IA e privacy: cosa dice davvero il GDPR
L'intelligenza artificiale impara dai dati. Spesso sono anche i tuoi. Il GDPR, la legge europea sulla privacy, dice come quei dati possono essere usati e quali diritti hai. Vediamo le regole, un caso famoso e le mosse concrete che puoi fare.
In breve
- Il GDPR vale anche per l'IA: i dati personali usati per addestrare i modelli devono avere una base legale.
- Hai diritti precisi: sapere cosa c'è su di te, chiederne la correzione o la cancellazione, opporti all'uso.
- In Italia il Garante ha bloccato ChatGPT nel 2023 e poi multato OpenAI; il caso resta aperto in tribunale.
Perché il GDPR riguarda anche l'IA
Il GDPR è il regolamento europeo che protegge i tuoi dati personali: nome, email, foto, abitudini, tutto ciò che ti identifica. Vale per chiunque tratti questi dati, comprese le aziende che costruiscono l'intelligenza artificiale.
Qui sta il punto delicato. Molti modelli di IA imparano leggendo enormi quantità di testi e immagini prese dal web. Dentro quel materiale finiscono anche dati personali di persone vere, raccolti spesso senza che lo sapessero. Il GDPR chiede che ci sia sempre una base legale per usarli: un consenso, un contratto, oppure un "legittimo interesse" ben motivato.
In parole povere: l'IA non può "ingoiare" i tuoi dati e fare finta di niente. Chi la costruisce deve avere un buon motivo, riconosciuto dalla legge, per usarli.
I tuoi diritti, anche di fronte all'IA
Il GDPR ti dà strumenti concreti. Puoi chiedere l'accesso: sapere se un'azienda tratta i tuoi dati e averne una copia. Puoi chiedere la rettifica, cioè la correzione di informazioni sbagliate. Puoi chiedere la cancellazione, il cosiddetto "diritto all'oblio". E puoi opporti all'uso dei tuoi dati quando il trattamento si basa sul legittimo interesse.
Chi riceve la richiesta deve risponderti, di regola entro un mese. Esercitare questi diritti è gratuito.
Con l'IA c'è una difficoltà pratica: una volta che i dati sono "fusi" dentro il modello, è tecnicamente complicato tirarli fuori. Le autorità europee se ne stanno occupando. A fine 2024 il Comitato europeo per la protezione dei dati (EDPB) ha pubblicato un parere che prova a chiarire quando l'addestramento dell'IA è legittimo e cosa succede se un modello è stato costruito con dati raccolti in modo illecito.
Il caso ChatGPT in Italia
A fine marzo 2023 il Garante per la protezione dei dati personali ha bloccato temporaneamente ChatGPT in Italia. I motivi: raccolta di dati senza una base legale chiara, poca trasparenza verso gli utenti e nessun filtro reale per i minori. Il servizio è tornato attivo dopo poche settimane, quando OpenAI ha introdotto alcune correzioni.
L'indagine però è proseguita. A dicembre 2024 il Garante l'ha chiusa con una sanzione da 15 milioni di euro e l'obbligo per OpenAI di una campagna informativa di sei mesi. OpenAI ha fatto ricorso e la vicenda è finita davanti ai giudici, che hanno rimesso in discussione la sanzione. L'esito definitivo, mentre scriviamo, resta da consolidare.
In parallelo, in tutta Europa restano sotto osservazione le pratiche di "scraping", cioè la raccolta massiccia di dati dal web per addestrare i modelli.
Cosa cambia per te
Cosa puoi fare tu, in concreto, già da oggi:
- Scrivi al servizio di IA chiedendo accesso, correzione o cancellazione dei tuoi dati: cerca la sua privacy policy e l'indirizzo per i diritti.
- Cerca l'opzione "non usare i miei dati per l'addestramento": molti servizi ora la offrono nelle impostazioni.
- Se non ricevi risposta o ti senti ignorato, puoi presentare un reclamo al Garante Privacy.
L'IA cambia tutto, ma sui tuoi dati la legge ti dà ancora l'ultima parola: usala.
Fonti
- Garante Privacy — Blocco di ChatGPT (marzo 2023)
- Garante Privacy — Chiusura istruttoria e sanzione (dicembre 2024)
- Garante Privacy — I tuoi diritti
- IAPP — EDPB Opinion 28/2024 sui modelli di IA
Articolo divulgativo: i fatti sono rielaborati con parole nostre a partire dalle fonti citate. Per i dettagli ufficiali rimandiamo alle pagine originali. Aggiornato al 28 giugno 2026.
Domande frequenti
L'IA può usare i miei dati senza chiedermelo?
Solo se ha una base legale prevista dal GDPR, come il consenso o un legittimo interesse ben motivato. Senza, il trattamento è illecito e puoi contestarlo.
Posso chiedere a un'IA di cancellare ciò che sa su di me?
Sì, hai il diritto di chiederlo. In pratica può essere complicato, perché i dati restano "fusi" nel modello, ma l'azienda deve comunque gestire la tua richiesta e risponderti.