UniCa - Università degli studi di Cagliari
ICT4Law&Forensics Laboratorio di "Diritto dell’Informatica" e di "Informatica Forense" del DIEE di Cagliari

IA Generativa, il Garante europeo per la protezione dei dati pubblica i nuovi orientamenti per l’uso

Il Garante europeo della protezione dei dati (GEPD) ha pubblicato il 28 ottobre 2025 le Linee guida riviste e aggiornate sull’uso dell’intelligenza artificiale generativa (“Orientations on Generative Artificial Intelligence and Personal Data Protection”) e sul trattamento dei dati personali da parte delle istituzioni, degli organi, degli uffici e delle agenzie (IUE) dell’Unione Europea (UE). Il documento offre importanti spunti di riflessione e utili chiarimenti tecnico – operativi sull’IA.

Un passo decisivo verso una governance responsabile dell’IA per le Istituzioni UE

Il 28 ottobre 2025 il Garante europeo della protezione dei dati (GEPD) ha rilasciato le Linee guida riviste e aggiornate sull’uso dell’intelligenza artificiale generativa (“Orientations on Generative Artificial Intelligence and Personal Data Protection”) e sul trattamento dei dati personali da parte delle istituzioni, degli organi, degli uffici e delle agenzie (IUE) dell’Unione Europea (UE).

Il documento è rivolto a tutte le istituzioni, organi, uffici e agenzie dell’Unione Europea (in seguito “EUIs”) che utilizzano o intendono implementare sistemi di IA generativa nel pieno rispetto delle norme sulla protezione dei dati personali previste dal Regolamento (UE) 2018/1725 (EUDPR)1.

Le Linee guida sono state emanate ed aggiornate dal GEPD nel suo ruolo di autorità di controllo per la protezione dei dati: si tratta, dunque, di un documento che si inserisce nell’ambito di applicazione del Regolamento 2018/1725 e che mira a sostenere le istituzioni europee nell’uso conforme dei sistemi di IA generativa, in misura armonica con l’operatività dell’AI Act.

Le nuove Linee guida del 2025 ampliano le prime pubblicate nel 2024, fornendo chiarimenti, esempi e strumenti pratici per affrontare le principali criticità nel trattamento dei dati personali durante la progettazione, lo sviluppo e l’adozione di questi sistemi.
Il GEPD specifica inoltre che la guida avrà carattere dinamico, potendo essere aggiornata nel tempo per riflettere l’evoluzione tecnologica e normativa del settore. pregiudizio del Regolamento sull’Intelligenza Artificiale.

Sulla base dei riscontri forniti dalle istituzioni dell’UE, la nuova versione delle linee guida offre indicazioni più chiare e operative per promuovere uno sviluppo e un utilizzo responsabile dei sistemi di intelligenza artificiale generativa.

Tra le principali novità introdotte figurano:

  • una definizione più accurata di IA e di IA generativa, volta a garantire maggiore chiarezza e coerenza terminologica;
  • una nuova checklist di conformità, di taglio pratico, pensata per supportare le istituzioni nella valutazione e verifica della liceità dei trattamenti di dati personali;
  • un chiarimento sui ruoli e sulle responsabilità, per aiutare le istituzioni a individuare correttamente se operano in qualità di titolari, contitolari o responsabili del trattamento;
  • indicazioni approfondite in merito alla base giuridica, alla limitazione delle finalità e alla tutela dei diritti degli interessati nell’ambito dei sistemi di IA generativa.

Comprendere l’IA Generativa

Il documento offre un quadro chiaro dei concetti chiave che si ricollegano al tema dell’IA, come il machine learning, deep learning e large language models (LLM).

La distinzione e la digressione descrittiva mira a dimostrare che i modelli di IA non sono sistemi autonomi, ma componenti di un ecosistema complesso che richiede una governance continua.

In particolare, il Garante individua (pag. 5) cinque fasi del ciclo di vita dell’IA generativa — Scope, Select, Adapt, Evaluate, Integrate — ciascuna delle quali può implicare trattamenti di dati personali distinti e deve essere accompagnata da un’analisi specifica in termini di protezione dei dati.

Ruoli, basi giuridiche e responsabilità

Un aspetto centrale del documento riguarda la definizione dei ruoli secondo il Regolamento (UE) 2018/1725, distinguendo tra titolare, contitolare e responsabile del trattamento.

Tali ruoli, chiarisce il GEDP, non coincidono necessariamente con le figure di “provider”, “developer” o “deployer” previste dall’AI Act.
Particolare attenzione è dedicata, inoltre, alla determinazione della base giuridica, che deve essere distinta per ogni operazione di trattamento e per ciascuna fase del ciclo di vita del sistema.

