Intervista al Prof. Avv. Emilio Tosi in occasione del convegno: “AI Act e GDPR nel prisma della tutela della persona XII convegno annuale del Centro Studi DNT®

3 Ottobre 2025
Redazione DIMT

In merito al prossimo convegno scientifico “AI Act e GDPR nel prisma della tutela della persona – XII Convegno annuale del Centro Studi Diritto Nuove Tecnologie”, che si terrà il 10 ottobre presso l’Università di Milano Bicocca, la redazione di DIMT ha intervistato l’organizzatore e promotore dell’iniziativa, il Prof. Avv. Emilio Tosi, direttore e fondatore del Centro Studi nonché figura di riferimento nell’ambito del diritto delle nuove tecnologie.

Il convegno scientifico, promosso dal Centro Studi Diritto Nuove Tecnologie DNT® – diretto dal Prof. Avv. Emilio Tosi – in collaborazione con il Dipartimento di Scienze Economico-Aziendali e Diritto per l’economia dell’Università di Milano-Bicocca (DiSEADE), si propone di approfondire le attualissime sfide regolatorie della tutela della persona nella società dei dati e delle intelligenze artificiali.

Il Prof. Avv. Emilio Tosi è Direttore di Diritto Nuove Tecnologie – Centro Studi per l’Innovazione e Professore Ordinario abilitato presso l’Università di Milano Bicocca.

Il Prof. Avv. Emilio Tosi

Professore, Lei ha assunto la Direzione scientifica di questo Convegno, che si propone di analizzare le sfide regolatorie poste dall’intelligenza artificiale e dalla protezione dei dati personali. Potrebbe illustrare agli studiosi e ai professionisti che ci leggono le finalità principali dell’iniziativa e il valore che essa riveste nel panorama scientifico e istituzionale odierno?

“Sfida” è la parola giusta per affrontare i temi complessi e densi di significato posti dalle intersezioni tra GDPR e AI, dati personali e intelligenze artificiali. Il prisma della tutela della persona – come suggerisce il titolo dato al Convegno – deve essere la lente attraverso la quale osservare questo straordinario fenomeno tecnologico.

L’AI Act europeo (Regolamento UE 1689/2024) si propone, in linea di principio, di migliorare il funzionamento del mercato digitale istituendo un quadro giuridico uniforme in particolare per quanto riguarda:

lo sviluppo, l’immissione sul mercato, la messa in servizio e l’uso responsabile di sistemi di intelligenza artificiale, in conformità ai valori dell’Unione Europea;
la diffusione di un’intelligenza artificiale (IA) antropocentrica, sicura, trasparente e affidabile garantendo nel contempo un livello elevato di protezione della salute, della sicurezza e dei diritti fondamentali sanciti dalla Carta dei diritti fondamentali dell’Unione europea;
prevenendo la disinformazione, tutelando la democrazia, lo Stato di diritto e la protezione dell’ambiente, contro gli effetti nocivi dei sistemi di IA nell’Unione nonché promuovere l’innovazione digitale assicurando un controllo umano di ultima istanza.

Tra le molteplici finalità di questo Regolamento epocale meritano di essere evidenziati i seguenti profili:

le garanzie per i sistemi di intelligenza artificiale usati per finalità generali e specifiche regole per IA considerate ad alto rischio;
limiti all’uso dei sistemi di identificazione biometrica da parte delle forze dell’ordine;
divieto di utilizzo di sistemi di credito sociale o per manipolare e sfruttare le vulnerabilità degli utenti;
tutela dei consumatori mediante diritto a presentare reclami e ricevere spiegazioni rilevanti

La riforma europea introduce, inoltre, in prospettiva antropocentrica, specifici obblighi di trasparenza e spiegazione: per tutelare diritti dei consumatori, dei lavoratori più in generale dei cittadini e in ultima istanza i mercati, quasi un ideale punto di partenza di una nuova governance tecnologica e di un rinnovato contratto sociale.

Appare evidente la rilevanza scientifica e istituzionale dell’evento in parola: occorre discutere e approfondire i complessi profili che la nuova normativa si prefigge di disciplinare.

