by Claudio Caldarola
Avvocato specializzato in diritto delle tecnologie.
Dal 2018 Presidente di Global Professionals for Artificial Intelligence
Introduzione
Immaginate un varco di accesso a un edificio, un corridoio di transito, una sala d’attesa. Una telecamera rileva un volto, un sensore registra la voce, un software elabora in pochi istanti una valutazione che non si limita a riconoscere una persona, ma pretende di inferire uno stato interiore, un’emozione, un’intenzione. È un’operazione che si presenta come tecnica, quasi neutra, e che tuttavia, per la natura dei dati impiegati e per l’effetto che produce, entra immediatamente nella sfera dei diritti fondamentali. La domanda guida, allora, non riguarda soltanto l’opportunità di tali strumenti, ma la loro qualificazione giuridica. Quando un sistema che utilizza dati biometrici è, per definizione normativa, un sistema di riconoscimento delle emozioni, e quali conseguenze discendono da questa qualificazione nel quadro europeo. Allo stato attuale, la risposta deve essere ricercata nel Regolamento dell’Unione europea 2024/1689, che istituisce regole armonizzate sull’intelligenza artificiale e intende promuovere un’IA antropocentrica e affidabile, garantendo un livello elevato di protezione dei diritti fondamentali. Tale disciplina si coordina con il Regolamento dell’Unione europea 2016/679, che tutela il diritto fondamentale alla protezione dei dati personali, e, per quanto riguarda l’ordinamento interno, con la Legge italiana 23 settembre 2025, n. 132, che impone un’interpretazione conforme al Regolamento dell’Unione europea 2024/1689 e richiama principi di trasparenza, proporzionalità, sicurezza e protezione dei dati personali.
Il riconoscimento delle emozioni su base biometrica
In via preliminare, occorre chiarire che il Regolamento dell’Unione europea 2024/1689 costruisce il proprio impianto su una logica di qualificazione funzionale, nella quale la rilevanza giuridica del sistema deriva dal suo impiego e dalla finalità per cui è progettato o utilizzato. Il caso concreto, nella sua forma essenziale, è quello di un sistema di intelligenza artificiale che opera su dati biometrici e produce un risultato finalizzato a identificare o inferire emozioni o intenzioni di persone fisiche. In questa prospettiva, la biometria è il presupposto che consente al sistema di agganciare l’identità corporea o comportamentale della persona e di trasformarla in un output. La definizione normativa è esplicita. Il Regolamento dell’Unione europea 2024/1689 definisce il sistema di riconoscimento delle emozioni come un sistema di intelligenza artificiale finalizzato a identificare o inferire emozioni o intenzioni di persone fisiche sulla base dei loro dati biometrici. Il considerando 18 conferma la portata di tale definizione e ne ribadisce la struttura, ponendo al centro la finalità inferenziale e la base biometrica del trattamento. È necessario sottolineare che, già a questo livello, il sistema si colloca in un’area nella quale la valutazione giuridica non può prescindere dall’impatto potenziale sui diritti fondamentali, poiché l’oggetto stesso dell’inferenza è riferito alla persona fisica, non soltanto alla sua identificazione.
Il quadro normativo di riferimento
Le Regole armonizzate e le finalità del Regolamento dell’Unione europea 2024/1689
Il Regolamento dell’Unione europea 2024/1689, altrimenti noto come AI Act, dichiara che il suo obiettivo è migliorare il funzionamento del mercato interno mediante l’istituzione di un quadro giuridico uniforme, in particolare per lo sviluppo, l’immissione sul mercato, la messa in servizio e l’uso dei sistemi di intelligenza artificiale nell’Unione. La norma afferma inoltre la finalità di promuovere un’intelligenza artificiale antropocentrica e affidabile e di garantire un livello elevato di protezione della salute, della sicurezza e dei diritti fondamentali sanciti dalla Carta dei diritti fondamentali dell’Unione europea. Nella parte motivazionale, il Regolamento evidenzia che divergenze normative tra Stati membri possono incidere negativamente sul mercato interno e sulla certezza del diritto, rendendo necessaria un’armonizzazione che sostenga l’innovazione senza sacrificare la tutela delle persone.
