3 Ottobre, 2025
L’intelligenza artificiale e le sue implicazioni per la tutela dei diritti e la protezione dei dati personali sono stati al centro dei lavori della 47° edizione della Global Privacy Assembly (GPA), che si svolta dal 15 al 19 settembre a Seoul. I lavori, ospitati dalla Personal Information Protection Commission della Corea del Sud, si sono articolati in sessioni aperte al pubblico, dedicate ai temi più attuali del dibattito, sessioni a porte chiuse riservate alle Autorità di protezione dati per il confronto regolatorio e l’adozione delle risoluzioni, e in eventi paralleli che hanno approfondito questioni emergenti.
Alla GPA 2025, che riunisce oltre 140 Autorità e agenzie di protezione dati e privacy a livello mondiale, ha partecipato anche una delegazione del Garante italiano, composta dalla Vice Presidente Ginevra Cerrina Feroni, e dai componenti del Collegio, Agostino Ghiglia e Guido Scorza.
I lavori si sono conclusi con l’approvazione di tre risoluzioni. La prima, che ha avuto co-sponsor il Garante italiano, affronta i rischi legati all’uso dei dati personali per l’addestramento dei modelli di IA.
Il testo riafferma che le norme sulla protezione dati si applicano pienamente all’intelligenza artificiale e richiama cinque principi fondamentali: base giuridica corretta, limitazione delle finalità, minimizzazione, trasparenza e accuratezza. Le Autorità si impegnano inoltre a sensibilizzare sviluppatori e decisori, a rafforzare il coordinamento nell’enforcement e a condividere esperienze sull’IA generativa. Le altre risoluzioni riguardano una supervisione umana delle decisioni automatizzate che sia reale, effettiva e non formale e l’urgenza di integrare la protezione dei dati nell’educazione digitale, dall’infanzia all’università, attraverso programmi di alfabetizzazione che combattano fenomeni come cyberbullismo, deepfake e furti d’identità.
Nel corso della plenaria Ginevra Cerrina Feroni ha affrontato il tema del “pay or consent”, un modello sempre più diffuso tra piattaforme e siti di informazione che solleva seri dubbi sulla libertà del consenso, soprattutto in assenza di alternative realistiche. La protezione dei dati non può diventare un lusso riservato a chi può pagare, né generare discriminazioni per chi non può permetterselo.
Intervenendo poi durante il panel sul targeted advertisement, la Vicepresidente ha ribadito come la pubblicità online sia lecita solo se trasparente, veritiera e rispettosa della libertà delle persone. In Italia, la base giuridica per il marketing, anche non personalizzato, resta il consenso esplicito, specifico e informato: nessuna casella preselezionata o accettazione implicita, ma una scelta libera e consapevole.
Mentre a proposito dell’utilizzo del legittimo interesse per la pubblicità personalizzata degli utenti, Agostino Ghiglia ha ricordato il provvedimento del 2021 nei confronti di TikTok, in cui il Garante evidenziava il rischio che tale pratica possa coinvolgere anche utenti minorenni, a causa delle difficoltà della piattaforma nel verificare con certezza l’età degli iscritti.
Nella sessione dedicata alle tutele per utenti e consumatori, Guido Scorza ha ribadito l’importanza di affrontare con realismo il tema dei trasferimenti internazionali di dati e la necessità di una vera cooperazione internazionale: non bastano regole uniformi, ma servono anche meccanismi concreti di enforcement che rendano effettivi i principi sanciti dalle norme.
L’Autorità italiana, nel side event dedicato all’open source, ha portato la propria esperienza sulla IA, con i casi Replica, ChatGPT e Deepseek, sottolineando la difficoltà di cooperazione con i fornitori e, in alcuni casi, la necessità di interventi tempestivi come il divieto di uso di tali sistemi sul territorio nazionale. È emersa inoltre la necessità di basi giuridiche chiare per l’uso dei dati nei Large language model (LLM), dal momento che né il consenso né l’interesse legittimo possono rappresentare soluzioni sempre valide.
Tra i side events della GPA 2025, anche quello organizzato dall’Autorità italiana e dall’Ambasciata d’Italia a Seoul, dal titolo “Privacy in the face of the challenges posed by artificial intelligence”.
Proprio su questo tema, il Privacy Tour del Garante italiano, iniziativa che mira a promuovere la cultura della privacy e dell’uso responsabile delle nuove tecnologie nei territori dove è più necessario favorire consapevolezza, dialogo e formazione, è risultato tra i finalisti nella categoria “Education”, dedicata ai progetti più significativi ideati e promossi dalle Autorità e agenzie per la protezione dei dati personali in tutto il mondo.
TELEASSISTENZA