La data del 10 ottobre è poi altamente simbolica perché segna l’entrata in vigore della Legge italiana sull’IA (L.132/25).

In parte si confermano precetti già previsti dall’AI Act in parte originali. Segnalo in particolare, senza pretese di esaustività, gli artt. art. 16 Delega al Governo in materia di dati, algoritmi e metodi matematici per l’addestramento di sistemi di intelligenza artificiale e art.25 tutela del diritto d’autore delle opere generate con l’ausilio dell’intelligenza artificiale. Il tema dell’addestramento e della tutela dei dati non solo nella prospettiva dei dati personali ma anche del diritto d’autore è cruciale in un contesto economico “datocentrico” e con riferimento a tecnologie che fondano il proprio modello operativo sull’assorbimento di quantità di dati, anche personali, incommensurabile e mai immaginato prima d’ora.

La diffusione non regolamentata delle AI può costituire un problema per la tenuta non solo degli ordinamenti privatistici ma democratici tout court.

Il programma del Convegno prevede un’articolata Tavola Rotonda con contributi di studiosi provenienti da diversi atenei e con differenti prospettive disciplinari. Qual è, a Suo avviso, il significato di questo approccio corale e interdisciplinare nell’affrontare un tema complesso come l’interazione tra AI Act e GDPR?

L’interdisciplinarietà è necessaria. L’AI Act è una normativa estremamente complessa. L’articolato, suddiviso in tredici capi e corredato da un apparato di tredici allegati, ruota attorno a sette blocchi principali è chiaramente sintomatico di tale complessità:

parte generale e definizioni (Capo I)
usi vietati dell’AI e gestione del rischio, inclusa quella successiva alla collocazione dei sistemi sul mercato (Capi II, III, VIII, IX);
norme specifiche per AI ad alto rischio e per finalità generali, principalmente incentrate sulla trasparenza (Capi IV e V);
misure in favore dell’innovazione, ad esempio sandboxes (Capo VI);
modello di governance, inclusivo delle competenti autorità di supervisione (Capo VII);
codici di condotta (Capo X);
delegazione legislativa (Capo XI), sanzioni (Capo XII) e previsioni finali (Capo XIII).

Un AI Act più snello e focalizzato sui principi fondamentali e le AI vietate sarebbe stato forse più efficiente dal punto di vista applicativo come punto di partenza iniziale.

Forse più opportuno rinviare la normativa di dettaglio a una fase successiva più matura della tecnologia da disciplinare: ma questo è il testo con cui allo stato dobbiamo confrontarci. Tuttavia l’auspicio di un intervento di semplificazione e razionalizzazione, a breve termine, è senz’altro condivisibile senza rinunciare alla tutela dei diritti fondamentali ma alleggerendo i precetti amministrativi squisitamente burocratici che non aggiungono nulla in termini di protezione della persona.

Non si può comprendere la rilevanza socioeconomica prima ancora che giuridica dell’AI Act ed il tenore delle previsioni ivi contenute senza tenere a mente il dominio statunitense sui mercati AI, nel rendere disponibili sul mercato business e consumer tecnologie ancora imprecise e inaffidabili, o l’uso sistemico da parte di stati totalitari di strumenti di controllo biometrico e sociale.

La supremazia tecnologica digitale attraverso il controllo delle AI non è scenario geopolitico fantascientifico ma stringente attualità.

Il Convegno pone al centro il dialogo tra AI Act e GDPR, due strumenti normativi destinati a incidere profondamente sulla società dei dati. Quali spunti di riflessione si attende possano emergere dal confronto scientifico e interdisciplinare che l’iniziativa intende promuovere?

Lo sviluppo e l’utilizzo di AI comporta il trattamento di ingenti quantità di dati in generale e anche di dati personali sia in fase di addestramento che in fase di utilizzo.

Sono, pertanto, molteplici le intersezioni applicative e normative tra GDPR e AI Act.

