Un passo decisivo verso una governance responsabile dell’IA per le Istituzioni UE
<\/h2>\n\n\n\n
Il 28 ottobre 2025 il Garante europeo della protezione dei dati <\/a>(GEPD)<\/strong>\u00a0ha rilasciato le\u00a0Linee guida<\/a><\/strong> riviste e aggiornate <\/strong>sull’uso dell’intelligenza artificiale generativa (\u201cOrientations on Generative Artificial Intelligence and Personal Data Protection<\/em>\u201d) e sul trattamento dei dati personali da parte delle istituzioni<\/strong>, degli organi<\/strong>, degli uffici <\/strong>e delle agenzie <\/strong>(IUE) dell’Unione Europea<\/strong> (UE).<\/p>\n\n\n\n Il documento \u00e8 rivolto a tutte le istituzioni, organi, uffici e agenzie dell\u2019Unione Europea (in seguito “EUIs”) che utilizzano o intendono implementare sistemi di IA generativa nel pieno rispetto delle norme sulla protezione dei dati personali previste dal Regolamento <\/a>(UE) 2018\/1725 (EUDPR)<\/strong>1<\/a><\/sup>.<\/p>\n\n\n\n Le Linee guida sono state emanate ed aggiornate dal GEPD nel suo ruolo di autorit\u00e0 di controllo per la protezione dei dati<\/strong>: si tratta, dunque, di un documento che si inserisce nell\u2019ambito di applicazione del Regolamento 2018\/1725<\/strong> e che mira a sostenere le istituzioni europee nell\u2019uso conforme dei sistemi di IA generativa, in misura armonica con l’operativit\u00e0 dell\u2019AI Act.<\/strong><\/p>\n\n\n\n Le nuove Linee guida del 2025 ampliano <\/strong>le prime pubblicate nel 2024<\/strong>, fornendo chiarimenti, esempi e strumenti pratici<\/strong> per affrontare le principali criticit\u00e0 nel trattamento dei dati personali durante la progettazione, lo sviluppo e l\u2019adozione di questi sistemi. Sulla base dei riscontri forniti dalle istituzioni dell\u2019UE, la nuova versione delle linee guida offre indicazioni pi\u00f9 chiare e operative per promuovere uno sviluppo e un utilizzo responsabile dei sistemi di intelligenza artificiale generativa. <\/p>\n\n\n\n Tra le principali novit\u00e0 <\/strong>introdotte figurano:<\/p>\n\n\n\n Il documento offre un quadro chiaro dei concetti chiave che si ricollegano al tema dell’IA, come il machine learning, deep learning e large language models (LLM)<\/strong>.<\/p>\n\n\n\n La distinzione e la digressione descrittiva mira a dimostrare che i modelli di IA non sono sistemi autonomi, ma componenti di un ecosistema complesso<\/strong> che richiede una governance <\/em>continua.<\/p>\n\n\n\n In particolare, il Garante individua (pag. 5) cinque fasi <\/strong>del ciclo di vita dell\u2019IA generativa \u2014 Scope, Select, Adapt, Evaluate, Integrate<\/strong><\/em> \u2014 ciascuna delle quali pu\u00f2 implicare trattamenti di dati personali distinti e deve essere accompagnata da un\u2019analisi specifica in termini di protezione dei dati.<\/p>\n\n\n\n <\/a><\/p>\n\n\n\n Un aspetto centrale <\/strong>del documento riguarda la definizione dei ruoli<\/strong> secondo il Regolamento (UE) 2018\/1725, distinguendo tra titolare, contitolare e responsabile del trattamento<\/strong>. <\/p>\n\n\n\n Tali ruoli, chiarisce il GEDP, non coincidono<\/strong> necessariamente con le figure di \u201cprovider\u201d, \u201cdeveloper\u201d o \u201cdeployer\u201d previste dall\u2019AI Act. Nella maggior parte dei casi, per le EUIs la base giuridica applicabile \u00e8 l\u2019articolo 5(1)(a)<\/strong> del Regolamento, relativo all\u2019esecuzione di un compito di interesse pubblico<\/strong>, mentre l\u2019uso del consenso<\/strong> rimane limitato a situazioni specifiche in cui possa essere effettivamente libero<\/strong>, informato<\/strong>, specifico<\/strong>, inequivocabile<\/strong> e revocabile<\/strong>.<\/p>\n\n\n\n Il GEDP dedica ampio spazio al tema del web scraping<\/strong>, raccomandandone l\u2019uso con estrema cautela<\/strong>. <\/p>\n\n\n\n Anche i dati personali pubblicamente disponibili restano soggetti alla normativa europea in materia di protezione dei dati, e la raccolta indiscriminata tramite scraping pu\u00f2 risultare non conforme se priva di una base giuridica adeguata.