La privacy globale affronta le sfide dell’AI
Al centro dei lavori della 47° edizione della Global Privacy Assembly (GPA) c’è stata l’intelligenza artificiale (AI) e le sue implicazioni per i diritti fondamentali dei cittadini: dall’uso dei dati personali per l’addestramento dei Large Language Models (LLM), fino alle sfide legate alla pubblicità personalizzata e ai trasferimenti internazionali di dati.
Il vertice quest’anno ha riunito oltre 140 Autorità e agenzie di protezione dati da tutto il mondo ed è stato coordinato per l’edizione 2025 dalla Personal Information Protection Commission della Corea del Sud.
Le tre risoluzioni adottate dai Garanti della privacy di tutto il mondo
L’assemblea si è chiusa con l’approvazione di tre risoluzioni di forte rilevanza politica e regolatoria:
- IA e dati personali: co-sponsorizzata dal Garante italiano, riafferma che le norme sulla protezione dei dati si applicano integralmente anche all’IA. Cinque i principi cardine ribaditi: base giuridica corretta, limitazione delle finalità, minimizzazione, trasparenza e accuratezza. Le Autorità si impegnano inoltre a rafforzare l’enforcement, condividere esperienze sull’IA generativa e sensibilizzare sviluppatori e decisori.
- Supervisione umana delle decisioni automatizzate: le decisioni algoritmiche devono essere affiancate da un controllo umano effettivo, non meramente formale.
- Educazione digitale e protezione dei dati: integrare la privacy nei programmi scolastici e universitari per contrastare fenomeni come cyberbullismo, deepfake e furti d’identità.
Cerriva Feroni (Garante Privacy): “La protezione dei dati non può diventare un lusso riservato a chi può pagare”
Alla GPA di Seoul ha partecipato anche una delegazione dell’Autorità italiana per la protezione dei dati personali, composta dalla vice presidente, Ginevra Cerrina Feroni, e dai componenti del Collegio, Agostino Ghiglia e Guido Scorza.
Nel corso della plenaria, Cerrina Feroni ha affrontato il tema del “pay or consent”, un modello sempre più diffuso tra piattaforme e siti di informazione che solleva seri dubbi sulla libertà del consenso, soprattutto in assenza di alternative realistiche.
“La protezione dei dati non può diventare un lusso riservato a chi può pagare, né generare discriminazioni per chi non può permetterselo”, ha sottolineato la vice presidente dell’Autorità italiana.
Intervenendo poi durante il panel sul targeted advertisement, Cerrina Ferroni ha ribadito come la pubblicità online sia lecita “solo se trasparente, veritiera e rispettosa della libertà delle persone”.
In Italia, la base giuridica per il marketing, anche non personalizzato, resta il consenso esplicito, specifico e informato: nessuna casella preselezionata o accettazione implicita, ma una scelta libera e consapevole.
Ghiglia (Garante Privacy) sulla pubblicità personalizzata su TikTok: “Difficoltà nel verificare l’età degli iscritti”
A proposito dell’utilizzo del legittimo interesse per la pubblicità personalizzata degli utenti, Agostino Ghiglia ha ricordato il provvedimento del 2021 nei confronti di TikTok, in cui il Garante evidenziava “il rischio che tale pratica possa coinvolgere anche utenti minorenni, a causa delle difficoltà della piattaforma nel verificare con certezza l’età degli iscritti”.
Scorza (Garante Privacy) sul trasferimento internazionale di dati: “Rendere effettivi i principi sanciti dalle norme”
Nella sessione dedicata alle tutele per utenti e consumatori, Guido Scorza ha ribadito l’importanza di affrontare con realismo il tema dei trasferimenti internazionali di dati e “la necessità di una vera cooperazione internazionale: “non bastano regole uniformi, ma servono anche meccanismi concreti di enforcement che rendano effettivi i principi sanciti dalle norme”.
“La privacy non deve frenare il progresso: deve guidarlo e determinarne il successo. Perché questo accada, come Autorità abbiamo una responsabilità chiara: educare cittadini, utenti e consumatori al valore della privacy. Solo così saranno loro stessi a pretendere trasparenza da chi offre prodotti e servizi. Il nostro compito è promuovere una cultura autentica della privacy, capace di far innamorare le persone del proprio diritto a essere tutelate. Perché soltanto cittadini consapevoli possono spingere l’industria a fare della privacy un fattore di successo sul mercato“, ha scritto sui social Scorza.
Premiato il “Privacy Tour” del Garante italiano
Diciannove Paesi, tra cui l’Italia, hanno poi firmato il “Joint statement on building trustworthy data governance frameworks to encourage development of innovative and privacy-protective AI”. Un impegno collettivo da parte delle Autorità di protezione dati a livello globale a monitorare lo sviluppo della innovazione digitale nel rispetto della privacy by design.
Al Garante italiano è andato il “Education and Public Awareness”, premio per il progetto “Privacy Tour”, ideato da Guido Scorza, che vede l’Autorità impegnata, con passione, a girare l’Italia e raccontare, in tanti diversi contesti, perché la nostra privacy è così importante e perché va tutelata.
“Iniziative come il “Privacy Tour”, sono pensate per mettere al centro l’educazione, costruendo una cultura di cittadini digitali informati e attivi. Questo fa parte di un impegno più ampio per l’educazione civica digitale, che consideriamo un’infrastruttura democratica, non una materia opzionale.
Il nostro approccio è anche coerente con la nuova legge sull’AI, che per la prima volta introduce l’alfabetizzazione sull’AI come principio generale – ha commentato Ghiglia – consentendo ai cittadini di capire come funzionano questi sistemi, cosa significano le decisioni algoritmiche e come esercitare i loro diritti. Il nostro impegno si basa su tre pilastri: proteggere, educare e responsabilizzare.
Abbiamo bisogno di politiche pubbliche, formazione degli insegnanti, iniziative culturali e cooperazione interistituzionale per garantire che i minori non siano destinatari passivi della tecnologia, ma partecipi attivi e consapevoli del loro futuro digitale“.
