Privacy

La Privacy by Design è un approccio che prevede l'integrazione della protezione dei dati fin dalla fase di progettazione di un sistema o servizio. Secondo l'articolo 25 del GDPR, il titolare deve mettere in atto misure tecniche e organizzative adeguate per attuare efficacemente i principi di protezione dati. Questo include tecniche come la pseudonimizzazione e la minimizzazione dei dati. La Privacy by Default, invece, stabilisce che per impostazione predefinita devono essere trattati solo i dati personali necessari per la specifica finalità del trattamento e per il periodo strettamente necessario, garantendo che non siano accessibili a un numero indefinito di persone senza l'intervento dell'interessato.

Nell'era digitale, le principali sfide per la privacy includono la difficoltà di controllare efficacemente i propri dati personali nonostante il desiderio di farlo. Come evidenziato in uno studio approfondito, esiste una tensione tra il desiderio di privacy e la capacità di ottenerla. Gli utenti affrontano ostacoli psicologici come l'asimmetria informativa e la razionalità limitata, oltre a fattori economici come gli effetti di rete che favoriscono le piattaforme dominanti. La sorveglianza continua e ubiqua, la raccolta massiccia di dati e l'evoluzione delle tecnologie di tracciamento rendono sempre più difficile per i consumatori proteggere efficacemente la propria privacy, nonostante le numerose strategie adottate quotidianamente.

L'intelligenza artificiale ha un impatto significativo sulla privacy poiché si basa su enormi quantità di dati per addestrare i suoi algoritmi. Secondo recenti studi, molte organizzazioni riconoscono i rischi legati alla privacy e alla governance dei dati nell'adozione dell'AI, ma poche hanno implementato misure complete per mitigarli. Un problema fondamentale è la raccolta massiva di dati personali da fonti pubbliche (webscraping), pratica vietata dal Garante per la protezione dei dati personali. Anche l'anonimizzazione, spesso citata come soluzione, rappresenta un processo complesso che deve rispettare i principi del GDPR e richiede un'informativa trasparente agli interessati.

L'uso dei chatbot AI comporta numerosi rischi per la privacy. Ogni interazione lascia impronte digitali che potrebbero essere archiviate o accessibili a terzi. Nonostante l'interfaccia rassicurante, i chatbot sono sistemi automatizzati che possono conservare temporaneamente le informazioni inserite, analizzarle per migliorare il servizio o farle esaminare da operatori umani. Incidenti come quello di ChatGPT nel marzo 2023, quando un bug ha permesso ad alcuni utenti di visualizzare conversazioni altrui, dimostrano la vulnerabilità di questi sistemi. È particolarmente rischioso condividere dati identificativi, informazioni sanitarie o finanziarie, che potrebbero essere utilizzati per profilazione o esposti in caso di violazioni della sicurezza.

Meta ha annunciato un aggiornamento dell'informativa sulla privacy in vigore dal 16 giugno 2025, con modifiche significative che trasformano il rapporto tra piattaforme digitali e persone fisiche. Un cambiamento rilevante, già attivo dal 27 maggio 2025, consente a Meta di utilizzare contenuti pubblici condivisi su Facebook e Instagram per addestrare i suoi modelli di intelligenza artificiale generativa. Meta giustifica questo trattamento basandosi sul legittimo interesse, ma molti garanti europei contestano questa interpretazione, ritenendo necessario il consenso esplicito degli utenti. La nuova informativa estende il concetto di "interazione" a ogni forma di contatto con l'ambiente digitale di Meta, includendo anche soggetti non autenticati e inferenze comportamentali, alterando l'equilibrio tra garanzie e poteri a favore della piattaforma.

Il Garante Privacy svolge un ruolo cruciale nel bilanciare innovazione tecnologica e diritti fondamentali, come evidenziato dal presidente Pasquale Stanzione. L'Autorità si impegna a garantire che l'innovazione, specialmente nell'ambito dell'intelligenza artificiale, sia al servizio della persona e non viceversa. Il Garante interviene per prevenire vulnerabilità informatiche, contribuendo alla sicurezza di banche dati strategiche e promuovendo una cultura della protezione dei dati. Opera in diversi contesti, dalla sanità al giornalismo, dalla giustizia all'immigrazione, bilanciando esigenze come la condivisione delle informazioni per ricerca e l'efficienza diagnostica con la protezione dei dati sensibili. La protezione dei dati è vista come elemento fondativo di un'impostazione umanocentrica, argine all'esercizio illiberale del potere digitale.

L'uso di tecnologie AI cinesi come DeepSeek comporta rischi significativi per la privacy e i diritti dei cittadini europei. DeepSeek ospita i dati degli utenti su server in Cina, raccogliendo informazioni personali, di utilizzo e dispositivo. L'architettura avanzata dell'AI è particolarmente adatta per operazioni di sicurezza informatica offensive che potrebbero compromettere informazioni sensibili. Un report di Kela ha evidenziato come DeepSeek possa essere utilizzato per attività dannose come la creazione di malware e phishing. La concezione elastica della privacy in Cina e il forte controllo governativo sulle aziende tecnologiche nazionali aumentano il rischio che i dati condivisi sulla piattaforma siano accessibili al governo cinese, creando una tensione con l'approccio europeo centrato sui diritti dei cittadini.

Per adeguarsi alla normativa cinese sulla protezione dei dati personali, le aziende devono navigare in un complesso sistema normativo che include la Personal Information Protection Law (PIPL) e altre normative correlate. Per il trasferimento di dati personali fuori dalla Cina, è necessario soddisfare una delle condizioni previste dall'articolo 38 del PIPL: superare una valutazione di sicurezza del Cyberspace Administration of China (CAC), ottenere una certificazione di protezione dei dati personali, concludere un contratto standard con la controparte estera, o rispettare altre condizioni previste dalla legge. Dal 1° giugno 2023, sono state introdotte le Measures on Standard Contract for Personal Information Exit, che offrono uno strumento più semplice per il trasferimento dei dati, pur mantenendo l'obbligo di depositare la documentazione presso il CAC locale.

Il filtro chiamate AI di Apple, introdotto con iOS 26, solleva importanti questioni di privacy relative al trattamento dei dati vocali. Sebbene Apple sembri implementare un'elaborazione completamente a bordo del dispositivo (a differenza di alcuni sistemi Google che potrebbero trasferire i messaggi vocali sui propri server), questo non è sufficiente per garantire la piena conformità al GDPR. Quando il filtro viene utilizzato per chiamate di lavoro, il chiamato dovrebbe fornire un'informativa sui trattamenti, dichiarare la propria titolarità e garantire l'esercizio dei diritti. L'EDPB ha chiarito che lasciare un messaggio vocale può essere considerato consenso alla registrazione, ma non per trattamenti ulteriori come la conversione della voce in testo, che richiederebbe un'informativa specifica.