L’ambito di applicazione e la catena dei soggetti
L’Art. 2 dell’AI Act definisce un ambito di applicazione ampio e strutturato, che include, tra gli altri, i fornitori, gli utilizzatori, gli importatori, i distributori, i fabbricanti di prodotti con sistemi di intelligenza artificiale integrati e rappresentanti autorizzati. La disciplina si applica anche a soggetti stabiliti in paesi terzi, quando il risultato prodotto dal sistema di intelligenza artificiale è utilizzato nell’Unione. Ne discende che il Regolamento non costruisce la responsabilità normativa soltanto sul luogo di stabilimento dell’operatore, ma sulla proiezione funzionale dell’attività e sull’utilizzo dell’output nel territorio dell’Unione.
Il coordinamento dell’AI Act con il GDPR
L’AI Act chiarisce che il diritto fondamentale alla protezione dei dati personali è garantito, in particolare, dal Regolamento dell’Unione europea 2016/679, altrimenti noto come GDPR, e che il nuovo quadro sull’intelligenza artificiale non mira a pregiudicare l’applicazione del diritto dell’Unione in materia di trattamento dei dati personali. Il testo richiama inoltre i compiti e i poteri delle autorità di controllo indipendenti competenti a monitorare la conformità con tali strumenti. Il Regolamento GDPR, a sua volta, afferma che la protezione delle persone fisiche con riguardo al trattamento dei dati personali è un diritto fondamentale e che il trattamento deve rispettare il principio di proporzionalità rispetto alle finalità perseguite. Allo stato attuale, questo coordinamento impone una lettura integrata. La disciplina sull’intelligenza artificiale definisce i perimetri e le logiche di rischio, mentre la disciplina sui dati personali governa, con carattere generale, le condizioni di liceità e le garanzie per l’interessato.
Il raccordo italiano nella Legge 23 settembre 2025, n. 132
La Legge 23 settembre 2025, n. 132 reca principi in materia di ricerca, sperimentazione, sviluppo, adozione e applicazione di sistemi e modelli di intelligenza artificiale, promuovendo un utilizzo corretto, trasparente e responsabile in una dimensione antropocentrica. La legge dichiara inoltre di garantire la vigilanza sui rischi economici e sociali e sull’impatto sui diritti fondamentali dell’intelligenza artificiale. La medesima legge stabilisce che le sue disposizioni si interpretano e si applicano conformemente all’AI Act. Richiama inoltre, tra i principi generali, quello della trasparenza, della proporzionalità, della sicurezza, della protezione dei dati personali, della riservatezza, dell’accuratezza e della non discriminazione. Questo raccordo normativo, per come formulato, consente di leggere il diritto interno come un piano di principi che si colloca entro la cornice europea e che ne rafforza la proiezione antropocentrica e basata sul rischio.
Un’analisi di compatibilità giuridica
Nel caso dei sistemi che operano inferenze su emozioni o intenzioni, la compatibilità giuridica si gioca, in primis, sulla qualificazione del rischio associato alla biometria e alle sue possibili distorsioni. Il considerando 54 dell’AI Act afferma che le inesattezze tecniche dei sistemi destinati all’identificazione biometrica remota possono determinare risultati distorti e comportare effetti discriminatori, con particolare rilievo rispetto a età, etnia, razza, sesso o disabilità. Il medesimo considerando precisa inoltre che è opportuno classificare come ad alto rischio i sistemi di intelligenza artificiale destinati alla categorizzazione biometrica in base ad attributi o caratteristiche sensibili protetti dalla normativa sulla protezione dei dati, nella misura in cui non siano vietati dal Regolamento. In questo stesso quadro, il considerando indica che anche i sistemi di riconoscimento delle emozioni che non sono vietati dovrebbero essere classificati come ad alto rischio. È necessario sottolineare, con precisione terminologica, che questa indicazione è formulata nella parte motivazionale e utilizza il linguaggio dell’opportunità di classificazione. Ciò non diminuisce la forza interpretativa del passaggio, ma impone una lettura prudente e aderente al testo. Nel medesimo contesto, il Regolamento distingue la verifica biometrica, inclusa l’autenticazione, quando l’unica finalità è confermare che una persona fisica è chi dice di essere o confermare l’identità al solo scopo di accedere a un servizio, sbloccare un dispositivo o disporre dell’accesso sicuro a locali. Allo stato attuale, questa distinzione consente di affermare che la biometria è regolata secondo un criterio di finalità e contesto. Pertanto, ci sono impieghi strettamente orientati alla conferma dell’identità e impieghi che, proprio perché mirano a inferire aspetti emotivi o intenzionali, si collocano in un’area di rischio più elevato e più esposta a criticità, anche in ragione delle distorsioni tecniche e degli effetti discriminatori richiamati dal Regolamento.
