La definizione di dato personale rimane invariata nel quadro del Digital Omnibus. Cosa significa questo per l’addestramento dell’intelligenza artificiale e per il legittimo interesse ai sensi del GDPR.
La definizione di dato personale e l’addestramento dell’IA: perché il Digital Omnibus è rilevante
La definizione di dato personale e l’addestramento dell’IA restano strettamente connessi anche alla luce dei più recenti sviluppi relativi al Digital Omnibus. Secondo le informazioni provenienti da Bruxelles, il legislatore europeo non intende modificare o restringere l’ambito della nozione di “dato personale” prevista dal GDPR.
A prima vista, potrebbe sembrare una conferma di natura tecnica. Tuttavia, per gli sviluppatori di IA e per le imprese che implementano sistemi di IA su larga scala, l’impatto è significativo.
Mantenendo invariata la definizione di dato personale, il quadro normativo europeo conserva l’ampio perimetro interpretativo già applicabile alle attività di addestramento dell’IA. Di conseguenza, l’incertezza giuridica permane.
Perché la definizione di dato personale incide direttamente sull’addestramento dell’IA
Ai sensi dell’articolo 4, comma 1, del GDPR, per dato personale si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile. La giurisprudenza europea ha costantemente interpretato in modo ampio il concetto di identificabilità. Anche identificatori indiretti o contestuali possono essere sufficienti.
Nel contesto dell’addestramento dell’IA, questo aspetto è cruciale.
I dataset di addestramento includono spesso:
- Contenuti web pubblicamente disponibili
- Corpora testuali contenenti identificatori incorporati
- Metadati e informazioni contestuali
- Materiale raccolto tramite scraping online
Anche laddove gli identificatori diretti vengano rimossi, il rischio di re-identificazione o di inferenza può impedire ai dataset di qualificarsi come anonimi. Di conseguenza, gran parte delle attività di addestramento dell’IA continua a rientrare nell’ambito di applicazione del GDPR.
Poiché il Digital Omnibus non modifica la definizione, l’approccio ampio esistente resta il parametro di riferimento.
Legittimo interesse e addestramento dell’IA: l’incertezza persiste
Il rapporto tra legittimo interesse e addestramento dell’IA rimane uno dei temi più dibattuti nel diritto europeo della protezione dei dati.
L’articolo 6, comma 1, lett. f) del GDPR consente il trattamento basato sul legittimo interesse, a condizione che:
- Sia individuato un interesse legittimo chiaro
- Il trattamento sia necessario
- Il bilanciamento penda a favore del titolare del trattamento rispetto all’interessato
In teoria, l’innovazione nell’IA e lo sviluppo tecnologico possono costituire interessi legittimi. In pratica, il test di bilanciamento presenta criticità strutturali.
Come possono le organizzazioni effettuare una valutazione di bilanciamento significativa su scala web?
Come garantire la trasparenza quando i dataset provengono da ambienti pubblici diffusi? Come rendere effettivo il diritto di opposizione in dataset di addestramento su larga scala?
Il Digital Omnibus era stato considerato una possibile occasione per chiarire questi aspetti. Tuttavia, le modifiche proposte non rafforzano né codificano in modo sostanziale la possibilità di fare affidamento sul legittimo interesse per l’addestramento dell’IA.
Pertanto, la fattibilità giuridica di questo approccio resta incerta e dipendente dal contesto. Il rischio di enforcement rimane concreto.
Le soglie di anonimizzazione restano elevate
Un’altra conseguenza importante del mantenimento dell’attuale definizione è che la soglia per l’anonimizzazione resta invariata.
La vera anonimizzazione richiede l’irreversibilità, tenendo conto di tutti i mezzi ragionevolmente utilizzabili. Nel contesto dell’IA, tale valutazione è complessa. Modelli avanzati possono generare output che reintroducono elementi personali o consentono un’identificazione indiretta.
Di conseguenza, molti dataset tecnicamente trasformati continueranno a qualificarsi come dati personali. La distinzione tra anonimizzazione e pseudonimizzazione rimane decisiva.
Il Digital Omnibus non abbassa tale soglia.
Frammentazione regolatoria nell’UE
Poiché il testo legislativo rimane invariato, l’interpretazione continuerà a dipendere dalle autorità di controllo e dai giudici.
Abbiamo già osservato differenze tra gli Stati membri in materia di pratiche di scraping, obblighi di trasparenza e valutazioni di proporzionalità. Senza ulteriore armonizzazione, restano possibili approcci di enforcement divergenti.
Per le imprese multinazionali, ciò significa:
- Asimmetrie di conformità
- Maggiore esposizione al contenzioso
- Incertezza strategica nell’implementazione dell’IA
La definizione di dato personale e l’addestramento dell’IA continueranno quindi a essere plasmati non solo dalla legislazione, ma anche dalla prassi applicativa.
La governance dell’IA diventa un imperativo strategico
In questo contesto, la governance dell’IA non è più opzionale.
Le organizzazioni dovrebbero considerare:
- Una rigorosa mappatura dei dati nei dataset di addestramento
- Valutazioni documentate del legittimo interesse
- Meccanismi di trasparenza scalabili
- Allineamento tra conformità al GDPR e obblighi previsti dall’AI Act
Nella mia esperienza di consulenza a consigli di amministrazione e team IA, una delle aspettative ricorrenti è stata un allentamento normativo per facilitare lo sviluppo dell’IA. La traiettoria attuale suggerisce il contrario.
L’Europa sembra determinata a preservare un elevato standard di tutela dei diritti fondamentali, anche nel contesto dell’innovazione nell’IA.
Il perimetro giuridico non è cambiato
La definizione di dato personale rimane invariata. Di conseguenza, la fattibilità giuridica dell’addestramento dell’IA continua a dipendere da un’interpretazione attenta, da un’adeguata documentazione e da solide strutture di governance.
Il Digital Omnibus non elimina l’incertezza relativa al legittimo interesse. Non abbassa le soglie di anonimizzazione. Non ricalibra in modo sostanziale il quadro del GDPR per l’addestramento dell’IA.
Al contrario, conferma che le organizzazioni devono operare all’interno della struttura esistente.
La domanda strategica per le imprese è quindi semplice:
Sono pronte a difendere i propri modelli di addestramento dell’IA alla luce dell’attuale quadro GDPR, incluso un solido test di bilanciamento del legittimo interesse?
La risposta a questa domanda definirà la prossima fase della governance dell’IA in Europa.
About the Author: Giulio Coraggio
