L’entrata in vigore della Legge 132 del 2025 segna un punto di svolta per il rapporto tra intelligenza artificiale e tutela dei dati personali in Italia.
Il legislatore ha scelto di intervenire con una norma organica che integra il quadro europeo delineato dal Regolamento generale sulla protezione dei dati (GDPR) con regole specifiche per l’uso e lo sviluppo dell’intelligenza artificiale.
Scopri i contenuti di questa proposta continuando a leggere.
Il legislatore ha scelto di intervenire con una norma organica che integra il quadro europeo delineato dal Regolamento generale sulla protezione dei dati (GDPR) con regole specifiche per l’uso e lo sviluppo dell’intelligenza artificiale.
Scopri i contenuti di questa proposta continuando a leggere.
LEGGE 132/2025 E GDPR: AI E PRIVACY DALLA TEORIA ALLA NORMA
Il GDPR, adottato a livello europeo nel 2016, resta il pilastro fondamentale su cui si basa l’intero sistema di protezione dei dati.
I suoi principi — liceità, correttezza, trasparenza, minimizzazione, integrità e responsabilità — continuano a costituire la cornice di riferimento anche per l’AI.
Tuttavia, la rapidità con cui le tecnologie di apprendimento automatico si sono diffuse ha reso necessario un adattamento normativo, capace di affrontare rischi nuovi come la discriminazione algoritmica, la mancanza di trasparenza decisionale o la difficoltà di esercitare i diritti degli interessati nei confronti di sistemi automatizzati.
È in questo contesto che si colloca la Legge 132/2025, che non sostituisce il GDPR ma lo integra, introducendo principi e obblighi specifici per garantire un uso dell’intelligenza artificiale coerente con la tutela dei diritti fondamentali.
L’articolo 4 della nuova normativa ribadisce che ogni trattamento di dati personali effettuato tramite sistemi di AI deve avvenire in modo lecito, corretto e trasparente, nel rispetto delle finalità originarie della raccolta e in conformità al diritto dell’Unione europea.
La legge impone inoltre che la progettazione e l’uso di sistemi intelligenti siano improntati ai principi della “privacy by design” e della “privacy by default”, rafforzando così l’obbligo di sicurezza lungo l’intero ciclo di vita dei modelli: dall’addestramento, alla sperimentazione, fino all’impiego operativo.
L’integrazione tra GDPR e normativa italiana sull’AI consiste nella capacità della legge nazionale di dettagliare e concretizzare le regole europee.
Il legislatore ha scelto di estendere la valutazione d’impatto sulla protezione dei dati (DPIA), prevista dal GDPR per i trattamenti ad alto rischio, introducendo una versione specifica per i progetti di intelligenza artificiale.
In essa devono essere considerati anche i rischi etici, sociali e discriminatori, come la possibilità che un algoritmo produca effetti ingiusti o non spiegabili.
Tra i principi cardine della legge spiccano la trasparenza e la spiegabilità.
Non è più sufficiente dichiarare che un sistema tratta dati personali: chi utilizza l’intelligenza artificiale deve rendere comprensibili le logiche che ne guidano le decisioni, fornendo informazioni chiare, accessibili e in linguaggio semplice.
Viene così introdotto un doppio livello di trasparenza, che riguarda sia i dati trattati sia il funzionamento interno dei modelli.
Allo stesso modo, l’uso massivo di dati per addestrare modelli predittivi deve essere sempre proporzionato allo scopo, e dove possibile vanno impiegate tecniche di anonimizzazione, pseudonimizzazione o sintesi dei dati.
LEGGE 132/2025: MODALITÀ OPERATIVE, OBBLIGHI E SANZIONI
Sul piano organizzativo, la Legge 132/2025 richiede alle imprese e alle pubbliche amministrazioni di rivedere la propria governance interna.
Il ruolo del Data Protection Officer si amplia, includendo la valutazione dei rischi specifici legati all’IA, e possono essere introdotte figure nuove come l’“AI Ethics Officer”, incaricato di assicurare che i progetti rispettino principi di trasparenza, equità e non discriminazione.
Le organizzazioni sono chiamate ad adottare politiche interne per l’uso etico e responsabile dell’AI, istituire comitati di vigilanza e promuovere programmi di formazione per sviluppatori, data scientist e dirigenti.
Gli obblighi tecnici e operativi delineati dalla legge riflettono la complessità dei sistemi di AI contemporanei.
Viene richiesta una gestione attenta della sicurezza informatica, la tracciabilità delle decisioni e la possibilità di audit periodici sui modelli.
Inoltre, la legge incoraggia l’uso di tecniche di “explainable AI”, che consentano di comprendere come il sistema giunge a una determinata decisione, e promuove lo sviluppo di strumenti di “machine unlearning” per consentire la cancellazione effettiva dei dati personali anche dai modelli addestrati.
Dal punto di vista sanzionatorio, la Legge 132/2025 mantiene il quadro del GDPR, che prevede multe fino al 4% del fatturato mondiale annuo, ma introduce aggravanti specifiche per i reati commessi mediante sistemi di intelligenza artificiale.
Allo stesso tempo, riconosce il valore strategico della ricerca scientifica e dell’innovazione, prevedendo procedure semplificate per l’utilizzo dell’IA in ambito sanitario, considerato di rilevante interesse pubblico.
Si tratta di un tentativo di bilanciare tutela dei dati e progresso scientifico, evitando che la normativa diventi un ostacolo all’innovazione.
Nel complesso, la Legge 132/2025 rappresenta un passo decisivo verso una regolazione matura dell’intelligenza artificiale, che supera la logica della mera autodisciplina per tradurre in norme vincolanti i principi di etica, trasparenza e tutela della persona.
Se vuoi avere altre informazioni sulla Legge 132/2025 o hai necessità di un aiuto su DGPR e privacy per la tua azienda o startup, contattaci subito.
Scrivici all’indirizzo info@abinnovationconsulting.com, oppure compila il modulo che trovi di seguito.
