La proposta della Commissione Europea di codificare il legittimo interesse come base giuridica per l’addestramento dei sistemi di intelligenza artificiale rappresenta la riforma più significativa del GDPR dalla sua adozione.Riconoscendo esplicitamente il legittimo interesse come fondamento per l’addestramento dell’IA, la Commissione mira a conciliare la protezione dei dati con le esigenze concrete dell’intelligenza artificiale moderna.
Se confermata il 19 novembre 2025 nell’ambito del pacchetto UE “Digital Omnibus”, questa modifica andrebbe oltre le semplici interpretazioni, offrendo certezza giuridica su una questione che ha diviso per anni i regolatori europei:
gli sviluppatori di IA possono legittimamente addestrare i propri modelli utilizzando dati personali ai sensi del GDPR?
Dall’incertezza giuridica a un quadro normativo chiaro
Finora, l’utilizzo del legittimo interesse come base giuridica per l’addestramento dell’IA è rimasto una zona grigia. Alcune autorità nazionali lo hanno ammesso in presenza di rigide condizioni, mentre altre lo hanno escluso del tutto.
Il Comitato Europeo per la Protezione dei Dati (EDPB), nel suo Parere 28/2024 sull’addestramento dei modelli di IA, ha adottato una posizione restrittiva, affermando che le aziende devono effettuare accurati test di bilanciamento e non possono presumere automaticamente l’applicabilità del legittimo interesse.
L’iniziativa della Commissione segna il passaggio dall’incertezza alla codificazione.
Invece di basarsi su interpretazioni nazionali divergenti, la riforma ancorerebbe l’addestramento dell’IA direttamente nel diritto dell’Unione, introducendo una nuova disposizione nel GDPR – in modo analogo all’eccezione del “soft spam” prevista dalla direttiva ePrivacy.
Questo approccio armonizzerebbe le regole tra gli Stati membri, offrendo un quadro chiaro, coerente e prevedibile per lo sviluppo dell’IA in Europa.
Implicazioni giuridiche della codificazione del legittimo interesse per l’addestramento dell’IA
- Maggiore certezza giuridica per gli sviluppatori di IA
L’inclusione esplicita del legittimo interesse come base giuridica per l’addestramento fornirebbe alle imprese un fondamento stabile per il trattamento dei dati personali ai fini dell’addestramento dei modelli, in particolare quando si utilizzano informazioni pubblicamente accessibili.
Ciò porrebbe fine al mosaico di interpretazioni nazionali che finora ha generato rischi di conformità e ostacolato l’innovazione.
- Armonizzazione e coerenza
La codificazione del legittimo interesse nel GDPR garantirebbe un’applicazione uniforme in tutti gli Stati membri. Questa coerenza semplificherebbe la compliance per le organizzazioni multinazionali e ridurrebbe il rischio di decisioni regolatorie contrastanti.
- Tutela delle categorie particolari di dati
La riforma non aprirebbe la strada a un trattamento illimitato. I dati personali sensibili – come quelli relativi alla salute, all’origine etnica, alla religione o all’orientamento sessuale – resterebbero tutelati dalle garanzie dell’articolo 9 del GDPR.
Solo i dati personali “ordinari” potrebbero rientrare nell’ambito del legittimo interesse, a condizione che i titolari effettuino test di bilanciamento e adottino misure tecniche come minimizzazione e pseudonimizzazione.
- Impatto sulla trasparenza e sui diritti degli interessati
Gli sviluppatori di IA che si basano sul legittimo interesse dovranno comunque rispettare gli obblighi di trasparenza previsti dal GDPR.
Gli individui dovranno essere chiaramente informati dell’utilizzo dei propri dati per l’addestramento dei modelli di IA e continueranno a mantenere i propri diritti di accesso, opposizione e cancellazione.
Una risposta pragmatica alla cautela dell’EDPB
Nel suo parere del 2024, l’EDPB aveva evidenziato serie preoccupazioni in materia di privacy, in particolare riguardo alla raccolta massiva di dati (“data scraping”), al riutilizzo degli stessi e alla scarsa consapevolezza degli utenti.
Aveva sostenuto che il legittimo interesse non potesse giustificare una raccolta indiscriminata di dati personali.
Come analizzato nel mio precedente articolo “Parere EDPB sull’addestramento dei modelli di IA: come garantire la conformità al GDPR?”, la posizione prudente dell’EDPB era comprensibile, ma ha di fatto generato una paralisi regolatoria.
La proposta della Commissione mira a ristabilire un equilibrio, riconoscendo la necessità dei dati per lo sviluppo dell’IA, pur mantenendo solidi meccanismi di tutela.
Questa iniziativa riflette un cambio di paradigma verso il pragmatismo: l’Europa sta riconoscendo che innovazione e protezione dei dati non sono concetti incompatibili.
Bilanciare innovazione e diritti fondamentali
La sfida ora consiste nell’assicurare che l’utilizzo del legittimo interesse come base giuridica per l’addestramento dell’IA non comprometta i diritti fondamentali delle persone.
Anche con una base legale codificata, le aziende dovranno continuare a garantire accountability attraverso:
- l’applicazione dei principi di privacy by design e by default;
- informative chiare e accessibili per gli interessati;
- il divieto di trattare categorie particolari di dati senza consenso esplicito.
Per quanto riguarda la valutazione del legittimo interesse (LIA), essa potrebbe non essere necessaria se il relativo interesse è espressamente previsto dalla legge. Tuttavia, le aziende dovranno dimostrare che il proprio addestramento rientra nel campo di applicazione della disposizione pertinente.
La codificazione non esonererà le imprese dagli obblighi di conformità: ne ridefinirà i confini.
La vera sfida sarà capire se autorità e organizzazioni sapranno trovare un equilibrio che sostenga l’innovazione senza sacrificare le libertà individuali.
Allineare il GDPR con l’AI Act
L’AI Act europeo stabilisce obblighi basati sul rischio, ma non definisce la base giuridica per il trattamento dei dati durante l’addestramento dei modelli.
La modifica proposta dalla Commissione colmerebbe questa lacuna, creando un ponte coerente tra protezione dei dati e governance dell’intelligenza artificiale.
Se attuata efficacemente, questa riforma potrebbe trasformare l’Europa in un punto di riferimento globale per una regolamentazione dell’IA affidabile, coniugando certezza giuridica e tutela dei diritti.
Il successo, tuttavia, dipenderà dall’ampiezza della formulazione finale:
se troppo estesa, rischierebbe di indebolire la protezione dei dati;
se troppo restrittiva, potrebbe non fornire la chiarezza di cui le imprese hanno urgente bisogno.
Un passo decisivo per il futuro digitale dell’Europa
La codificazione del legittimo interesse come base giuridica per l’addestramento dell’IA potrebbe ridefinire il modo in cui l’Europa affronta la relazione tra privacy e sviluppo tecnologico.
Si tratta di un’evoluzione strategica – non di un arretramento – rispetto allo spirito originario del GDPR.
Incorporando questo principio direttamente nel regolamento, l’Unione Europea invia un messaggio chiaro:
l’Europa vuole rimanere leader globale nell’innovazione responsabile dell’intelligenza artificiale.
Resta da vedere se questa mossa riuscirà a soddisfare sia i difensori della privacy sia gli operatori economici.
Ciò che è certo è che segna una svolta nel dialogo tra protezione dei dati e progresso digitale, destinata a plasmare il panorama europeo dell’IA per il prossimo decennio.
About the Author: Giulio Coraggio
