Generative AI: l’EDPS detta le regole per un uso conforme e responsabile

Intelligenza Artificiale & Data Protection

Il 28 ottobre 2025, l’European Data Protection Supervisor (EDPS) ha pubblicato una nuova versione aggiornata delle sue linee guida sull’utilizzo dell’intelligenza artificiale generativa (GenAI) da parte delle istituzioni europee. Il documento rappresenta un punto di riferimento non solo per gli organismi UE, ma anche per tutte le organizzazioni pubbliche e private che vogliano integrare sistemi GenAI nel rispetto della normativa europea sulla protezione dei dati.

La guida – significativamente rafforzata rispetto alla precedente versione del luglio 2023 – fornisce un quadro chiaro di principi, cautele e requisiti da seguire nella progettazione e nell’uso di strumenti di AI generativa, in particolare quando questi trattano dati personali o sono potenzialmente idonei a influenzare diritti e libertà degli interessati.

Tra gli aspetti più rilevanti:

• l’obbligo di una valutazione preventiva dell’impatto (DPIA), specie nei casi in cui l’output del sistema possa determinare decisioni o profilazioni;
• l’adozione del principio di “data protection by design and by default”, sin dalla fase di sviluppo e addestramento del modello;
• l’attenzione ai rischi legati all’allucinazione algoritmica, alla mancanza di trasparenza dell’output e all’utilizzo di dati non corretti o non aggiornati;
• l’importanza di documentare le finalità, le fonti, i prompt, i dataset e le modalità di interazione con i sistemi, per garantire verificabilità e accountability;
• la necessità di evitare l’uso di GenAI per finalità di sorveglianza, manipolazione o decisioni automatizzate ad alto impatto (come assunzioni, licenziamenti…), ritenute altamente intrusive.

L’EDPS sottolinea inoltre che l’adozione di soluzioni GenAI richiede un approccio integrato, in cui gli aspetti tecnologici, organizzativi e giuridici siano valutati in modo congiunto. Particolare attenzione è posta sull’uso interno dei modelli, che deve prevedere: accessi controllati, addestramento su basi giuridiche solide, misure di anonimizzazione e revisioni periodiche.

In questo contesto, diventa sempre più cruciale che le organizzazioni si dotino di policy interne sull’utilizzo dell’intelligenza artificiale generativa, che definiscano in modo chiaro ruoli, responsabilità, limiti d’uso e cautele operative. Solo attraverso regole interne ben strutturate – condivise e aggiornate – è possibile garantire un utilizzo sicuro, conforme e trasparente delle soluzioni GenAI, prevenendo derive tecnologiche o giuridiche.

Il team Data & Technology Innovation di LEXIA è a disposizione per supportare aziende e organizzazioni nella definizione di policy e framework interni sull’uso dell’AI generativa, integrando aspetti legali, etici e operativi in un approccio su misura e orientato alla compliance.

Videosorveglianza: il Garante ribadisce il rispetto degli obblighi informativi del GDPR e delle norme a tutela dei lavoratori

Data protection

Il Garante per la Protezione dei Dati Personali continua a monitorare con attenzione l’uso degli impianti di videosorveglianza, in particolare laddove si intersecano le esigenze di tutela del patrimonio aziendale e i diritti dei lavoratori.

Con il recente provvedimento n. 493 dell’11 settembre 2025 l’Autorità ha sanzionato un esercizio commerciale operante nel settore della somministrazione di cibi e bevande, ribadendo i principi fondamentali di liceità, correttezza e trasparenza imposti dall’Articolo 5 del Regolamento (UE) 2016/679 (“GDPR”) e dalla normativa giuslavoristica, in particolare dall’Articolo 4 della Legge 300/1970 (“Statuto dei Lavoratori”). 

Nella propria istruttoria, avviata a seguito di un verbale della Questura locale, il Garante ha accertato la presenza di un sistema di videosorveglianza attivo all’interno dell’esercizio commerciale. Il trattamento dei dati personali in questo caso non avveniva mediante videoregistrazione, bensì tramite la sola raccolta e visualizzazione delle immagini in tempo reale da remoto mediante smartphone; ciononostante è risultato illecito sotto due profili distinti. 