Il considerando 10 dell’AI Act ricorda che: “Il diritto fondamentale alla protezione dei dati personali è garantito in particolare dai regolamenti (UE) 2016/67 e (UE) 2018/1725 del Parlamento europeo e del Consiglio e dalla direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio. La direttiva 2002/58/CE del Parlamento europeo e del Consiglio tutela inoltre la vita privata e la riservatezza delle comunicazioni, in particolare stabilendo le condizioni per l’archiviazione di dati personali e non personali e l’accesso ai dati in apparecchi terminali. Tali atti giuridici dell’Unione costituiscono la base per un trattamento sostenibile e responsabile dei dati, anche nei casi in cui gli insiemi di dati comprendono una combinazione di dati personali e non personali. Il presente regolamento non mira a pregiudicare l’applicazione del vigente diritto dell’Unione che disciplina il trattamento dei dati personali, inclusi i compiti e i poteri delle autorità di controllo indipendenti competenti a monitorare la conformità con tali strumenti”

L’art. 2.7 dell’AI Act sgombera il campo da ogni dubbio interpretativo in ordine alla gerarchia delle fonti precisando che il GDPR continua ad applicarsi e prevale sull’AI Act quando le attività delle intelligenze artificiali comportano trattamento dei dati personali.

Il problema tuttavia è passare dalle roboanti statuizioni di principio ai profili applicativi: l’attuazione e l’enforcement costituiscono certamente l’aspetto più spinoso della questione.

La complessità dell’orditura normativa dell’AI Act fonda le crescenti critiche, in parte condivisibili, di iper-regolazione: troppi obblighi – in parte sovrapposti a quelli di altri significativi referenti normativi del settore digitale ex multis Digital Services Act, Data Act e GDPR solo per richiamare i principali senza pretese di esaustività – rischiano di ostacolare lo sviluppo del settore ammesso che ancora vi siano margini per la vecchia Europa.

Al tempo stesso la formulazione di alcuni precetti generica, e non sempre univoca, pare risente di una formulazione più simile a quella di una cripto direttiva che di un vero e proprio regolamento. Forse la fretta di raggiungere l’intesa su un testo normativo condiviso non ha giovato alla chiarezza e sistematicità dell’AI Act e al coordinamento con altri referenti normativi fondamentali del contesto digitale.

Essenziale anche in questo caso, come a suo tempo per il GDPR, il ruolo interpretativo e chiarificatore della Corte di Giustizia della UE.

Infine, quale messaggio desidera rivolgere ai giovani studiosi, ai professionisti e più in generale al pubblico che seguirà l’iniziativa, rispetto alle sfide che l’intelligenza artificiale pone alla tutela dei diritti fondamentali della persona?

Continuare a studiare e non fermarsi alla superficie dei fenomeni: occorre indagare a fondo senza accontentarsi di quanto diffuso dal pensiero mainstream. Per comprendere un fenomeno dirompente come quello dell’AI occorre comprendere innanzitutto il funzionamento tecnologico. La manipolazione linguistica di natura commerciale che pretende di rappresentare gli attuali modelli di AI come “intelligenza” è solo un utilizzo confusorio del termine: di intelligente non c’è nulla non essendovi senso né comprensione del contesto.

L’antropomorfizzazione forzata dell’AI risulta ingannevole, in particolare ma non esclusivamente, nella prospettiva consumeristica.

C’è solo una simulazione di intelligenza fondata su un sofisticato processo stocastico, miliardi di parametri e potenza di calcolo inimmaginabile prima d’ora: ma la comprensione del contesto e la consapevolezza sono assenti; non a caso si è utilizzata in proposito la definizione caustica di digital parrots, pappagalli digitali.

Siamo di fronte ad un agere sine intelligere.

Le AI possono anche rispondere correttamente simulando una parvenza di intelligenza ma in verità senza capire proprio nulla di quello che stanno dicendo.

Questo aspetto è molto importante sia nella valutazione dei rischi di utilizzo di AI che delle aspettative. Lo strumento è potente ma altamente instabile in quanto fondato su modelli statistici intrinsecamente probabilistici: le hallucination dei modelli di AI sono strutturali; possono essere ridotte ma non eliminate.

