Cristina Rabazzi, avvocato cassazionista, è Responsabile del Dipartimento Privacy e Cyber Sicurezza di Gebbia Bortolotto Penalisti Associati e ricopre il ruolo di DPO in diverse società.
Segretario Generale e membro del Comitato Direttivo e di AIRIA (Associazione per la Regolazione della Intelligenza Artificiale), Member Fellow dell’Istituto Italiano Privacy IIP, referente territoriale per ASSODPO e per ANORC Professioni, livello Expert in Data Protection, Intelligenza Artificiale ed eticità dei dati .
Membro del Comitato di redazione della rivista scientifica di DIGEAT.
Esperta dei profili legali relativi alla privacy, blockchain e di Intelligenza Artificiale, ha conseguito i diplomi di Master Universitario in Diritto delle Nuove Tecnologie ed Informatica Giuridica presso l’Università di Bologna, e del Corso di Perfezionamento “Blockchain And Artificial Intelligence For Business, Economics And Law (Babel)”, nell’Università degli Studi di Firenze.
Quando la memoria viene affidata agli algoritmi, che cosa cambia davvero per l’identità e la dignità della persona?
Quando si parla di identità e dignità di una persona, specie se proiettata nel mondo digitale, occorre fare riferimento a diversi profili. Partendo da un punto di vista giuridico, la normativa europea sulla protezione dei dati personali (cd GDPR) afferma, al Considerando 4, che il diritto del singolo deve essere considerato alla luce della sua funzione sociale, il che implica che la dignità della persona non si esaurisce nella protezione del dato, ma richiede che il dato sia trattato in modo da rispettare il progetto di vita dell’individuo. L’art. 22 GDPR, inoltre, vieta le decisioni basate esclusivamente su trattamenti automatizzati che producano effetti giuridici significativi, ma la norma si applica alle “decisioni” formali, non alla formazione diffusa dell’immagine sociale dell’individuo, che avviene in modo capillare e spesso invisibile.
Passando al profilo etico e filosofico, ci trova a traslare da una memoria umana, per sua natura selettiva, basata sull’oblio e sulla rielaborazione continua, ad una memoria algoritmica cristallizzata, che radica le informazioni in un tessuto fitto e distribuito come può essere la rete web o un sistema di Intelligenza Artificiale. Questo passaggio non è neutro ma incide profondamente sulla struttura stessa dell’identità personale di ciascun individuo.
Il filosofo Paul Ricoeur distingueva tra “idem-identity”, ossia l’identità come permanenza, come ciò che rimane uguale nel tempo e “ipse-identity”, intesa quale identità come promessa, come progetto di sé in divenire. La memoria algoritmica tende a cristallizzare la prima, annullando la seconda: l’individuo viene ridotto a un profilo statico, incapace di narrare se stesso in modo evolutivo. L’identità digitale diventa un insieme di metadati persistenti e il rischio concreto è quello del profiling predittivo: non siamo più ciò che siamo, ma ciò che l’algoritmo calcola che saremo, sulla base di tutte le nostre tracce passate.
Gli algoritmi rischiano, quindi, di ledere la dignità del singolo perché lo privano della possibilità di evolvere e superare momenti della propria esistenza. In questo processo, la società perde la capacità “di perdonare”. Se ogni errore è indicizzato, il controllo sociale diventa onnipresente e invisibile, portando a un conformismo forzato per timore del giudizio algoritmico futuro. Zygmunt Bauman, nella sua analisi della “modernità liquida”, aveva anticipato il paradosso per cui le strutture che dovrebbero favorire la fluidità e il cambiamento producono invece nuove forme di irrigidimento e controllo: applicando questa visione al contesto digitale, la rete, che dovrebbe essere il luogo per antonomasia della fluidità, produce, invece, un consolidamento permanente del passato.
L’intelligenza artificiale rischia di rendere impossibile il diritto all’oblio, trasformando Internet in una condanna permanente?
L’impossibilità di cancellare rappresenta una sorta di condanna permanente che nega il concetto stesso di riabilitazione. La giurisprudenza italiana nel corso degli anni ha riconosciuto che la ripubblicazione di notizie risalenti, non aggiornate e non più di interesse pubblico, può costituire un illecito civile lesivo del diritto dell’individuo all’eliminazione dei suoi dati. Senza oblio, il tempo perde la sua funzione riparatrice, trasformando il mondo digitale in un archivio permanente, sempre attuale e sempre fruibile.
