GDPR: presentata la proposta di semplificazione e di riforma
Data protection
Il 21 maggio 2025, la Commissione Europea ha presentato una proposta di modifica al Regolamento (UE) 2016/679 (“GDPR”), con l’obiettivo di introdurre importanti novità, in particolare a beneficio delle piccole e medie imprese e delle cosiddette “small mid-cap”. L’iniziativa si inserisce nel contesto del pacchetto normativo “Omnibus IV”, avviato nel febbraio 2025, che mira a rendere il quadro regolatorio europeo più proporzionato e sostenibile, pur mantenendo salda la tutela dei diritti fondamentali degli interessati.
Tra gli elementi distintivi della proposta vi è l’introduzione di nuove definizioni all’articolo 4 del GDPR, che estendono la possibilità di beneficiare di misure semplificate a una platea più ampia di operatori economici. Oltre alle micro, piccole e medie imprese già individuate dalla Raccomandazione 2003/361/CE, viene ora riconosciuta anche la categoria delle imprese a media capitalizzazione di piccole dimensioni, le cosiddette “small mid-cap”. Questa scelta nasce dalla volontà di evitare che il superamento delle soglie dimensionali previste per le PMI comporti un eccessivo aggravio degli obblighi di compliance, con il rischio di ostacolare la crescita e la competitività delle imprese in espansione.
Uno degli interventi più significativi riguarda la disciplina relativa al registro delle attività di trattamento. La proposta, presentata il 21 maggio 2025, prevede di elevare la soglia dimensionale per l’obbligo di tenuta del registro a 750 dipendenti, salvo nei casi in cui i trattamenti presentino un rischio elevato ai sensi dell’articolo 35 del GDPR.
Degno di nota è anche l’invito a promuovere l’elaborazione di codici di condotta e meccanismi di certificazione che riflettano le esigenze specifiche non solo delle PMI, ma anche delle “small mid-cap”.
L’auspicio è che queste modifiche possano contribuire a creare un ecosistema normativo più equilibrato, capace di conciliare la tutela dei diritti degli interessati con le esigenze di sviluppo e innovazione delle imprese europee. Per un’analisi personalizzata e un supporto operativo nell’adeguamento alla normativa in materia di data protection, contatta il Team Data & Technology Innovation.
Chatbot AI e compliance privacy: il caso Replika
Data protection & artificial intelligence
Nel mese di maggio, il Garante per la protezione dei dati personali ha sanzionato il chatbot Replika per gravi violazioni del GDPR: una notizia che – al di là del rilievo del provvedimento in sé – offre lo spunto per una riflessione più ampia sul tema della compliance dei chatbot basati su intelligenza artificiale, sempre più presenti in contesti sensibili e ad alta esposizione (assistenza clienti, supporto psicologico, education, HR).
L’utilizzo di sistemi conversazionali fondati su AI solleva infatti numerose criticità dal punto di vista della protezione dei dati personali. In primo luogo, l’interazione con un chatbot comporta – spesso in modo implicito – la raccolta e l’analisi di informazioni anche molto personali: dalle preferenze e abitudini di consumo fino a dati sulla salute o sull’emotività dell’utente. È quindi essenziale che il trattamento avvenga su basi giuridiche solide e con finalità ben definite.
Altro aspetto fondamentale è la trasparenza: l’utente deve sapere di interagire con un’intelligenza artificiale, comprendere quali dati vengono trattati e a quale scopo. Ciò è particolarmente importante quando l’AI simula una relazione “umana”, come nel caso di Replika, generando risposte emotive o personalizzate che possono incidere sulla sfera psicologica dell’interlocutore.
La questione si complica ulteriormente in presenza di utenti minorenni: anche in questo caso, il provvedimento del Garante ha posto l’accento sull’assenza di meccanismi di verifica dell’età, sottolineando l’esigenza di adottare soluzioni tecniche efficaci per limitare l’accesso a contenuti non adatti.
Infine, va considerata la tematica – spesso trascurata – delle decisioni automatizzate. Se il chatbot influenza comportamenti o assume “decisioni” in senso lato (ad esempio, assegnare profili, suggerire azioni, modificare l’esperienza dell’utente), entrano in gioco le tutele previste dall’art. 22 del GDPR, che impongono garanzie specifiche, tra cui l’intervento umano.
La lezione che emerge è chiara: l’intelligenza artificiale conversazionale può offrire enormi opportunità, ma solo se integrata in un contesto di accountability chiaro, documentato e centrato sui diritti degli interessati. Una compliance “di facciata” non basta più: è tempo di progettare chatbot in modo responsabile, con una visione integrata tra innovazione, etica e protezione dei dati. Il team Data & Technology Innovation di LEXIA è a disposizione per supportare imprese e sviluppatori nella valutazione dei rischi, nella progettazione privacy-by-design delle soluzioni AI e nell’adeguamento della documentazione privacy, anche alla luce delle più recenti indicazioni delle autorità di controllo.
Alfabetizzazione in materia di Intelligenza Artificiale: le FAQ della Commissione Europea per implementare adeguatamente l’obbligo di AI Literacy
Artificial Intelligence
L’entrata in vigore del Regolamento UE 2024/1689 (“AI Act”) segna un punto di svolta per l’approccio normativo europeo all’intelligenza artificiale. Tra le disposizioni dell’AI Act già applicabili dal 2 febbraio 2025 vi è l’Articolo 4, che introduce un obbligo specifico di alfabetizzazione in materia di IA (“AI Literacy”) per fornitori e deployer di sistemi di IA.
L’obiettivo è chiaro: promuovere una cultura organizzativa fondata sulla consapevolezza, la comprensione e la responsabilizzazione nell’uso delle tecnologie di Intelligenza Artificiale.
L’AI Literacy, secondo la definizione contenuta nell’Articolo 3, punto 56 dell’AI Act, va ben oltre la mera conoscenza tecnica: include la capacità di comprendere rischi, opportunità, impatti etici e implicazioni giuridiche dei sistemi di IA. La sua implementazione richiede la costruzione di percorsi formativi differenziati, adattati alle funzioni aziendali, ai livelli di competenza e al contesto d’uso.
In tale ottica, la Commissione Europea ha fornito, con le FAQ del 13 maggio 2025, indicazioni concrete per orientare le imprese, ribadendo la centralità di un approccio modulare e proporzionato.
Non esiste un modello “one size fit all”. Un’organizzazione che utilizza sistemi di IA ad alto rischio, ad esempio, dovrà adottare programmi formativi rafforzati, che includano analisi dei rischi, simulazioni pratiche, e moduli sui profili regolatori. L’obbligo riguarda anche soggetti terzi – consulenti, fornitori, appaltatori – che operano per conto dei titolari.
In qualità di professionisti del diritto e dell’innovazione, è oggi indispensabile affiancare le organizzazioni in un’attenta mappatura delle tecnologie utilizzate, nella definizione del ruolo organizzativo (fornitore o deployer), nella valutazione dei rischi e nella progettazione di piani formativi documentabili. L’adempimento dell’obbligo di AI Literacy non è solo una questione di conformità normativa, ma una leva strategica per mitigare responsabilità, prevenire sanzioni e garantire un utilizzo etico e affidabile dell’intelligenza artificiale. Un valore per tutti.
Il team Data & Technology Innovation di LEXIA è a disposizione nell’affiancare fornitori e depolyer di sistemi di Intelligenza Artificiale nella strutturazione di un piano di alfabetizzazione in materia di IA idoneo alla tipologia di ente giuridico e di adeguamento alle disposizioni dell’AI ACT secondo le rispettive scadenze.