In primo luogo, è stata riscontrata la violazione della normativa sulla protezione dei dati personali per l’assenza di idonei cartelli informativi (informativa di primo livello) e dell’informativa privacy estesa (informativa di secondo livello): il Garante ha infatti ribadito che anche la sola visione da remoto delle immagini ritraenti gli avventori dell’esercizio commerciale o i suoi lavoratori costituisce un trattamento di dati personali e, pertanto, si rileva l’importanza di rispettare i principi di liceità, correttezza e trasparenza previsti dall’art. 5 del GDPR, oltre agli obblighi informativi di cui all’Articolo 13 del GDPR verso gli interessati.

Il secondo profilo di illiceità ha riguardato gli aspetti giuslavoristici. Ai sensi dell’Articolo 4 dello Statuto dei Lavoratori, l’installazione e l’impiego di sistemi di videosorveglianza è sottoposto ad un limite teleologico (impiego esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale) e ad un limite amministrativo (necessità di un previo accordo con le rappresentanze sindacali o, in mancanza, autorizzazione dell’Ispettorato del Lavoro competente): dall’istruttoria del Garante, è invece emerso che il sistema di videosorveglianza era prevalentemente finalizzato al “controllo dei dipendenti addetti alla somministrazione di cibo e bevande”. Il Garante ha dichiarato tale trattamento in radicale contrasto con l’Articolo 4 dello Statuto dei Lavoratori e, dunque, costitutivo di un trattamento illecito ai sensi dell’Articolo 88 del GDPR e dell’Articolo 114 del D.lgs. 196/2003 (“Codice Privacy”).

L’esercente commerciale è stato quindi sanzionato sia dall’Ispettorato del Lavoro che dal Garante per la protezione dei dati personali (ma l’esito sarebbe potuto essere ben più grave, se ci considera che ai sensi dell’Articolo 171 del Codice Privacy, la violazione dell’Articolo 4 dello Statuto dei Lavori può costituire anche un reato, sanzionato ai sensi dell’Articolo 38 dello Statuto dei Lavoratori). Il provvedimento in commento sottolinea ancora una volta l’importanza di un rigoroso rispetto della procedura di garanzia giuslavoristica prevista per l’installazione e l’impiego di sistemi che possano determinare un controllo a distanza dei lavoratori, nonché l’importanza di rispettare la normativa in materia di protezione dei dati personali.

Per approfondimenti sugli adempimenti privacy e giuslavoristici relativi ai sistemi di videosorveglianza e all’implementazione degli stessi in conformità al quadro regolatorio, il team Data & Technology Innovation di LEXIA è a disposizione per fornirvi analisi e supporto specialistico.

Deepfake e AI: nasce un nuovo reato nel codice penale

Intelligenza artificiale

Con l’entrata in vigore della Legge 23 settembre 2025, n. 132, l’Italia è diventata il primo Stato membro dell’UE a dotarsi di una disciplina nazionale organica in materia di intelligenza artificiale. Il testo, pubblicato in Gazzetta Ufficiale il 25 settembre 2025, si coordina con il Regolamento (UE) 2024/1689 (“AI Act”) e contiene disposizioni e deleghe al Governo per regolare l’impiego dei sistemi di AI in ambiti strategici come sanità, pubblica amministrazione, lavoro, giustizia e sicurezza.

Tra le novità più rilevanti, spicca l’introduzione nel codice penale del nuovo reato di diffusione illecita di deepfake. L’art. 612-quater punisce con la reclusione da uno a cinque anni chi diffonde, senza consenso, immagini, video o audio generati o alterati tramite AI in modo tale da apparire autentici e idonei a trarre in inganno; si tratta, di fatto, della prima incriminazione esplicita del fenomeno deepfake in Italia. Il reato è perseguibile a querela, salvo che la vittima sia minore, incapace o il contenuto diffamatorio riguardi un’autorità pubblica: in questi casi, si procede d’ufficio.