La sicurezza e la protezione dei dati
Quando un sistema di intelligenza artificiale utilizza dati biometrici, la sicurezza e la protezione dei dati personali non sono profili accessori, ma condizioni che si intrecciano con la stessa sostenibilità giuridica dell’impiego. L’AI Act infatti chiarisce che esso non mira a pregiudicare l’applicazione del diritto dell’Unione in materia di trattamento dei dati personali e richiama i compiti e i poteri delle competenti Autorità di controllo indipendenti. La Legge 23 settembre 2025, n. 132 afferma inoltre che, per garantire il rispetto dei diritti e dei principi richiamati, deve essere assicurata quale precondizione essenziale la cybersicurezza lungo tutto il ciclo di vita dei sistemi e dei modelli di intelligenza artificiale, secondo un approccio proporzionale e basato sul rischio, nonché l’adozione di specifici controlli di sicurezza, anche al fine di assicurarne la resilienza contro tentativi di alterarne l’utilizzo, il comportamento previsto, le prestazioni o le impostazioni di sicurezza. In termini di sintesi esemplificativa, e senza attribuire a tale elenco valore prescrittivo ulteriore rispetto a quanto previsto dalle fonti, è possibile richiamare alcuni strumenti organizzativi e tecnologici che risultano coerenti con le finalità di sicurezza, protezione dei dati personali e gestione del rischio espressamente richiamate dalla normativa:
– Minimizzazione dei dati;
– cifratura end-to-end;
– autenticazione forte;
– logging e audit;
– canali di reclamo e segnalazione.
È necessario sottolineare che l’efficacia di tali presidi dipende dalla loro integrazione lungo l’intero ciclo di vita del sistema, in coerenza con l’esigenza di cybersicurezza richiamata dalla legge nazionale e con l’impostazione basata sul rischio.
La vigilanza
L’AI Act richiama, nel contesto del coordinamento con il diritto dell’Unione in materia di protezione dei dati personali, i compiti e i poteri delle Autorità di controllo indipendenti competenti a monitorare la conformità con tali strumenti. La Legge 23 settembre 2025, n. 132 dichiara di garantire la vigilanza sui rischi economici e sociali e sull’impatto sui diritti fondamentali dell’intelligenza artificiale e stabilisce che le sue disposizioni devono essere interpretate e applicate conformemente all’AI Act. Allo stato, la prospettiva che emerge è quella di una regolazione che collega l’innovazione alla responsabilità, e che colloca la sicurezza e la tutela dei diritti fondamentali al centro della legittimazione dei sistemi di intelligenza artificiale, soprattutto quando essi operano su dati biometrici e producono inferenze su emozioni o intenzioni.
Riflessioni conclusive
Il Regolamento (UE) 2024/1689 “AI Act” istituisce regole armonizzate sull’intelligenza artificiale nell’Unione europea e intende promuovere un’intelligenza artificiale antropocentrica e affidabile, garantendo un livello elevato di protezione della salute, della sicurezza e dei diritti fondamentali. In tale quadro, la biometria assume un rilievo particolare, poiché il Regolamento riconosce che inesattezze tecniche nei sistemi destinati all’identificazione biometrica remota possono determinare risultati distorti e comportare effetti discriminatori, e indica che i sistemi di riconoscimento delle emozioni non vietati dovrebbero essere classificati come ad alto rischio. Il coordinamento con il Regolamento (UE) 2016/679 “GDPR” resta imprescindibile, poiché la protezione dei dati personali è un diritto fondamentale e il nuovo quadro sull’intelligenza artificiale non mira a pregiudicare l’applicazione del diritto dell’Unione in materia di trattamento dei dati personali. Sul piano nazionale, la Legge 23 settembre 2025, n. 132 “Legge italiana sull’IA” promuove un utilizzo corretto, trasparente e responsabile dell’intelligenza artificiale e richiede che la cybersicurezza sia assicurata lungo tutto il ciclo di vita dei sistemi e dei modelli, secondo un approccio proporzionale e basato sul rischio, con l’adozione di specifici controlli di sicurezza. In definitiva, ogniqualvolta la tecnologia pIò potenzialmente ridurre la persona Umana in un mero risultato, la qualità del diritto si misura nella capacità di trasformare quel risultato in responsabilità.
Riferimenti
Regolamento (UE) 2024/1689
Regolamento (UE) 2016/679
Legge 23 settembre 2025, n. 132
