Dati personali tra libertà, rischio e futuro digitale

I dati personali quale espressione dell’identità digitale dell’individuo

Nel mondo contemporaneo, l’informazione digitale ha assunto una posizione di assoluta centralità nella vita dell’individuo, trasformando ogni gesto quotidiano in una potenziale fonte di dati personali suscettibili di raccolta, conservazione ed elaborazione. L’invio di e-mail, la ricerca online, la fruizione di servizi digitali o, ancora, la partecipazione ai social network generano informazioni che delineano l’identità digitale dell’utente, tracciandone abitudini, interessi, e, talvolta, inclinazioni più intime.

Il valore dei dati personali non si limita all’uso commerciale; essi sono strumenti di conoscenza e controllo, in grado di orientare strategie aziendali, influenzare comportamenti di consumo e incidere su decisioni politiche e sociali. Ogni informazione generata dall’utente, che si tratti di un’interazione digitale, di un dato di geolocalizzazione o di una preferenza espressa in rete, contribuisce alla costruzione di un quadro complesso della sua identità, conferendo ai dati una dimensione che trascende la sua semplice funzione strumentale.

Le proporzioni globali di tale fenomeno risultano di portata straordinaria. Secondo stime recenti, nel 2024 il volume globale dei dati creati, acquisiti, copiati e consumati ha raggiunto circa 149 zettabyte (ben 149 mila miliardi di gigabyte), con previsioni di superare i 200 zettabyte entro il 2025^[1]. Si stima, inoltre, che vengano creati circa 402,74 milioni di terabyte di dati ogni giorno^[2],  generando un flusso informativo che alimenta sistemi di intelligenza artificiale e strumenti analitici destinati a modellare comportamenti individuali e collettivi. Pur conservando formalmente la titolarità dei propri dati, gli individui si trovano in una condizione di crescente vulnerabilità, esposti all’uso strategico, economico e politico di informazioni che essi stessi producono.

Tale fragilità emerge con particolare evidenza nel fenomeno dei data breach, espressione con la quale si indicano le violazioni di dati personali definite dall’art. 4 del Regolamento (UE) 679/2016 – noto come GDPR – come violazioni della sicurezza che comportano, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.^[3]

Tra i casi più noti di violazioni di dati personali si annoverano eventi che hanno coinvolto centinaia di milioni, e in alcuni casi miliardi, di profili di utenti. La compromissione dei sistemi della società Yahoo, verificatasi nel 2013, ha determinato la sottrazione di informazioni riconducibili a circa tre miliardi di account di posta elettronica, configurandosi come uno dei più estesi data breach della storia dei servizi digitali^[4]. Analogamente, nell’aprile del 2011, il Playstation Network di Sony fu oggetto di un attacco informatico che portò alla sottrazione dei dati personali di circa settantasette milioni di utenti, inclusi dati finanziari sensibili, costituendo un esempio emblematico di violazione massiva della privacy^[5]. Ulteriore caso di particolare rilievo riguarda la catena alberghiera Marriott International, la cui base dati relativa alle prenotazioni è stata violata nel 2018, con l’accesso illecito alle informazioni personali di oltre cinquecento milioni di ospiti, tra cui nomi, recapiti e numeri di passaporto^[6].

Oggi, a seguito dell’entrata in vigore del Regolamento UE 2016/679, la gestione dei data breach è regolata da norme rigorose che impongono l’adozione di misure tecniche e organizzative idonee a contenere e porre rimedio agli eventi di violazione dei dati personali. Il quadro normativo impone, altresì, la tempestiva notifica della violazione all’Autorità Garante per la protezione dei dati personali e, qualora il rischio per i diritti e le libertà degli interessati sia alto, l’obbligo di informare gli interessati stessi.

L’evoluzione della tutela dei dati personali e l’adozione del GDPR

La crescente esposizione dei dati personali a fenomeni di perdita, diffusione illecita e uso improprio ha reso evidente l’inadeguatezza di un sistema di tutela fondato su discipline frammentarie e disomogenee, imponendo un ripensamento complessivo del quadro normativo europeo in materia di protezione dei dati personali. In tale contesto si colloca l’adozione del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, noto come General Data Protection Regulation (GDPR), entrato in vigore il 25 maggio 2018, con l’obiettivo di rafforzare in modo uniforme la tutela dei diritti e delle libertà fondamentali delle persone fisiche con riguardo al trattamento dei dati personali^[7].

A differenza della previgente Direttiva 95/46/CE, il legislatore europeo ha scelto lo strumento del regolamento, direttamente applicabile in tutti gli Stati membri, al fine di superare le difformità interpretative e applicative del quadro precedente, segnando un passaggio decisivo verso un sistema di protezione armonizzato in grado di garantire elevata tutela in un contesto digitale interconnesso.