Il legislatore ha anche previsto:

• una nuova circostanza aggravante comune all’art. 61 c.p., applicabile quando un reato viene commesso con strumenti di AI che rendano più insidioso il fatto, ne ostacolino la repressione o ne aggravino le conseguenze;
• una circostanza aggravante specifica per il reato di attentato contro i diritti politici del cittadino (art. 294 c.p.): se commesso con l’ausilio di sistemi AI per condizionare l’esercizio del voto o altri diritti politici, la pena sarà aumentata da due a sei anni.

L’intervento normativo arriva in un momento in cui l’uso distorto della generative AI sta assumendo una dimensione globale: basti pensare che secondo i più recenti dati internazionali, le truffe e i casi di disinformazione tramite deepfake sono aumentati di dieci volte tra il 2022 e il 2023, con impatti potenzialmente devastanti sulla reputazione, la democrazia e la sicurezza.

L’efficacia della riforma, tuttavia, dipenderà dalla capacità del legislatore di tradurre le deleghe in misure attuative concrete, capaci di regolare in modo agile ma efficace un panorama tecnologico in continua evoluzione. La responsabilità operativa ricadrà anche su imprese, professionisti e amministrazioni, chiamati ad aggiornare policy, sistemi di controllo e framework di compliance.

Il team Data & Technology Innovation di LEXIA è a disposizione per supportare le organizzazioni nell’adeguamento ai nuovi obblighi introdotti dalla Legge n. 132/2025, offrendo assistenza nella redazione di policy interne, nella gestione dei rischi legati ai contenuti ottenuti attraverso operazioni di sintesi, e nell’implementazione di modelli di governance per un uso etico, conforme e sicuro dell’intelligenza artificiale.

L’EDPB e l’interazione tra DSA e GDPR: conclusa la consultazione pubblica

Il 31 ottobre 2025 si è conclusa la consultazione pubblica avviata dall’European Data Protection Board (“EDPB”) sulle linee guida 3/2025 (le “Linee Guida”) relative all’interazione tra il Regolamento UE n. 2022/2065 (“DSA”) e il Regolamento UE n. 2016/679 (“GDPR”). Le Linee Guida, adottate l’11 settembre 2025, mirano a garantire un’applicazione coerente e armonizzata dei due regolamenti, chiarendo che il DSA non deroga al GDPR, ma ne integra l’applicazione.

Di seguito i principali punti di contatto tra le due normative affrontati dalle Linee Guida:

• Rischi sistemici: le Very Large Online Platforms (“VLOP”) e le Very Large Online Search Engines (“VLOSE”), come definite dal DSA, devono valutare gli impatti sui diritti fondamentali. La presenza di rischi per tali diritti rende verosimile l’obbligo di effettuare una DPIA ai sensi dell’articolo 35 del GDPR.
• Indagini volontarie per rilevare contenuti illeciti (art. 7 DSA): l’EDPB individua quale base giuridica più idonea per il trattamento dei dati personali l’interesse legittimo (articolo 6(1)(f) GDPR), richiedendo altresì la necessità del trattamento e il positivo bilanciamento con diritti e libertà degli interessati.
• Deceptive design pattern (art. 25 DSA): sebbene il divieto del DSA di utilizzare i deceptive design patterns (anche detti “dark pattern”) non si applichi a pratiche già coperte dal GDPR, l’EDPB considera tali pattern ingannevoli per gli utenti, poiché contrari a liceità, correttezza e trasparenza ai sensi dell’art. 5(1)(a) GDPR.
• Pubblicità e categorie particolari di dati personali: l’EDPB ribadisce il divieto assoluto per le piattaforme online di mostrare pubblicità basata sulla profilazione che utilizzi categorie particolari di dati (art. 26(3) DSA), come individuate dal GDPR.
• Recommender systems e minori: VLOP e VLOSE devono offrire sempre almeno un’opzione di raccomandazione non profilata, evitando meccanismi che inducano a scegliere l’opzione più invasiva. Per i minori (art. 28 DSA), la verifica dell’età deve essere necessaria e proporzionata, escludendo soluzioni che consentano identificazione univoca o conservazione permanente dell’età/fascia d’età.

L’EDPB esaminerà le osservazioni pervenute e valuterà l’opportunità di apportare integrazioni e modifiche alle Linee Guida.

