Tre risoluzioni su AI e diritti fondamentali. Così si è conclusa la 47ª edizione della Global Privacy Assembly (GPA), ospitata dalla Personal Information Protection Commission della Corea del Sud dal 15 al 19 settembre a Seoul. I lavori si sono sviluppati in sessioni pubbliche sui temi più attuali, incontri riservati tra Autorità di protezione dati e numerosi eventi paralleli.
Alla GPA 2025 hanno preso parte oltre 140 agenzie internazionali. Presente anche una delegazione italiana guidata dalla vice presidente Ginevra Cerrina Feroni, insieme ai componenti del Collegio Agostino Ghiglia e Guido Scorza.
Indice degli argomenti:
Le tre risoluzioni su AI e diritti fondamentali
L’Assemblea si è conclusa con l’approvazione di tre risoluzioni.
La prima, co-sponsorizzata dal Garante italiano, affronta i rischi legati all’uso dei dati personali nell’addestramento dei modelli di intelligenza artificiale.
Il testo riafferma che “le norme sulla protezione dati si applicano pienamente all’intelligenza artificiale” e richiama cinque principi cardine: base giuridica corretta, limitazione delle finalità, minimizzazione, trasparenza e accuratezza. Le Autorità hanno inoltre promesso di rafforzare il coordinamento, sensibilizzare sviluppatori e decisori e condividere esperienze sull’AI generativa.
Le altre due risoluzioni riguardano la necessità di una supervisione umana effettiva delle decisioni automatizzate e l’urgenza di integrare la protezione dei dati nei programmi di educazione digitale, dall’infanzia fino all’università.
“Pay or consent”: un modello che divide
Durante la plenaria, Cerrina Feroni ha sollevato il tema del “pay or consent”, sempre più diffuso tra piattaforme e siti di informazione.
“La protezione dei dati non può diventare un lusso riservato a chi può pagare, né generare discriminazioni per chi non può permetterselo”, ha dichiarato, avvertendo sui rischi per la libertà del consenso in assenza di alternative reali.
Pubblicità online e consenso esplicito
Nel panel sul targeted advertisement, la vice presidente ha ribadito che “la pubblicità online sia lecita solo se trasparente, veritiera e rispettosa della libertà delle persone”.
Ha ricordato che in Italia il marketing, anche non personalizzato, deve basarsi su un consenso esplicito, specifico e informato: “nessuna casella preselezionata o accettazione implicita, ma una scelta libera e consapevole”.
Ghiglia ha invece richiamato il provvedimento del 2021 su TikTok, sottolineando i rischi del legittimo interesse per la pubblicità personalizzata, soprattutto nei confronti dei minori.
Trasferimenti internazionali e enforcement
Nella sessione dedicata alle tutele per utenti e consumatori, Guido Scorza ha evidenziato che “non bastano regole uniformi, ma servono anche meccanismi concreti di enforcement” per rendere effettivi i principi sui trasferimenti internazionali di dati.
L’esperienza italiana tra open source e LLM
In un side event dedicato all’open source, l’Autorità italiana ha illustrato la propria esperienza con i casi Replika, ChatGPT e Deepseek, segnalando le difficoltà di cooperazione con i fornitori e la necessità, in alcuni casi, di interventi drastici come i divieti d’uso sul territorio nazionale.
È emersa inoltre l’urgenza di basi giuridiche chiare per i Large Language Model (LLM), poiché “né il consenso né l’interesse legittimo possono rappresentare soluzioni sempre valide”.
Privacy Tour tra i finalisti internazionali
Tra i side events, anche l’incontro organizzato con l’Ambasciata d’Italia a Seoul dal titolo “Privacy in the face of the challenges posed by artificial intelligence”.
Il Privacy Tour del Garante italiano, iniziativa che diffonde cultura della privacy e uso responsabile delle tecnologie nei territori meno consapevoli, è stato selezionato tra i finalisti nella categoria “Education”, che premia i migliori progetti promossi dalle Autorità di protezione dati nel mondo.