<\/p>\n\n\n\n Una delle principali sfide per garantire la liceit\u00e0 del web scraping<\/strong> consiste nello stabilire una base giuridica valida<\/strong> ai sensi dell\u2019articolo 5 del Regolamento. Sebbene il web scraping, di per s\u00e9, non sia vietato<\/strong>, le istituzioni dell\u2019Unione europea (EUIs<\/strong>) possono incontrare notevoli difficolt\u00e0 nell\u2019individuare una base giuridica appropriata nel contesto di questa tecnica di raccolta dati. Ad esempio, fare affidamento sulla base giuridica dell\u2019interesse pubblico<\/strong> (articolo 5, paragrafo 1, lettera a) richiede che la legittimit\u00e0 del trattamento sia stabilita dal diritto dell\u2019Unione<\/strong>. Ci\u00f2 significa che un\u2019EUI deve essere in grado di giustificare la necessit\u00e0 di utilizzare tecniche di web scraping<\/strong> per l\u2019esecuzione dei compiti che le sono assegnati dal diritto dell\u2019UE.<\/p>\n\n\n\n Il GEDP sottolinea che la qualit\u00e0 dei dati<\/strong> \u00e8 pi\u00f9 importante della quantit\u00e0 e che i dataset utilizzati per l\u2019addestramento devono essere pertinenti, proporzionati e continuamente verificati.<\/p>\n\n\n\n Le nuove linee guida insistono sulla necessit\u00e0 di identificare e mitigare i bias<\/strong> che possono emergere in qualunque fase dello sviluppo e dell\u2019uso dei modelli di IA generativa. Il documento evidenzia anche i principali rischi di sicurezza<\/strong> specifici di questi sistemi \u2014 come model inversion attacks<\/em>, prompt injection<\/em> e data poisoning<\/em> \u2014 e raccomanda l\u2019integrazione di controlli tecnici e organizzativi specifici per affrontarli. Il Data Protection Officer (DPO)<\/strong> assume un ruolo centrale nell\u2019assicurare che i sistemi di IA generativa siano progettati e utilizzati in conformit\u00e0 con il Regolamento. Il DPO deve essere coinvolto in tutte le fasi del ciclo di vita del sistema, supportando le valutazioni d\u2019impatto (DPIA), la gestione dei rischi e la verifica della conformit\u00e0 dei contratti con fornitori e sviluppatori. L\u2019approccio proposto dalle Linee guida \u00e8 pragmatico e flessibile, volto a promuovere una cultura di responsabilit\u00e0, trasparenza e vigilanza continua. Gli orientamenti, in quanto documento \u201cvivente\u201d, saranno oggetto di ulteriori aggiornamenti e approfondimenti<\/strong>, per continuare ad accompagnare le EUIs nell\u2019evoluzione del quadro regolatorio e tecnologico dell\u2019intelligenza artificiale in Europa.<\/p>\n\n\n\n Di Alessia Palladino<\/strong> Note<\/p>\n\n\n <\/p>\n","protected":false},"excerpt":{"rendered":" Il Garante europeo della protezione dei dati (GEPD) ha pubblicato il 28 ottobre 2025 le Linee guida riviste e aggiornate sull’uso dell’intelligenza artificiale generativa (\u201cOrientations on Generative Artificial Intelligence and Personal Data Protection\u201d) e sul trattamento dei dati […]<\/p>\n","protected":false},"author":9973,"featured_media":1124,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_coblocks_attr":"","_coblocks_dimensions":"","_coblocks_responsive_height":"","_coblocks_accordion_ie_support":"","footnotes":"[{\"id\":\"9473d7c2-b221-4bda-9991-4c4158fc5dff\",\"content\":\"Regolamento (UE) 2018\\\/1725 sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell\\u2019Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n.\\u00a045\\\/2001 e la decisione n.\\u00a01247\\\/2002\\\/CE, https:\\\/\\\/eur-lex.europa.eu\\\/legal-content\\\/IT\\\/TXT\\\/HTML\\\/?uri=CELEX:32018R1725<\\\/a>.