Il Team Data & Technology Innovation di LEXIA è a disposizione per approfondire i contenuti delle Linee Guida e i connessi obblighi, inclusi governance e accountability, DPIA sui rischi sistemici, basi giuridiche delle indagini volontarie, pubblicità e profilazione, design conforme e soluzioni di verifica dell’età.

Al via dal 15 ottobre le nuove norme dell’UE sulla pubblicità politica

Marketing & comunicazione

Dal 15 ottobre 2025 è applicabile il Regolamento (UE) 2024/900, che introduce nuove regole per rendere la pubblicità politica a pagamento più trasparente, equa e sicura da interferenze esterne. L’obiettivo è chiaro: garantire che i cittadini europei possano compiere scelte elettorali consapevoli, grazie a informazioni chiare su origine, finalità e diffusione dei messaggi politici.

Il Legislatore Europeo ha inteso rafforzare la fiducia nel dibattito democratico che accompagna le elezioni politiche, contrastando fenomeni di manipolazione delle informazioni e pratiche opache di micro-targeting, in particolare attraverso l’uso improprio dei dati personali; in questo senso, il Regolamento si pone in continuità con il quadro normativo già delineato dal Regolamento (UE) 2016/679 (“GDPR”) e dal Regolamento (UE) 2022/2065 (“Digital Services Act”), con i quali condivide l’obiettivo di tutelare il diritto fondamentale alla protezione dei dati personali e la libertà di opinione e di espressione.

L’ambito di applicazione del Regolamento è ampio e comprende ogni forma di pubblicità politica realizzata da, per, o a nome di, un soggetto politico, nonché qualsiasi comunicazione concepita per influenzare l’esito di un’elezione, un referendum o un processo legislativo o normativo indipendentemente dal livello europeo, nazionale, regionale o locale in cui si svolge. Non sono tuttavia qualificabili come pubblicità politica le comunicazioni che, pur provenendo o riferendosi ad attori politici, non perseguono finalità di influenza sul voto o sul processo decisionale: restano quindi escluse le comunicazioni di carattere privato o commerciale, i messaggi diffusi da autorità competenti in relazione all’organizzazione di elezioni o referendum, nonché le informazioni istituzionali divulgate dall’Unione europea o da autorità nazionali nell’ambito delle proprie funzioni. Ancora, sono altresì escluse dal campo di applicazione della nuova normativa la mera presentazione di candidati in contesti pubblici o mediatici conformi alla normativa di settore, le manifestazioni di opinioni espresse a titolo personale e i contenuti veicolati sotto responsabilità editoriale dei mezzi di informazione ( come interviste, dibattiti o commenti politici), quando non vi sia una specifica remunerazione per la loro diffusione.

Uno degli elementi centrali del nuovo framework normativo è la trasparenza: ogni pubblicità politica dovrà essere chiaramente identificabile come tale e accompagnata da un avviso che indichi il soggetto responsabile del pagamento, l’evento politico cui si riferisce, l’eventuale utilizzo di tecniche di targeting o di distribuzione algoritmica e altre informazioni rilevanti, come gli importi complessivi spesi e l’origine dei fondi. Tali informazioni dovranno essere facilmente accessibili anche attraverso un archivio europeo online, che consentirà di monitorare in modo sistematico la spesa e la provenienza dei messaggi politici digitali.

Particolarmente rigorosa è la disciplina del targeting e della diffusione personalizzata delle pubblicità politiche, in quanto l’utilizzo dei dati personali sarà ammesso soltanto se raccolti direttamente dall’interessato e previo consenso esplicito e separato per la finalità di pubblicità politica. Inoltre, a tutela dell’integrità del processo elettorale è stato introdotto un divieto di pubblicità politica proveniente da sponsor stabiliti al di fuori dell’Unione nei tre mesi precedenti le elezioni o i referendum.

Gli operatori del settore pubblicitario, le piattaforme digitali e gli attori politici sono chiamati sin d’ora a valutare l’impatto delle nuove disposizioni sui propri processi di comunicazione e gestione dei dati, nonché a predisporre meccanismi di compliance idonei a garantire il rispetto degli obblighi di trasparenza, responsabilità e accountability stabiliti dal Regolamento.  Il Team Data & Technology Innovation di LEXIA è a disposizione per offrire supporto.