Le tecnologie informatiche e le sfide etico-giuridiche: intelligenza artificiale, privacy e inclusione nell’era digitale

L’accelerazione tecnologica degli ultimi due decenni ha posto le società democratiche di fronte a una sfida inedita: come regolamentare strumenti il cui potere trasformativo supera, per velocità e pervasività, la capacità di reazione dei tradizionali meccanismi giuridici. L’Unione Europea ha risposto con un approccio normativo ambizioso, costruendo un quadro regolamentare articolato che comprende — tra gli altri — il Regolamento sull’intelligenza artificiale (AI Act), il Regolamento generale sulla protezione dei dati (GDPR), la direttiva sulla sicurezza delle reti e dei sistemi informativi (NIS2) e il Regolamento sui servizi digitali (DSA). Questo articolo analizza l’architettura complessiva di tale quadro e le tensioni etico-giuridiche che lo attraversano.

Il GDPR: il paradigma della protezione dei dati (Reg. 2016/679)

Il Regolamento (UE) 2016/679 — noto universalmente come GDPR (General Data Protection Regulation) — costituisce il pilastro fondamentale della strategia europea in materia digitale. Entrato in vigore il 25 maggio 2018, il GDPR ha introdotto un sistema di principi e obblighi che ha profondamente influenzato la legislazione successiva.

Principi cardine

Il GDPR si fonda su sette principi relativi al trattamento dei dati personali (art. 5):

• Liceità, correttezza e trasparenza: il trattamento deve avere una base giuridica, essere equo e comprensibile per l’interessato.
• Limitazione della finalità: i dati raccolti per uno scopo non possono essere utilizzati per fini incompatibili.
• Minimizzazione dei dati: raccogliere solo i dati strettamente necessari.
• Esattezza: obbligo di mantenere i dati aggiornati e corretti.
• Limitazione della conservazione: i dati non possono essere conservati oltre il tempo necessario.
• Integrità e riservatezza: garanzia della sicurezza tecnica e organizzativa.
• Responsabilizzazione (accountability): il titolare deve poter dimostrare la conformità.

L’innovazione più significativa del GDPR è stata la sua portata extraterritoriale (art. 3): il regolamento si applica non solo ai soggetti stabiliti nell’UE, ma a qualsiasi organizzazione che tratti dati di persone residenti nell’Unione, indipendentemente dal luogo di stabilimento. Questo principio ha di fatto imposto standard europei a livello globale.

L’AI Act: il primo regolamento sull’intelligenza artificiale (Reg. 2024/1689)

Il Regolamento (UE) 2024/1689, approvato definitivamente nel 2024, rappresenta il primo quadro normativo organico sull’intelligenza artificiale a livello mondiale. La sua architettura si fonda su un approccio basato sul rischio (risk-based approach) che classifica i sistemi di IA in quattro categorie:

Per i sistemi ad alto rischio, l’AI Act prevede requisiti dettagliati che includono:

1. Sistema di gestione del rischio (art. 9): valutazione e mitigazione dei rischi lungo l’intero ciclo di vita.
2. Qualità dei dati (art. 10): i dataset di addestramento devono essere pertinenti, rappresentativi e privi di bias sistematici.
3. Documentazione tecnica (art. 11): descrizione completa del sistema, delle sue funzionalità e dei suoi limiti.
4. Trasparenza e informazione (art. 13): gli utenti devono poter comprendere il funzionamento e i limiti del sistema.
5. Supervisione umana (art. 14): garanzia che un essere umano possa intervenire, correggere o disattivare il sistema.

L’AI Act non mira a frenare l’innovazione, ma a incanalare lo sviluppo dell’intelligenza artificiale in un quadro di garanzie che tuteli i diritti fondamentali senza sacrificare la competitività tecnologica europea.

NIS2: la sicurezza delle reti (Dir. 2022/2555)

La Direttiva (UE) 2022/2555 (NIS2) aggiorna e rafforza il quadro europeo sulla cybersicurezza, estendendo significativamente il campo di applicazione rispetto alla precedente Direttiva NIS del 2016. La NIS2 introduce obblighi di sicurezza per un numero molto più ampio di settori — dai servizi essenziali (energia, trasporti, sanità, acqua potabile) ai servizi importanti (servizi postali, gestione dei rifiuti, produzione alimentare, ricerca) — e prevede:

• Misure di gestione del rischio: politiche di sicurezza, gestione degli incidenti, continuità operativa, sicurezza della catena di approvvigionamento.
• Obblighi di notifica: segnalazione degli incidenti significativi entro 24 ore (allerta iniziale) e 72 ore (notifica completa) alle autorità competenti.
• Responsabilità degli organi direttivi: i vertici aziendali sono personalmente responsabili dell’approvazione delle misure di sicurezza.
• Sanzioni effettive: fino a 10 milioni di euro o il 2% del fatturato annuo mondiale per le entità essenziali.

La NIS2 interagisce con il GDPR sul piano della protezione dei dati in caso di violazione (data breach), creando un regime di doppia notifica che richiede alle organizzazioni una gestione coordinata degli incidenti. Per una riflessione sulla convergenza tra tecnologie avanzate e ricerca fondamentale, si veda il nostro approfondimento sulle relazioni di Kramers-Kronig.

Il DSA: regolamentare le piattaforme digitali (Reg. 2022/2065)

Il Regolamento (UE) 2022/2065 sui servizi digitali (Digital Services Act) completa il quadro normativo affrontando il tema della responsabilità delle piattaforme online. Il DSA introduce obblighi graduati in base alla dimensione e alla funzione del servizio, con requisiti particolarmente stringenti per le piattaforme online di dimensioni molto grandi (VLOP, con oltre 45 milioni di utenti attivi nell’UE):

1. Valutazione del rischio sistemico: analisi annuale dei rischi legati alla diffusione di contenuti illegali, alla manipolazione elettorale e agli effetti sulla salute mentale.
2. Trasparenza algoritmica: obbligo di rendere accessibile il funzionamento dei sistemi di raccomandazione, con la possibilità per gli utenti di scegliere alternative non profilate.
3. Divieto di dark patterns: proibizione delle interfacce ingannevoli che manipolano le scelte degli utenti.
4. Accesso ai dati per i ricercatori: obbligo di fornire ai ricercatori indipendenti l’accesso ai dati necessari per studi sull’impatto sociale delle piattaforme.

L’architettura complessiva: complementarità e tensioni

I quattro regolamenti non operano in isolamento, ma formano un sistema normativo integrato in cui ciascun atto si applica ratione materiae a un aspetto specifico dell’ecosistema digitale. In concreto, un sistema di IA utilizzato da una piattaforma online per moderare i contenuti potrebbe essere soggetto simultaneamente all’AI Act (in quanto sistema di IA), al GDPR (per i dati personali trattati), alla NIS2 (per la sicurezza dell’infrastruttura) e al DSA (per la responsabilità della piattaforma).

Questa complessità normativa solleva sfide pratiche significative — dalla sovrapposizione degli obblighi di conformità alla moltiplicazione delle autorità di controllo — ma esprime una visione coerente: la convinzione che le tecnologie informatiche, proprio in ragione del loro potere trasformativo, debbano essere governate da un quadro di regole che ne orienti lo sviluppo verso il rispetto dei diritti fondamentali, della democrazia e dello stato di diritto. Per una prospettiva storica su come le società hanno affrontato sfide analoghe, si vedano i nostri approfondimenti sulle riforme napoleoniche in materia di istruzione e stampa e sulle relazioni diplomatiche nel mondo antico. Per approfondire, consulta anche i sistemi ERP come strumento di trasformazione digitale.