Intelligenza Artificiale e protezione dei dati personali: rapporti tra fonti e tra ordinamenti e problemi pratici per gli operatori.

L’Avv. Alessandro Del Ninno ha partecipato in qualità di relatore al convegno Paradigma intitolato “I profili data protection dell’Intelligenza Artificiale”, svoltosi il 31 marzo 2026 e dedicato all’analisi delle questioni in materia di trattamento dei dati personali poste dall’applicazione dell’AI Act, degli orientamenti delle autorità europee e degli adeguamenti richiesti sotto il profilo della compliance. Nell’ambito del programma, il suo intervento ha avuto ad oggetto il tema “Intelligenza Artificiale e protezione dei dati personali: rapporti tra fonti e tra ordinamenti e problemi pratici per gli operatori”, collocandosi come momento introduttivo e sistematico dell’intera giornata di studio. 

 

Nel corso della relazione, l’Avv. Del Ninno ha illustrato il quadro normativo entro cui si colloca oggi il rapporto tra intelligenza artificiale e protezione dei dati personali, soffermandosi anzitutto sulla nozione di “dato” nel panorama regolatorio europeo e sulle distinzioni tra dati personali, dati non personali, documenti elettronici e documenti informatici. Su questa base, ha evidenziato come l’AI Act non si ponga in termini sostitutivi rispetto al GDPR, ma operi in rapporto di complementarità con esso, lasciando al Regolamento generale sulla protezione dei dati il ruolo di disciplina di riferimento per la liceità del trattamento, i diritti degli interessati e le garanzie applicabili ogniqualvolta un sistema di IA implichi l’uso di dati personali. 

 

Particolare attenzione è stata dedicata al rapporto tra l’approccio basato sul rischio proprio del GDPR e quello adottato dall’AI Act. L’intervento ha messo in luce come, mentre nel GDPR il rischio e il rischio elevato richiedono valutazioni in larga parte rimesse al titolare del trattamento, nel Regolamento europeo sull’intelligenza artificiale la qualificazione di un sistema come “ad alto rischio” discenda da criteri normativi più tipizzati e da elenchi legislativamente predeterminati. Da qui l’analisi dei punti di contatto e delle possibili sovrapposizioni tra le due discipline, soprattutto nei casi in cui i sistemi di IA ad alto rischio comportino trattamenti di dati personali suscettibili di integrare anche un rischio elevato ai sensi dell’art. 35 GDPR.

 

L’Avv. Del Ninno ha poi approfondito i principali rinvii testuali dell’AI Act al GDPR, soffermandosi in particolare sugli obblighi dei deployer, sui rapporti tra valutazione d’impatto sui diritti fondamentali e DPIA, sui profili relativi ai log generati dai sistemi di IA, nonché sulle attestazioni di conformità e sugli obblighi informativi da registrare nella banca dati europea per i sistemi ad alto rischio. L’analisi ha posto in evidenza come il coordinamento tra i due regolamenti non sia meramente teorico, ma si traduca in precisi obblighi documentali, organizzativi e di governance che imprese e amministrazioni devono presidiare sin dalle fasi di progettazione e messa in uso dei sistemi.

 

Un ulteriore focus ha riguardato il sistema di data governance delineato dall’art. 10 dell’AI Act per i sistemi di IA ad alto rischio. In tale ambito, l’intervento ha esaminato i requisiti di qualità dei dataset utilizzati per l’addestramento, la convalida e il test dei modelli, le esigenze di rappresentatività, esattezza e completezza dei dati, nonché le cautele richieste per prevenire bias, discriminazioni e risultati distorti. È stato inoltre illustrato il delicato tema del possibile trattamento di categorie particolari di dati personali per finalità di rilevazione e correzione delle distorsioni, evidenziando le condizioni di stretta necessità, pseudonimizzazione e sicurezza che devono assistere tali trattamenti.

 

Nella parte conclusiva della relazione, l’Avv. Del Ninno ha richiamato i più recenti sviluppi del pacchetto Digital Omnibus, illustrando le proposte di modifica al GDPR rilevanti per il contesto dell’intelligenza artificiale. In particolare, sono stati esaminati i possibili ampliamenti delle deroghe al trattamento di categorie particolari di dati, le modifiche in tema di decisioni integralmente automatizzate, il rafforzamento delle logiche di minimizzazione e pseudonimizzazione e la prospettata introduzione di specifiche disposizioni sul trattamento dei dati personali nello sviluppo e nel funzionamento di sistemi e modelli di IA. L’intervento ha così offerto ai partecipanti una lettura integrata dell’evoluzione normativa europea, mettendo in rilievo le ricadute operative per titolari, responsabili, deployer, fornitori tecnologici e DPO.

 

Attraverso questo contributo, l’Avv. Alessandro Del Ninno ha fornito una chiave di lettura sistematica e operativa dei rapporti tra AI Act, GDPR e ulteriori fonti europee in materia di dati, piattaforme e governance digitale, evidenziando come la compliance in ambito AI richieda oggi un modello integrato, capace di coniugare innovazione tecnologica, tutela dei diritti fondamentali e solidità dei presidi organizzativi.

Programma del Convegno