considerata acquisita una volta per tutte, ma deve essere costantemente riesaminata alla luce dell’evoluzione tecnologica, scientifica e operativa. In questo senso, l’anonimato non è una proprietà statica del modello, bensì una valutazione contestuale e temporale, esposta a revisione.
La CNIL chiarisce espressamente che un modello o un sistema inizialmente ritenuto esterno all’ambito applicativo del GDPR può rientrarvi in un momento successivo. Ciò può avvenire, ad esempio, in presenza di nuove tecniche di attacco, di vulnerabilità prima sconosciute o di un mutamento significativo dello stato dell’arte che renda praticabili modalità di estrazione dei dati personali precedentemente considerate irrealistiche. L’elemento decisivo non è la correttezza dell’analisi originaria, ma la capacità del provider di riconoscere e governare l’evoluzione del rischio nel tempo. Da questa impostazione discende un preciso onere di riesame continuo. I fornitori di modelli e sistemi sono chiamati a verificare periodicamente la tenuta delle valutazioni svolte, tenendo conto tanto degli sviluppi della ricerca scientifica quanto dell’esperienza operativa maturata nell’uso concreto del modello. La compliance, in questa prospettiva, non si esaurisce nella fase di progettazione o di messa in produzione, ma accompagna l’intero ciclo di vita dell’artefatto tecnologico.
La gestione degli incidenti rappresenta, in questo quadro, un banco di prova cruciale. Qualora si verifichi un’estrazione di dati personali – o anche solo emerga una ragionevole probabilità che ciò sia avvenuto – il provider deve valutare se ricorrano gli estremi di una violazione dei dati personali ai sensi del GDPR. Il fatto che il modello fosse stato legittimamente qualificato come anonimo sulla base di un’analisi diligente non esclude, di per sé, l’esistenza di un data breach. Ciò che rileva, sul piano giuridico, è la capacità di reagire correttamente all’evento, documentandolo e, se del caso, attivando gli obblighi di notifica e comunicazione previsti dagli articoli 33 e 34 del GDPR.
La CNIL adotta, su questo punto, un approccio equilibrato. L’emersione di una vulnerabilità non implica automaticamente una responsabilità del provider, qualora l’analisi iniziale fosse fondata sullo stato dell’arte e adeguatamente documentata. Tuttavia, la legittimità della posizione del provider dipenderà in modo determinante dalla tempestività e dall’adeguatezza delle misure adottate a seguito dell’incidente. L’anonimato, una volta messo in discussione, impone una risposta strutturata, non una difesa meramente formale. Questo impianto dialoga in modo significativo con il quadro normativo europeo più ampio, e in particolare con il Regolamento (UE) 2024/1689 (di seguito, “AI Act“). Pur muovendosi su piani distinti, il GDPR e l’AI Act condividono una visione convergente della conformità come processo dinamico. Gli obblighi di sorveglianza post-market, di gestione dei rischi e di segnalazione degli incidenti previsti per i sistemi di IA ad alto rischio trovano, nella metodologia della CNIL, una declinazione coerente anche sul versante della protezione dei dati personali. Il controllo continuo della capacità del modello di “ricordare” le persone diventa così un elemento strutturale della governance dell’IA.
In definitiva, la metodologia proposta dalla CNIL ridisegna il modo stesso di concepire la compliance dei modelli di IA. L’anonimato non è una dichiarazione di principio, né un attributo tecnico da apporre una volta per tutte, ma una condizione giuridica instabile, che richiede di essere mantenuta sotto verifica costante. In un ecosistema tecnologico in perpetua evoluzione, la fiducia non si fonda su presunzioni, ma sulla capacità di dimostrare, nel tempo, che il rischio per i diritti fondamentali degli individui resta effettivamente al di sotto della soglia di rilevanza giuridica.
Su un argomento simile può essere d’interesse l’articolo: Raccomandazioni Garante su sviluppo AI in conformità con GDPR.
