IA: DIVIETO DI MANIPOLAZIONI A SFONDO SESSUALE
Il Consiglio dell’Unione europea e il Parlamento europeo a inizio maggio hanno siglato un Accordo Provvisorio sulle modifiche ad alcune parti del Regolamento europeo sull’intelligenza artificiale (AI Act), nell’ambito di un pacchetto chiamato “Omnibus Digitale VII” creato per semplificare la macchina pubblica nella UE. In sostanza, il Consiglio e Parlamento hanno rimandato interventi normativi sui controlli sui sistemi IA ad alto rischio, mentre sono intervenuti con forza con una nuova clausola volta a vietare totalmente i deepfake generati da IA per ricattare le persone con scene a sfondo sessuale, che potrebbero riguardare anche i minori. Inoltre i legislatori hanno stabilito, come da proposta del Consiglio, che sarà obbligatorio per tutti i fornitori registrare sempre i sistemi IA che intendono mettere in commercio, anche se secondo loro non presentano rischi. Un altro passo importante è stato far passare l’AI sulle macchine da una sezione a controllo da parte della Commissione AI-UE e sottoposta all’IA Act (sezione A) a una a controllo del settore (sezione B) e quindi sottoposta ad atti delegati del settore. Per cui la conformità dei sistemi di IA nei macchinari sarà valutata esclusivamente nell’ambito della legislazione settoriale, anche quando tali sistemi svolgano funzioni di sicurezza. Sulle scadenze, l’accordo prevede che entro il 2 agosto 2027 gli Stati membri creino spazi di sperimentazione normativa dedicati ai sistemi di intelligenza artificiale (detti sandbox) e che entro tale data la Commissione stabilisca anche le categorie di IA ad alto rischio e i controlli previsti. Ora l’accordo provvisorio dovrà ora essere approvato formalmente dal Consiglio dell’Unione europea e dal Parlamento europeo e quindi il testo sarà sottoposto alla revisione giuridico-linguistica necessaria per verificare coerenza normativa e correttezza formale delle disposizioni. L’applicazione del documento dovrebbe essere 2 dicembre 2027 per i sistemi di IA ad alto rischio indipendenti e 2 agosto 2028 per i sistemi IA ad alto rischio integrati in prodotti. Sull’IA Act permangono parecchi dubbi da parte degli esperti circa la gestione centralizzata del controllo sui dispositivi IA da parte della Commissione e del suo Ufficio IA e della relativa Banca dati IA (per chi fosse interessato consigliamo l’esaustivo libro a cura di Franco Pizzetti, “La regolazione europea dell’intelligenza artificiale nella società digitale”, Giappichelli editore, Torino, appena pubblicato).
ALBERGHI, B&B NON POSSONO CONSERVARE DOCUMENTI A LUNGO
Il Garante ha emanato una nota sul limite di conservazione delle fotocopie dei documenti dei clienti che vengono ospitati in alberghi o altre strutture ricettive. Infatti molti B&B ormai sono ricorsi alla modalità online, facendosi inviare i documenti in anticipo e a volte anche via social dai clienti, per poter effettuare la registrazione prevista per legge, presso un portale gestito dal Ministero dell’Interno, secondo una norma del 1931 e poi del 2021. Terminata la pratica però la fotocopia o foto del documento d’identità va distrutta. L’unica cosa che va conservata per 5 anni è la copia dell’avvenuta trasmissione. Il Garante ha proceduto alla nota dopo numerose lamentele degli utenti e episodi di data breach che hanno riguardato grandi catene e hanno comportato il furto anche di numeri di carte di credito, fino a dati relativi alla salute delle persone, ad esempio i celiaci per predisporre la prima colazione. Effettuata la registrazione, il titolare può conservare solo copia dell’effettiva comunicazione.
