L'AI Act europeo introduce il primo quadro giuridico globale per l'IA, bilanciando innovazione, privacy e consenso. La sua implementazione graduale, il Codice di condotta e le intersezioni con il GDPR rappresentano una sfida per sviluppatori e aziende tecnologiche. La conformità richiede categorizzazione del rischio, trasparenza, alfabetizzazione in materia di IA e un consenso valido sui cookie, plasmando il futuro di un'IA affidabile e rispettosa dei diritti in Europa.
Nel 2024 è entrato in vigore l'Artificial Intelligence Act (AI Act) dell'UE, che rappresenta il primo quadro giuridico completo al mondo per l'IA. La sua missione principale dichiarata era quella di promuovere un'IA affidabile, sicura e rispettosa dei diritti in Europa attraverso un approccio normativo basato sul rischio, secondo l'IAPP. Come per tutti gli sviluppi nel settore dell'IA, vi è una notevole preoccupazione per la privacy dei dati, i diritti individuali e il ruolo del consenso nelle equazioni dell'IA. Dov'è l'equilibrio tra la privacy dei dati e i principi dell'AI Act?
Una delle sfide – e dei timori – al centro di questa tensione tra regolamentazione e innovazione è il fatto che, come al solito, la regolamentazione è lenta ad adeguarsi all'innovazione. E l'AI Act non è entrato in vigore tutto in una volta. Ad esempio, i divieti sulle pratiche di IA inaccettabili, come il social scoring, la manipolazione subliminale e il riconoscimento delle emozioni, nonché l'obbligo di alfabetizzazione in materia di IA, sono entrati in vigore all'inizio del 2025, mentre i sistemi di IA ad alto rischio e gli obblighi relativi ai modelli di IA generici non entreranno in vigore prima di agosto 2026.
Tutte le normative che l'Europa intende attuare, incontrano qualche resistenza in altre giurisdizioni. Sebbene alla fine respinta dal Senato degli Stati Uniti, l'attuale amministrazione statunitense ha tentato di vietare agli stati americani di applicare qualsiasi legge che disciplini i modelli di intelligenza artificiale, i sistemi di IA o i sistemi decisionali automatizzati per un massimo di dieci anni. Il punto è che non tutti vogliono regolamentare e supervisionare l'influenza invadente dell'IA.
Tra le altre sfide poco chiare, questo potrebbe avere effetti confusi e potenzialmente disastrosi sulla privacy dei dati, poiché l'uso dell'intelligenza artificiale entra in conflitto con le leggi esistenti sulla privacy e sul consenso. Ma prima di approfondire queste preoccupazioni, diamo un'occhiata al panorama attuale.
I ritardi nella standardizzazione hanno spinto l'UE a introdurre un Codice di condotta volontario per l'IA generica nell'estate del 2025. Offre un quadro pratico per i fornitori di modelli di IA generica per dimostrare la conformità agli obblighi previsti dall'AI Act, come trasparenza, copyright, sicurezza e rischio sistemico.
Le aziende tecnologiche, in particolare i giganti come Google e xAI, hanno per lo più aderito, impegnandosi a rispettare alcune o tutte le disposizioni del Codice, poiché l'adozione del Codice offre alle aziende una maggiore certezza giuridica e una riduzione degli oneri amministrativi rispetto ad altri percorsi di conformità. Nonostante questi impegni, tutti i colossi tecnologici aziendali hanno espresso obiezioni: da Google, che ha avvertito che le normative UE soffocheranno l'innovazione, a Meta, che ha respinto completamente il Codice, citando ambiguità ed eccesso di regolamentazione. Questo, nonostante la Commissione Europea abbia concesso un accesso privilegiato al Codice a diverse grandi aziende statunitensi che ne desiderano un indebolimento. Sembrerebbe che, nonostante tutte le buone intenzioni dell'AI Act, il prodotto finale potrebbe non essere nel migliore interesse dei cittadini europei e della loro privacy.
In definitiva, il Codice cessa di servire il suo scopo apparente – facilitare il rispetto delle norme – a causa di questo tipo di interferenza aziendale, che tratta il Codice come una posizione politica piuttosto che come uno strumento tecnico.
Gli sviluppatori si stanno muovendo in un clima di ambiguità durante l'implementazione graduale. Tutto sembra essere in uno stato di cambiamento, rendendo la conformità un vero grattacapo (l'opposto di ciò che l'AI Act si proponeva di ottenere). Per sviluppatori e aziende tecnologiche, l'IA e l'AI Act comporteranno l'introduzione di una serie di nuove misure.
Alcune di queste misure includono l'introduzione di una diversa categorizzazione dei rischi e la documentazione della progettazione del sistema, la trasparenza e le garanzie sul copyright, la formazione sull'IA per i dipendenti e gli utenti interessati e l'adozione e l'utilizzo di sandbox normative per l'IA.
Sebbene l'AI Act sia principalmente una normativa sulla sicurezza dei prodotti, non una legge sulla privacy, si interseca ampiamente con il GDPR. I dati elaborati dall'IA devono comunque rispettare i diritti e le tutele previsti dal GDPR. Il trattamento basato sui cookie, considerato dato personale, richiede valide basi giuridiche, ovvero il consenso esplicito e/o un interesse legittimo. Ed è qui che alcune funzioni dell'IA incontrano difficoltà.
Il consenso è al centro della maggior parte delle transazioni e interazioni online: la maggior parte dei consumatori ha familiarità con i banner dei cookie e con la necessità di navigare e decidere quali cookie accettare o rifiutare. Con l'IA, si apre un'ondata di nuove considerazioni per sviluppatori e aziende che potrebbero non aver considerato che i sistemi di IA richiedono un nuovo consenso specifico se cambiano le finalità del trattamento dei dati. In altre parole, se i dati degli utenti o i dati dei cookie vengono riutilizzati per addestrare o convalidare i sistemi di IA, il consenso esistente non è valido.
Ciò avviene in un momento in cui le autorità di regolamentazione dell'UE stanno inasprendo l'applicazione dei requisiti di consenso sui cookie, con sanzioni più consistenti per la non conformità. Ciò ha un impatto sui progetti di intelligenza artificiale che si basano sul tracciamento o sulla personalizzazione basati sui cookie, rendendo il consenso valido e la trasparenza delle informative più importanti che mai.
Il panorama europeo della governance dell'IA è in continua evoluzione, ma è ancora in fase di sviluppo e cambiamento. Per sviluppatori e aziende tecnologiche, questo significa:
Comprendere il proprio ruolo e la categoria di rischio: fornitore, distributore, importatore?
Preparare la documentazione e le strategie di trasparenza, anche se ci si affida al Codice di condotta volontario.
Dare priorità alla competenza in materia di IA internamente, insieme ad alleanze di conformità interfunzionali tra team dedicati alla privacy, legali e di ricerca e sviluppo.
Garantire che le pratiche relative a dati e cookie siano conformi agli standard del GDPR, in particolare per quanto riguarda il consenso e il riutilizzo dei dati per l'IA.
Monitorare l'evoluzione dell'applicazione, delle linee guida e degli sforzi di semplificazione su larga scala da parte delle autorità di regolamentazione dell'UE per supportare un'adozione agevole.
Proprio come per il GDPR, le sfide iniziali di conformità possono sembrare schiaccianti, ma adattarsi tempestivamente, costruire una governance solida e dare priorità alla trasparenza aiuterà le aziende non solo a conformarsi, ma anche a guidare la creazione di un'IA etica e affidabile, conforme alle normative sul consenso.
©2025 CookieHub ehf.