Nella maggior parte dei casi, per le EUIs la base giuridica applicabile è l’articolo 5(1)(a) del Regolamento, relativo all’esecuzione di un compito di interesse pubblico, mentre l’uso del consenso rimane limitato a situazioni specifiche in cui possa essere effettivamente libero, informato, specifico, inequivocabile e revocabile.

Web scraping, minimizzazione e limitazione della finalità

Il GEDP dedica ampio spazio al tema del web scraping, raccomandandone l’uso con estrema cautela.

Anche i dati personali pubblicamente disponibili restano soggetti alla normativa europea in materia di protezione dei dati, e la raccolta indiscriminata tramite scraping può risultare non conforme se priva di una base giuridica adeguata.

Una delle principali sfide per garantire la liceità del web scraping consiste nello stabilire una base giuridica valida ai sensi dell’articolo 5 del Regolamento. Sebbene il web scraping, di per sé, non sia vietato, le istituzioni dell’Unione europea (EUIs) possono incontrare notevoli difficoltà nell’individuare una base giuridica appropriata nel contesto di questa tecnica di raccolta dati. Ad esempio, fare affidamento sulla base giuridica dell’interesse pubblico (articolo 5, paragrafo 1, lettera a) richiede che la legittimità del trattamento sia stabilita dal diritto dell’Unione. Ciò significa che un’EUI deve essere in grado di giustificare la necessità di utilizzare tecniche di web scraping per l’esecuzione dei compiti che le sono assegnati dal diritto dell’UE.


Tra i principi fondamentali riaffermati figurano il principio di limitazione della finalità, di minimizzazione e di accuratezza dei dati, che devono essere garantiti in tutte le fasi — dallo sviluppo al deployment.

Il GEDP sottolinea che la qualità dei dati è più importante della quantità e che i dataset utilizzati per l’addestramento devono essere pertinenti, proporzionati e continuamente verificati.

Bias, sicurezza e accountability

Le nuove linee guida insistono sulla necessità di identificare e mitigare i bias che possono emergere in qualunque fase dello sviluppo e dell’uso dei modelli di IA generativa. Il documento evidenzia anche i principali rischi di sicurezza specifici di questi sistemi — come model inversion attacks, prompt injection e data poisoning — e raccomanda l’integrazione di controlli tecnici e organizzativi specifici per affrontarli.
Il principio di accountability resta il pilastro della governance: ogni istituzione deve documentare le misure di mitigazione adottate e garantire la tracciabilità delle operazioni di trattamento, assicurando la responsabilità piena e dimostrabile di tutte le fasi del processo.

Il ruolo del DPO e la centralità della DPIA

Il Data Protection Officer (DPO) assume un ruolo centrale nell’assicurare che i sistemi di IA generativa siano progettati e utilizzati in conformità con il Regolamento. Il DPO deve essere coinvolto in tutte le fasi del ciclo di vita del sistema, supportando le valutazioni d’impatto (DPIA), la gestione dei rischi e la verifica della conformità dei contratti con fornitori e sviluppatori.
Il Garante ribadisce che la valutazione d’impatto sulla protezione dei dati è uno strumento imprescindibile per identificare e mitigare i rischi elevati per i diritti e le libertà delle persone, soprattutto in presenza di tecnologie nuove o di trattamenti complessi che comportano profilazione o inferenza automatica.

Verso un’IA affidabile e conforme


Il documento del GEDP rappresenta un punto di riferimento strategico per la costruzione di una IA generativa affidabile, sicura e rispettosa dei diritti fondamentali e coerente con la mission istituzionale europea.

L’approccio proposto dalle Linee guida è pragmatico e flessibile, volto a promuovere una cultura di responsabilità, trasparenza e vigilanza continua.
Le istituzioni europee sono invitate ad adottare un approccio che integri la protezione dei dati fin dalle prime fasi di progettazione e preveda la creazione di task force interdisciplinari dedicate alla gestione etica e conforme dell’IA.

Gli orientamenti, in quanto documento “vivente”, saranno oggetto di ulteriori aggiornamenti e approfondimenti, per continuare ad accompagnare le EUIs nell’evoluzione del quadro regolatorio e tecnologico dell’intelligenza artificiale in Europa.

Di Alessia Palladino
Assegnista di ricerca e Cultore della Materia in «Informatica giuridica» e «Computer Law»  presso l’Università degli Studi di Cagliari

Note

  1. Regolamento (UE) 2018/1725 sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE, https://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=CELEX:32018R1725. ↩︎