<\\\/em> \"}]"},"categories":[1],"tags":[13,14,11,10,8,12,15],"class_list":["post-1113","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-news-ed-eventi","tag-artificial-intelligence","tag-cybersecurity","tag-dataprotection","tag-etica","tag-ia","tag-intelligenza_artificiale","tag-sicurezza"],"_links":{"self":[{"href":"https:\/\/sites.unica.it\/ict4lawforensics\/wp-json\/wp\/v2\/posts\/1113","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sites.unica.it\/ict4lawforensics\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sites.unica.it\/ict4lawforensics\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sites.unica.it\/ict4lawforensics\/wp-json\/wp\/v2\/users\/9973"}],"replies":[{"embeddable":true,"href":"https:\/\/sites.unica.it\/ict4lawforensics\/wp-json\/wp\/v2\/comments?post=1113"}],"version-history":[{"count":10,"href":"https:\/\/sites.unica.it\/ict4lawforensics\/wp-json\/wp\/v2\/posts\/1113\/revisions"}],"predecessor-version":[{"id":1126,"href":"https:\/\/sites.unica.it\/ict4lawforensics\/wp-json\/wp\/v2\/posts\/1113\/revisions\/1126"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sites.unica.it\/ict4lawforensics\/wp-json\/wp\/v2\/media\/1124"}],"wp:attachment":[{"href":"https:\/\/sites.unica.it\/ict4lawforensics\/wp-json\/wp\/v2\/media?parent=1113"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sites.unica.it\/ict4lawforensics\/wp-json\/wp\/v2\/categories?post=1113"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sites.unica.it\/ict4lawforensics\/wp-json\/wp\/v2\/tags?post=1113"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
Il GEPD specifica inoltre che la guida avr\u00e0 carattere dinamico<\/strong>, potendo essere aggiornata nel tempo per riflettere l\u2019evoluzione tecnologica e normativa del settore. pregiudizio del Regolamento sull\u2019Intelligenza Artificiale<\/strong><\/a>.<\/p>\n\n\n\n\n
Comprendere l’IA Generativa<\/h2>\n\n\n\n
![\"\"](\"https:\/\/sites.unica.it\/ict4lawforensics\/files\/2025\/10\/image-1.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/sites.unica.it\/ict4lawforensics\/files\/2025\/10\/image-2.png\")
<\/figure>\n\n\n\nRuoli, basi giuridiche e responsabilit\u00e0
<\/h2>\n\n\n\n
Particolare attenzione \u00e8 dedicata, inoltre, alla determinazione della base giuridica<\/strong>, che deve essere distinta per ogni operazione di trattamento e per ciascuna fase del ciclo di vita del sistema. <\/p>\n\n\n\nWeb scraping, minimizzazione e limitazione della finalit\u00e0
<\/h2>\n\n\n\n
Tra i principi fondamentali riaffermati figurano il principio di limitazione della finalit\u00e0<\/strong>, di minimizzazione<\/strong> e di accuratezza dei dati<\/strong>, che devono essere garantiti in tutte le fasi \u2014 dallo sviluppo al deployment.<\/p>\n\n\n\nBias, sicurezza e accountability
<\/h2>\n\n\n\n
Il principio di accountability<\/strong> resta il pilastro <\/strong>della governance: ogni istituzione deve documentare le misure di mitigazione adottate e garantire la tracciabilit\u00e0 delle operazioni di trattamento, assicurando la responsabilit\u00e0 piena e dimostrabile di tutte le fasi del processo.<\/p>\n\n\n\nIl ruolo del DPO e la centralit\u00e0 della DPIA<\/h2>\n\n\n\n
Il Garante ribadisce che la valutazione d\u2019impatto sulla protezione dei dati<\/strong> \u00e8 uno strumento imprescindibile per identificare e mitigare i rischi elevati per i diritti e le libert\u00e0 delle persone, soprattutto in presenza di tecnologie nuove o di trattamenti complessi che comportano profilazione o inferenza automatica.<\/p>\n\n\n\nVerso un\u2019IA affidabile e conforme<\/h2>\n\n\n\n
Il documento del GEDP rappresenta un punto di riferimento strategico<\/strong> per la costruzione di una IA generativa affidabile, sicura e rispettosa dei diritti fondamentali<\/strong> e coerente con la mission istituzionale europea. <\/p>\n\n\n\n
Le istituzioni europee sono invitate ad adottare un approccio che integri la protezione dei dati fin dalle prime fasi di progettazione e preveda la creazione di task force interdisciplinari<\/strong> dedicate alla gestione etica e conforme dell\u2019IA.<\/p>\n\n\n\n
Assegnista di ricerca e Cultore della Materia in \u00abInformatica giuridica\u00bb e \u00abComputer Law\u00bb presso l\u2019Universit\u00e0 degli Studi di Cagliari<\/em><\/p>\n\n\n\n
\n\n\n\n