Ergo attenzione la sorveglianza umana dovrebbe essere sempre assicurata: non solo con riferimento alle AI ad alto rischio come statuito dall’AI Act. E’ solo l’intensità del controllo che dovrebbe variare in funzione del settore applicativo. Non cedere infine alla vulgata corrente e dominante che vorrebbe far ritenere la tutela dei diritti fondamentali della persona fattore ostativo allo sviluppo. Teorizzazione priva di fondamento e pericolosa non solo per la tenuta dell’ordinamento privatistico ma dell’ordinamento democratico tout court.

Quali prospettive de iure condendo?

Purtroppo l’AI Act segna solo un punto di partenza e non di arrivo. La condivisione globale di pochi principi generali condivisi avrebbe assicurato maggiori garanzie di quanto possa fare un Regolamento europeo certamente importante ma osteggiato a livello globale.

Non ci sarà un nuovo bruxelles effect come nel caso straordinario del GDPR divenuto nel giro di pochi anni vero e proprio legal benchmark globale.

La prospettiva dell’AI Act d’altra parte non è quella di esportare nuovi diritti fondamentali, come nel caso della protezione dei dati personali, ma di creare conformità di prodotto e nuovi standard tecnologici che difficilmente verranno accettati al di fuori del mercato digitale europeo: anzi tali restrizioni sono considerate da taluni stati extraeuropei impropriamente dazi impliciti.

Si registra, criticamente, nell’AI Act l’assenza di una norma riepilogativa dei principi generali applicabili alle AI sulla falsariga dell’art. 5 del GDPR applicabili a tutte le AI e non solo a quelle ad alto rischio.

I principi generali per le AI non sono formulati dalla legge europea sull’intelligenza artificiale in modo esplicito e organico come nel GDPR ma vanno estrapolati dalla disamina delle singole norme e da una lettura sistematica del testo complessivo anche alla luce di quanto statuito da altri referenti normativi dell’ormai articolato corpus iuris digitalis europeo: si richiamano a tal fine, limitandoci ai principali, gli emblematici modelli delineati dal Digital Services Act, Digital Markets Act, Data Governance Act e Data Act.

Un cenno critico infine alla nuova legge italiana: bene l’intervento regolatorio nei settori lasciati scoperti dall’AI Act e in particolare la delega dell’art. 16 della L. 132/25 alla disciplina dell’addestramento delle AI.

Tuttavia, una governance delle AI ripartita tra AgID e ACN avrebbe potuto, forse, essere meglio declinata con l’istituzione di un’Autorità indipendente ad hoc. Anche al fine, non secondario, di facilitare lo sviluppo industriale agevolando l’interlocuzione del mondo delle imprese ad oggi parcellizzata tra più enti regolatori. Ma questa è un’altra storia.

Intervista al Prof. Avv. Emilio Tosi in occasione del convegno: “AI Act e GDPR nel prisma della tutela della persona XII convegno annuale del Centro Studi DNT®

Redazione DIMT

Ultimi articoli

Intervista al Dott. Stefano Rossa. Cybersecurity e Istituzioni Democratiche. Un’indagine interdisciplinare: Diritto, Informatica e Organizzazione Aziendale

Il European Data Protection Board pubblica la Relazione annuale 2025: rafforzamento della cooperazione e del supporto agli stakeholder nell’applicazione del GDPR

La Commissione europea approva, ai sensi dell’articolo 107 TFUE, un regime italiano di aiuti di Stato da 6 miliardi di euro per la produzione di idrogeno rinnovabile

Digital Services Act (DSA): la Commissione europea contesta a Pornhub, Stripchat, XNXX e XVideos carenze nella tutela dei minori

Prossimi eventi

Pomeriggi di cultura giuridica

L’identità digitale tra diritti, mercati e istituzioni

Intelligenza artificiale e sicurezza cibernetica: le sfide della digitalizzazione della pubblica amministrazione

IA e diritto amministrativo: la rapida evoluzione di un fenomeno nei suoi aspetti normativi, processuali e deontologici

Condividi