In tale prospettiva, il GDPR si caratterizza per una struttura normativa capace di adattarsi a contesti tecnologici in costante evoluzione. I principi generali di liceità, correttezza e trasparenza si traducono in obblighi concreti, come la necessità di fornire informative chiare agli utenti, garantire la sicurezza dei dati attraverso misure tecniche e organizzative adeguate, e limitare la raccolta delle informazioni alla finalità dichiarata. Questa impostazione permette al regolamento di conservare la propria efficacia anche con l’emergere di nuove tecnologie, piattaforme digitali e modalità di trattamento dei dati personali.

Il GDPR introduce un mutamento sostanziale di prospettiva, ponendo al centro del sistema l’interessato e rafforzandone il ruolo attraverso il riconoscimento di diritti ampi e articolati, tra cui il diritto di accesso, di rettifica, di cancellazione e di portabilità di dati. Parallelamente, il regolamento attribuisce un rilievo centrale al principio di accountability, imponendo ai titolari del trattamento non solo il rispetto formale delle disposizioni normative, ma anche la dimostrazione concreta dell’adozione di misure tecniche e organizzative adeguate a garantire la sicurezza e la correttezza dei trattamenti^[8]. Per tali misure, di particolare rilievo è l’istituzione della figura del Data Protection Officer (DPO), professionista incaricato di sovraintendere alla conformità del trattamento dei dati alle disposizioni del GDPR e di fungere da punto di contatto tra titolare, interessati e autorità di controllo^[9].

Ulteriore elemento innovativo è rappresentato dall’approccio basato sul rischio, che impone una valutazione preventiva dell’impatto dei trattamenti sui diritti e sulle libertà degli interessati, specialmente nei casi in cui l’uso delle tecnologie possa comportare un’elevata possibilità di pregiudizio. In tale ottica, la protezione dei dati personali non viene più concepita come un adempimento meramente formale, bensì come un processo dinamico e continuo, strettamente connesso all’evoluzione tecnologica e organizzativa dei soggetti coinvolti.

Il Regolamento (UE) 2016/679 rappresenta, pertanto, un punto di svolta nella disciplina della protezione dei dati personali, espressione di una più ampia concezione della persona nell’era digitale, in cui la tutela dei dati si pone come presupposto essenziale per l’esercizio effettivo delle libertà individuali e per il mantenimento della fiducia nei sistemi informativi e nelle istituzioni.

Il GDPR si afferma non solo come strumento di regolazione dei trattamenti, ma come modello di riferimento per una governance dei dati fondata sulla responsabilizzazione, sulla prevenzione del rischio e sulla centralità dell’interessato, destinato a incidere profondamente sulle prassi operative dei soggetti pubblici e privati e a orientare le future evoluzioni della disciplina in un contesto tecnologico in continua trasformazione.

Sfide e prospettive nella protezione dei dati personali nell’era dell’intelligenza artificiale

L’avvento e la diffusione dell’intelligenza artificiale rappresentano una delle trasformazioni tecnologiche più rilevanti della nostra epoca, con impatti profondi sulla vita economica e sociale. I sistemi di IA operano su basi vastissime, impiegando algoritmi che apprendono da ingenti quantità di informazioni, raccolte sia direttamente che indirettamente, allo scopo di generare previsioni, modelli comportamentali e decisioni automatizzate. Questa raccolta massiva di dati accentua rischi quali la trasformazione di dati personali in profili dettagliati, la possibilità di ricavare informazioni sensibili non fornite dall’interessato, e la potenziale violazione dei principi di minimizzazione e limitazione delle finalità del trattamento^[10].

Un elemento di forte criticità deriva dal fatto che i modelli di IA tendono a operare come black box, ossia attraverso meccanismi decisionali difficilmente interpretabili anche dai loro stessi sviluppatori, rendendo difficile soddisfare gli obblighi di trasparenza, di informativa e di spiegazione richiesti dal Regolamento (UE) 2016/679. In particolare, la capacità di costruire profili comportamentali e di adottare decisioni automatiche basate su tali profili può comportare discriminazioni, distorsioni o risultati ingiustamente predittivi, soprattutto quando i dati di addestramento riflettono pregiudizi già presenti nelle realtà sociali e istituzionali^[11]. Tale fenomeno, indicato come bias degli algoritmi, può compromettere la qualità delle decisioni algoritmiche e la tutela effettiva dei diritti degli interessati, in assenza di adeguate misure preventive di controllo e limitazione.

Ulteriori rischi emergono dalla natura stessa delle operazioni di addestramento proprie dei sistemi di intelligenza artificiale. L’aggregazione di grandi volumi di dati personali per finalità di sviluppo e funzionamento di modelli algoritmici può violare i principi di minimizzazione e di limitazione delle finalità, utilizzando informazioni oltre il contesto per cui erano state raccolte inizialmente, anche senza un consenso informato, ponendo in discussione la validità giuridica dei trattamenti ai sensi del GDPR.