EDPB PUBBLICA SINTESI SU OBLIO ONLINE
Il board europeo dei Garanti privacy ha pubblicato una sintesi sul diritto all’oblio online. Il documento si rifà a delle Linee Guida 5/2019 aggiornate poi nel 2020. In sostanza il documento suggerisce prima di tutto di sentire il legale o il legal team aziendale in caso arrivi una domanda di oblio e di verificare se la pubblicazione coinvolge dei minorenni. Se la diffusione della notizia implica la libertà di opinione e di stampa, in italiano lo chiamiamo diritto di cronaca, la richiesta viene rifiutata. Spesso si tratta infatti di persone famose, politici conosciuti o di fatti che restano di interesse pubblico. Altrimenti si procede al delistening. Il testo ha anche il pregio di riportare alcuni casi pratici. https://www.edpb.europa.eu/system/files/2026-06/edpb-factsheet-search-engine-delisting_en.pdf
GARANTE AVVIA INCHIESTA SU USO IA IN SCUOLE SALESIANE
Il Centro nazionale opere salesiane Scuole ha ricevuto una richiesta di specifiche da parte del Garante privacy italiano, dopo aver avviato una sperimentazione di utilizzo dell’IA negli istituti coinvolgendo 1.600 insegnanti e 29 mila studenti. Secondo quanto è emerso sulla stampa, il progetto interesserebbe anche Google e relativi cloud. La notizia ci interessa in quanto in molte aziende i dipendenti usano l’IA anche senza il consenso e la consapevolezza del Titolare. Si consiglia alle aziende di normare con delle Policy l’utilizzo dell’IA suggerendo ad esempio il ricorso a domande generiche senza inserire dati aziendali, bilanci o gare con dati personali.
START UP ITALIANO SOTTO LA LENTE DEL GARANTE PER APP SU DIPENDENTI
Una startup italiana. Myndoor Srl, ha sviluppato un componente aggiuntivo che permette di rilevare le emozioni dei dipendenti sulle piattaforme di messaggistica aziendale come Teams. Secondo l’azienda il titolare non è in grado di accedere alle rilevazioni, ma il Garante ha chiesto maggiori garanzie in fase di progettazione, per il principio della Privacy by design. La questione ovviamente potrebbe violare lo Statuto dei lavoratori e introdurre controlli stringenti sull’operato dei lavoratori.
APP PER LA SALUTE: MEGLIO LEGGERE TUTTE LE INFORMATIVE
Ricercatori dell’Università della California hanno passato al setaccio 25 app di Android utilizzate per monitorare la salute anche mentale delle persone e hanno scoperto che nonostante appaia subito l’informazione sulla riservatezza totale delle conversazioni, la maggior parte riversano i dati su terze parti e aziende interessate al operazioni di marketing, a volte senza neppure citarle. Alcune app addirittura condividono le conversazioni private con piattaforme di intelligenza artificiale come Chat-GPT. Insomma vedendo queste app e relative informative con l’occhio di un esperto privacy, ci sono parecchi aspetti sanzionabili ai sensi del GDPR. Il primo consiglio se intendete avvalervi di queste piattaforme è di leggere interamente le informative e i relativi consensi. E chiedersi anche se sia così necessaria rivolgersi a un soggetto spesso virtuale invece che a un consulente/terapeuta in carne ed ossa. Per altro anche il Garante italiano lo scorso anno aveva multato una chatbot di IA con 5 milioni di euro. Chi volesse leggere lo studio per intero lo trova qui https://arxiv.org/html/2605.02016v2
Il Notiziario, coperto da copyright e creato senza il ricorso all’Intelligenza artificiale, è stato realizzato dall’Avv. Gianluca Amarù, l’Avv. Eleonora Maschio, il Dpo Marco Fossi consulente aziendale e Alessandra Fava giornalista e Dpo, riuniti nell’acronimo A2F Privacy&Compliance. Amarù, Fava e Fossi hanno pubblicato Manuale di accoglienza enti e autorità (Liberodiscrivere, 2019) , Howto – Come scrivere i documenti privacy (Liberodiscrivere 2020), Privacy in progress (editore FrancoAngeli, giugno 2021) e La Privacy dei dati digitali (FrancoAngeli editore, 2023), La Privacy del dato sanitario (FrancoAngeli, 2024), a firma di Amarù, Fava, Fossi e del DPO Ferdinando Mainardi. Nel 2025 è uscito per Mondadori l’instant book Smetti di farti spiare, a cura del presidente di Federprivacy Nicola Bernardi, con Amarù, Fava, Fossi. Infine Amarù, Fava, Fossi, Maschio hanno pubblicato NIS2: come rafforzare la cybersicurezza (FrancoAngeli, 2025).