Del Dott. Enrico Ferrante – Data Protection Officer
L’intelligenza artificiale è ormai entrata stabilmente nei processi delle organizzazioni: dall’algoritmo che decide l’esito di una richiesta di credito, al sistema che seleziona i curricula, fino ai modelli generativi utilizzati per scrivere contenuti o analizzare grandi quantità di dati. In questo scenario, il Data Protection Officer (DPO) – ruolo ormai svolto con continuità da quasi un decennio – non è più solo “il garante interno del GDPR”, ma diventa il collante fra business, tecnologia, diritto ed etica, chiamato a stare al passo con un quadro regolatorio sempre più ampio ed articolato.

Non vi è dubbio che il punto di partenza resta il GDPR, che si applica a qualsiasi trattamento di dati personali anche quando effettuato tramite sistemi di IA, sia tradizionali sia generativi. Non esiste, quindi, un “vuoto normativo”: l’IA è una tecnologia e, come tale, è pienamente soggetta ai principi di liceità, correttezza, trasparenza, minimizzazione, esattezza e limitazione della conservazione.

A questi granitici principi previsti dal GDPR, si aggiunge oggi l’AI Act, il Regolamento Europeo che introduce una disciplina specifica per i sistemi di IA, con un approccio basato sul rischio.
Per i DPO questo significa che, oltre al GDPR, occorre conoscere e prendere in considerazione un ulteriore quadro normativo che, inevitabilmente, incide su progettazione, qualificazione dei sistemi e governance interna.

​Parallelamente, poi, l’Unione europea ha varato altri strumenti che toccano direttamente o indirettamente i trattamenti di dati personali connessi all’IA (Digital Services Act, Digital Markets Act, Data Governance Act), mentre a livello nazionale vanno senz’altro considerati gli interventi del Garante Privacy, che sin dal 2023 è più volte intervenuto sul tema, fissando paletti su basi giuridiche, informative, diritti degli interessati e limiti alla profilazione.

Il risultato è, quindi, una “galassia normativa” in cui non è più realistico pensare che al DPO basti conoscere bene solo il GDPR e il Codice Privacy: deve saper leggere le intersezioni tra regolamenti diversi e tradurle in regole interne comprensibili e applicabili alle attività di trattamento.

Base giuridica, finalità e minimizzazione

Il primo nodo da sciogliere per un DPO quando si trova di fronte ad un trattamento di dati personali correlato all’utilizzo dell’Intelligenza Artificiale è la base giuridica: non esiste una “base giuridica speciale” per l’I.A.
Il titolare deve individuare, infatti, se il trattamento posto in essere si fonda sul consenso, contratto, obbligo legale, interesse pubblico o legittimo interesse, verificando che le condizioni siano davvero rispettate.

​Spesso, in ambito IA, si tende a ragionare in termini di “più dati è meglio”: questa spinta entra in tensione con i principi di minimizzazione e limitazione delle finalità, che impongono di raccogliere solo i dati necessari e di non riutilizzarli per scopi incompatibili senza una nuova base giuridica e una nuova informativa. Il DPO deve aiutare il titolare a resistere alla tentazione del data lake senza confini, chiarendo che l’efficienza statistica non può travolgere i principi di protezione dei dati.

​

DPIA e valutazioni di impatto rafforzate

Molti casi d’uso dell’IA rientrano tra i trattamenti ad alto rischio che rendono obbligatoria una valutazione d’impatto sulla protezione dei dati (DPIA): si pensi, ad esempio, all’uso di sistemi di IA in sanità, alla videosorveglianza intelligente, alla profilazione su larga scala per fini di marketing, o all’impiego di sistemi generativi connessi a dati dei clienti.

​Pertanto, in tali delicati contesti, il ruolo del DPO è fondamentale; egli, infatti, è chiamato a verificare che la valutazione di impatto venga preceduta da un serio processo di analisi dei rischi, oltre a strutturare dialoghi concreti con i team tecnici per tradurre i principi normativi in requisiti concreti (anonimizzazione, pseudonimizzazione, data governance, logging, controlli di accesso, ecc.).

​

Nuove responsabilità di governance: il DPO “architetto” dei controlli

L’AI Act, pur non istituendo una figura obbligatoria analoga al DPO, prevista dal GDPR, chiede di costruire un sistema di governance dei sistemi ad alto rischio.  Proprio per questo, in molte organizzazioni si stanno creando task force con competenze legali, tecnologiche, di sicurezza e di business, in cui il DPO è naturalmente chiamato a partecipare.
Il suo contributo, infatti, non è solo quello di controllore finale, ma di co–progettista sia nella definizione delle policy aziendali sull’uso dell’IA, sia nella scelta dei fornitori, sia nella definizione dei ruoli privacy in filiere contrattuali sempre più complesse.

​In altri termini, il DPO non può limitarsi a dare un proprio parere al termine del processo di implementazione del sistema di A.I. ma deve essere coinvolto fin dalle primissime fasi di analisi del business case, in ottica di privacy by design e by default.

​

Il DPO: un ruolo sempre più strategico

In conclusione, va evidenziato che l’IA obbliga le organizzazioni a guardare alla protezione dei dati non come a un mero tema di compliance, ma come a una componente strutturale della propria affidabilità sul mercato. Un sistema di IA che discrimina o, peggio ancora, che tratta i dati personali in modo poco trasparente, non è solo un rischio di sanzione: è un rischio di perdita di fiducia da parte di clienti e dipendenti.

In questo contesto, il DPO assume un ruolo sempre più strategico: da un lato, come “architetto” dei controlli, che contribuisce a disegnare processi e misure in grado di rendere l’innovazione tecnologica aziendale sempre più sostenibile, dall’altro, come “ponte” tra culture e figure professionali diverse (giuridica, tecnica, organizzativa), che spesso faticano a parlarsi.

Non v’è dubbio che le sfide sono molte: dalla necessità di aggiornarsi continuamente, alla gestione di progetti IA sempre più pervasivi, fino al confronto con Autorità che, a loro volta, stanno definendo prassi e orientamenti sul tema.

Ma è proprio in questo incrocio fra innovazione e diritti disciplinati da normative sempre più corpose che il DPO può dimostrare tutta la propria utilità, ossia aiutare le organizzazioni ad usare ed implementare sistemi di intelligenza artificiale in modo conforme, trasparente e rispettoso degli utilizzatori finali.