Sul piano normativo, tali criticità hanno indotto il legislatore europeo ad affiancare alla disciplina generale sulla protezione dei dati personali un quadro regolatorio dedicato all’intelligenza artificiale. In tale prospettiva si colloca il Regolamento europeo sull’intelligenza artificiale (AI Act), che introduce un approccio basato sul rischio, distinguendo tra sistemi di IA a rischio inaccettabile, elevato, limitato e minimo, e imponendo requisiti stringenti di trasparenza, governance dei dati e supervisione umana per le applicazioni considerate ad alto rischio. L’AI Act integra e rafforza le garanzie del GDPR, delineando un sistema a più livelli volto a prevenire effetti pregiudizievoli dell’automazione decisionale.

Sul piano nazionale, la recente legislazione italiana in materia di intelligenza artificiale ha ulteriormente rafforzato i principi di trasparenza e di supervisione umana effettiva nei sistemi automatizzati, prevedendo, tra l’altro, il consenso informato per l’accesso da parte di minori e la supervisione umana delle decisioni automatizzate, con l’obiettivo di mitigare i rischi specifici dell’IA per i soggetti vulnerabili^[12]. La disciplina nazionale, integrandosi con i principi del GDPR e con il quadro europeo delineato dall’AI Act, richiede misure di sicurezza adeguate lungo l’intero ciclo di vita dei sistemi basati su IA, nonché l’adozione di tecniche di anonimizzazione e pseudonimizzazione per ridurre i rischi di identificazione arbitraria e per garantire che le informazioni utilizzate non compromettano diritti fondamentali tutelati a livello europeo^[13].

In prospettiva, la sfida principale consiste nello stabilire un modello di regolazione che recepisca i principi consolidati nella disciplina sulla protezione dei dati personali, rendendoli pienamente applicabili e operativi nell’ambito delle nuove tecnologie. Questo implica l’adozione di strumenti dinamici di valutazione dei rischi, di governance algoritmica e di accountability, capaci di bilanciare l’innovazione tecnologica con la tutela dei diritti alla protezione dei dati personali e alla non discriminazione, garantendo al contempo fiducia nei sistemi digitali e conformità normativa in un contesto in costante mutamento.

^[1] Statista, 2024. Disponibile al: https://www.statista.com/statistics/871513/worldwide-data-created/; Rivery, big data statistics: How much data is there in the world?, 2024. Disponibile al: https://rivery.io/blog/big-data-statistics-how-much-data-is-there-in-the-world/

^[2] Exploring Topics, How much data is generated per day?, 2024. Disponibile al: https://explodingtopics.com/blog/data-generated-per-day

^[3] Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, 27 aprile 2026, art. 4, n.12

^[4] La Repubblica, Yahoo, attacco hacker nel 2013: colpiti tutti i suoi 3 miliardi di account, 2017. Disponibile al: https://www.repubblica.it/tecnologia/sicurezza/2017/10/04/news/yahoo_nel_2013_attacco_hacker_colpiti_tutti_i_suoi_3_miliardi_di_account-177318715/

^[5] Office of the Australian Information Commissioner (OAIC), Sony PlayStation Network / Qriocity – Own motion investigation report, 2011. Disponibile al: https://www.oaic.gov.au/privacy/privacy-assessments-and-decisions/privacy-decisions/Investigation-inquiry-reports/sony-playstation-network-qriocity-own-motion-investigation-report

^[6] PECB Group, Marriott’s 500 million data breach scandal, 2018. Disponibile al: https://pecb.com/en/article/marriots-500-million-data-breach-scandal

^[7] Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, 27 aprile 2016.

^[8] Regolamento (UE) 2016/679, artt. 5 e 24.

^[9] Regolamento (UE) 2016/679, artt. 37-39.

^[10] Intelligenza Artificiale e privacy: rischi, protezione dei dati e conformità GDPR nel 2025, CaprINotizie.it, disponibile al: https://www.caprinotizie.it/intelligenza-artificiale-e-privacy-rischi-protezione-dei-dati-e-conformita-gdpr-nel-2025/?

^[11] Intelligenza artificiale e diritto: le nuove sfide tra GDPR e AI Act, 30 agosto 2025, disponibile al: https://notizie.key679.it/2025/08/30/artificial-intelligence-e-diritto-le-nuove-sfide-tra-gdpr-e-ai-act/

^[12] Normativa italiana in materia di intelligenza artificiale e privacy, Privacy e intelligenza artificiale dopo la nuova legge 132/2025, disponibile al: https://www.federprivacy.org/informazione/primo-piano/privacy-e-intelligenza-artificiale-dopo-la-nuova-legge-132-2025-il-modello-italiano-per-un-innovazione-responsabile

^[13] European Data Protection Board, pareri e linee guida sul trattamento dei dati personali nei modelli di IA e l’uso di tecniche di anonimizzazione e pseudonimizzazione, GDPR e Intelligenza Artificiale: le Linee Guida dell’EDPB, P&S Legal Milano, disponibile al: https://www.pandslegal.it/insights/gdpr-e-intelligenza-artificiale-linee-guida-edpb?