Il riconoscimento del diritto all’oblio risale alla storica sentenza della Corte di Giustizia dell’UE nel caso Google Spain (C-131/12, 13 maggio 2014), con cui è stato sancito per la prima volta il diritto alla deindicizzazione, riconoscendo che la persistenza di informazioni nei motori di ricerca può costituire un trattamento illecito quando non sono più rilevanti e attuali per l’interesse pubblico. Tuttavia, tale sentenza riguardava i motori di ricerca tradizionali mentre oggi, con i modelli generativi, il problema si sposta su un piano completamente differente. Il diritto all’oblio, sancito dall’art. 17 GDPR, si scontra con una nuova sfida tecnologica, ossia la capacità dell’IA di recuperare, rielaborare e restituire dati frammentari e decontestualizzati, anche quando la fonte originale è stata cancellata.
I Large Language Models (LLM) come GPT, Gemini, Copilot, Claude e molti altri, infatti, non memorizzano i dati nel senso tradizionale ma li trasformano in pesi statistici distribuiti su molteplici parametri. Questo rende tecnicamente impossibile la cancellazione selettiva di un’informazione specifica senza riattivare il meccanismo di addestramento dell’intero modello. Se i modelli di linguaggio si addestrano e si nutrono di determinati dati personali, la cancellazione della fonte originale non garantisce l’eliminazione di tali dati dal modello stesso. L’EDPB ha riconosciuto questa criticità nell’Opinion 28/2024 sui modelli di IA generativa (adottata nel dicembre 2024), ammettendo che le tecniche di machine unlearning sono ancora in fase sperimentale e non garantiscono risultati certi.
Per superare questo ostacolo tecnologico e per garantire, quindi, una forma di tutela del diritto all’oblio molte tra le più importanti piattaforme del settore hanno adottato altri rimedi tecnici efficaci nel risultato, quali appunto la de-indicizzazione, che impedisce al Modello di recuperare quei dati specifici che non si vogliono rendere noti ed i sistemi di filtraggio degli output, che consentono di addestrare il Modello a non rispondere se interrogato su quel soggetto specifico o su quella particolare informazione.
Chi deve rispondere quando un sistema automatico amplifica contenuti falsi, superati o lesivi della reputazione di una persona?
Il tema centrale è quello della responsabilità civile in un contesto in cui il nesso causale tra azione e danno è mediato da sistemi opachi e distribuiti. Il Digital Services Act (Reg. UE 2022/2065) ha introdotto obblighi asimmetrici in base alle dimensioni della piattaforma: le Very Large Online Platforms (VLOP) con oltre 45 milioni di utenti nell’UE sono soggette a obblighi di valutazione del rischio sistemico, incluso il rischio di amplificazione di contenuti lesivi. Tuttavia, il DSA non risolve il problema dell’IA generativa, che non è una “piattaforma” nel senso tradizionale ma un Modello che produce contenuti ex novo, sollevando il problema della cosiddetta black box: se non è chiaro come l’algoritmo abbia scelto di sviluppare un contenuto, la responsabilità rischia di diluirsi tra sviluppatori, addestratori e distributori.
Sul piano del diritto civile italiano, l’art. 2050 c.c. sulla responsabilità per attività pericolose potrebbe trovare applicazione: chi esercita un’attività pericolosa è tenuto al risarcimento del danno, salvo che provi di aver adottato tutte le misure idonee a evitarlo. La giurisprudenza ha già applicato questa norma a casi di diffusione di dati personali tramite sistemi informatici, e vi sono buone ragioni per estenderla ai Modelli di IA generativa, in considerazione dell’elevato potenziale lesivo di tali tecnologie.
Sul piano, invece, dalla Data Protection, il titolare del trattamento, ovvero chi gestisce l’algoritmo ha, in ogni caso, il dovere di garantire l’esattezza dei dati, nel rispetto del principio cardine di cui all’art. 5, par. 1, lett. d) GDPR. Il trattamento di dati falsi o superati è quindi non solo un potenziale illecito civile ma anche una violazione diretta del GDPR, con le conseguenti sanzioni pecuniarie amministrative.
Sul piano sociologico, l’automazione della disinformazione logora la fiducia generale in modo sistemico: se la reputazione è affidata a un sistema automatizzato, il capitale sociale dell’individuo diventa vulnerabile a dinamiche non governate da logiche umane, con effetti che si propagano ben oltre la sfera individuale.
Le norme oggi esistenti – dall’AI Act alla disciplina sulla privacy – sono sufficienti, oppure il diritto sta già rincorrendo una tecnologia che corre più veloce?
Il gap tra velocità tecnologica e capacità normativa è strutturale e, per certi versi, fisiologico. Il ciclo legislativo europeo richiede mediamente 3-5 anni dalla proposta all’entrata in vigore, mentre i modelli di IA si rinnovano in cicli di 6-12 mesi. L’AI Act (Reg. UE 2024/1689), entrato in vigore il 1° agosto 2024, è una norma europea pionieristica che adotta un approccio basato sul rischio, ma ha già dovuto fare i conti con sviluppi tecnologici, come i modelli multimodali e gli agenti autonomi, che non erano stati pienamente anticipati al momento della redazione, costringendo i legislatori ad emendamenti in corsa.
Il diritto, per sua natura riflessivo, fatica a normare l’istantaneità del codice. Nell’ambito del diritto d’autore, il ritardo è particolarmente evidente. La Direttiva Copyright (Dir. 2019/790/UE) ha introdotto all’art. 3 un’eccezione per il text and data mining (TDM) a fini di ricerca scientifica, e all’art. 4 un’eccezione per il TDM per qualsiasi altro fine, con possibilità di opt-out per i titolari dei diritti. Tuttavia, l’applicazione pratica di questo opt-out ai modelli già addestrati è tecnicamente impossibile: il dato è già stato “digerito” dal modello, trasformato in parametri statistici non più riconducibili alla fonte originale. Le norme attuali non erano pensate per un mondo in cui l’output creativo non fosse umano, e si sta rincorrendo una definizione di originalità che l’IA sollecita quotidianamente.
La norma, tuttavia, non basta da sola. È necessaria una Ethics by Design che viaggi a braccetto con la Privacy by Design, già codificata nell’art. 25 GDPR. Estendere questo principio all’etica significa richiedere che i valori fondamentali, quali appunto la dignità, la non discriminazione, l’autonomia, siano inglobati nell’architettura stessa del sistema, non aggiunti ex post come patch normative. Il diritto fornisce la cornice sanzionatoria, ma l’etica e la protezione dei dati personali devono guidare la fase di sviluppo per evitare che la tecnologia diventi un fatto compiuto irreversibile.
La Legge italiana 132/2025 ha tentato di colmare alcune lacune, introducendo obblighi di trasparenza e di marcatura dei contenuti generati da IA, ma anche questa norma rischia di essere superata dall’evoluzione tecnica. La vera sfida è costruire un framework normativo “adattivo”, capace di aggiornarsi più rapidamente ed efficacemente.
In una società sempre più governata dagli algoritmi, chi difenderà il diritto di una persona a non essere definita per sempre dal proprio passato?
La difesa dei diritti dell’individuo deve operare su più livelli: istituzionale, tecnico e culturale.
Sul piano istituzionale, la difesa spetta alle Autorità di Controllo e al Sistema Giudiziario, che dovrebbero introdurre il principio di autodeterminazione informativa. Questo principio – elaborato dal Tribunale Costituzionale Federale tedesco nella storica sentenza sul censimento del 1983 (BVerfGE 65, 1) – afferma che ogni individuo ha il diritto di decidere quando e in che misura rendere accessibili le proprie informazioni personali. È oggi il fondamento filosofico del GDPR e deve essere riaffermato con forza nell’era dell’IA generativa. È necessario riconoscere un vero e proprio diritto alla discontinuità digitale in quanto non si tratta di cancellare meramente dati, ma di riconoscere il diritto dell’individuo a presentarsi al mondo esterno nella sua dimensione attuale, senza essere costantemente ricondotto a versioni passate di sé. Questo diritto trova fondamento nell’art. 8 CEDU (rispetto della vita privata e familiare) e nell’art. 7 della Carta dei Diritti Fondamentali dell’Unione Europea.
Sul piano tecnico, la sfida è quella di implementare Modelli di machine unlearning, ovvero di disapprendimento dei dati, affinché le IA possano dimenticare ciò che non è più pertinente, garantendo che il profilo digitale sia sempre revocabile o aggiornabile. Il machine unlearning è un campo di ricerca attivo ma ancora lontano da soluzioni operative affidabili: le tecniche attualmente studiate (tra cui approcci basati su gradient manipulation, data scrubbing e model editing) permettono di ridurre l’influenza di specifici dati sul comportamento del modello, ma non garantiscono la completa eliminazione dell’informazione. Il Garante Privacy ha già affrontato questo tema nel provvedimento su ChatGPT, richiedendo a OpenAI misure per consentire la rettifica o la cancellazione dei dati personali elaborati.
Ma forse la dimensione più urgente è quella culturale. Bisogna ricostruire una sensibilità sociale che riconosca il valore dell’errore e del cambiamento, una vera e propria literacy dell’oblio. Occorre far acquisire la consapevolezza che il passato digitale non è immutabile e che la società ha interesse a preservare la capacità di reintegrazione e cambiamento. Senza una cultura dell’oblio, la tecnologia rischia di diventare uno strumento di controllo e di pregiudizio permanente, in cui viene precluso il diritto di ricominciare, oltre ad essere foriero di bias e discriminazioni che potrebbero ledere gravemente l’identità e la socialità dei singoli. Solo una società che valorizzi la possibilità di cambiare può restituire all’individuo la pienezza della propria libertà.
A cura di Letizia Bonelli
Leggi anche: Giovani studenti, una giornata speciale con i Carabinieri
Seguici su Facebook e Instagram!
