by Claudio Caldarola
Avvocato specializzato in diritto delle tecnologie.
Dal 2018 Presidente di Global Professionals for Artificial Intelligence
Introduzione
Immaginate un’impresa che affida a un sistema di intelligenza artificiale la preselezione dei curricula, la valutazione dell’affidabilità economica di clienti e fornitori o il supporto alle decisioni organizzative interne. L’intervento umano permane, almeno formalmente, ma l’output algoritmico orienta in modo significativo l’esito finale. In questi scenari, sempre più diffusi nella prassi aziendale europea, la tecnologia non si limita a un ruolo neutro di automazione, ma incide direttamente sulla sfera giuridica delle persone fisiche coinvolte.
La questione di fondamento che si impone è se e in quale misura tale utilizzo possa considerarsi giuridicamente neutro oppure soggetto a un sistema articolato di obblighi e responsabilità. La risposta, allo stato attuale, deve essere ricercata nel nuovo quadro normativo europeo che, con il Regolamento UE 2024 1689, ha introdotto regole armonizzate sull’intelligenza artificiale in coordinamento con il Regolamento UE 2016 679 in materia di protezione dei dati personali.
il caso concreto l’uso dell’intelligenza artificiale nei processi aziendali
Nel contesto aziendale, l’intelligenza artificiale viene oggi impiegata come strumento di supporto decisionale in ambiti eterogenei che comprendono la selezione e la valutazione del personale, la gestione delle risorse umane, la profilazione della clientela, la valutazione del rischio creditizio e l’assistenza automatizzata agli utenti.
Sotto il profilo tecnico, tali sistemi presentano caratteristiche ricorrenti. Essi elaborano grandi quantità di dati, spesso comprendenti dati personali, generano output sotto forma di previsioni, raccomandazioni o punteggi e operano mediante modelli algoritmici suscettibili di aggiornamento nel tempo, anche attraverso tecniche di apprendimento automatico.
È necessario sottolineare che, ai fini giuridici, non assume rilievo decisivo né il grado di automazione né la circostanza che la decisione finale resti formalmente attribuita a un operatore umano. Il Regolamento UE 2024 1689 attribuisce rilievo all’uso concreto del sistema sotto l’autorità dell’impresa e agli effetti che tale uso è idoneo a produrre sulle persone fisiche interessate.
Il quadro normativo di riferimento
Il Regolamento UE 2024 1689 stabilisce un quadro giuridico uniforme per lo sviluppo, l’immissione sul mercato, la messa in servizio e l’uso dei sistemi di intelligenza artificiale nell’Unione europea. Esso si applica sia ai fornitori sia ai soggetti che utilizzano i sistemi sotto la propria autorità, definiti deployer, indipendentemente dal fatto che abbiano sviluppato o meno la tecnologia.
L’articolo 3 del regolamento definisce il sistema di intelligenza artificiale come un software progettato per operare con diversi livelli di autonomia e capace di generare output quali previsioni, raccomandazioni, contenuti o decisioni che possono influenzare ambienti fisici o virtuali. La disciplina adotta un approccio basato sul rischio, distinguendo tra pratiche vietate, sistemi ad alto rischio e sistemi soggetti a obblighi di trasparenza.
Nel contesto aziendale assumono particolare rilievo i sistemi qualificabili come ad alto rischio ai sensi dell’articolo 6 e dell’allegato III del regolamento. Rientrano in tale categoria, tra gli altri, i sistemi utilizzati nell’ambito dell’occupazione e della gestione dei lavoratori, inclusi quelli destinati alla selezione, alla valutazione e al monitoraggio del personale.
Il quadro normativo è completato dal Regolamento UE 2016 679, che continua a trovare piena applicazione ogniqualvolta l’uso dell’intelligenza artificiale comporti il trattamento di dati personali. Il regolamento sull’intelligenza artificiale, come espressamente previsto nei considerando iniziali, non pregiudica l’applicazione della normativa in materia di protezione dei dati, ma si coordina con essa.
Analisi di compatibilità giuridica
Il confronto tra le funzionalità dei sistemi di intelligenza artificiale impiegati nei processi aziendali e gli obblighi previsti dal Regolamento UE 2024 1689 evidenzia una pluralità di nodi critici. In primo luogo, l’impresa utilizzatrice non può limitarsi a una valutazione iniziale del sistema al momento dell’adozione, poiché è richiesta una verifica continuativa della conformità, tenuto conto dell’evoluzione del software, degli aggiornamenti dei modelli e delle eventuali modifiche delle finalità di utilizzo.
Per i sistemi ad alto rischio, il regolamento impone obblighi specifici che incidono direttamente sull’organizzazione interna dell’impresa. Tra questi assumono rilievo la gestione dei rischi connessi all’uso del sistema, la verifica della qualità e dell’adeguatezza dei dati utilizzati, la conservazione della documentazione e l’assicurazione di una supervisione umana effettiva e non meramente formale.
È opportuno precisare che tali obblighi sono distribuiti lungo la catena del valore dell’intelligenza artificiale. In alcuni casi, il deployer può assumere obblighi analoghi a quelli del fornitore, in particolare quando modifica in modo sostanziale il sistema o ne determina una nuova finalità di utilizzo ai sensi dell’articolo 25 del regolamento.
In via preliminare, può affermarsi che l’uso dell’intelligenza artificiale nei processi decisionali aziendali risulta compatibile con il quadro normativo europeo soltanto se l’impresa è in grado di dimostrare il rispetto dei principi di liceità, trasparenza e proporzionalità, nonché l’effettività della supervisione umana quale elemento dirimente.
Sicurezza e protezione dei dati
Un profilo centrale riguarda la protezione dei dati personali e la sicurezza delle informazioni. I sistemi di intelligenza artificiale aziendali possono trattare dati relativi a dipendenti, candidati, clienti e soggetti terzi e, in tali ipotesi, trovano piena applicazione i principi sanciti dall’articolo 5 del Regolamento UE 2016 679, tra cui il principio di minimizzazione dei dati e quello di limitazione delle finalità.
L’impresa, in qualità di titolare del trattamento, è tenuta ad adottare misure tecniche e organizzative adeguate ai sensi dell’articolo 32 del regolamento, tenendo conto dei rischi per i diritti e le libertà delle persone fisiche. Nei casi in cui l’uso dell’intelligenza artificiale comporti un rischio elevato, può rendersi necessaria una valutazione di impatto sulla protezione dei dati ai sensi dell’articolo 35.
In via esemplificativa, tali misure possono consistere nella riduzione dei dati trattati allo stretto necessario e nella definizione puntuale delle finalità, nell’adozione di tecniche di cifratura dei flussi informativi, nell’implementazione di meccanismi di autenticazione robusta per gli utenti autorizzati, nella predisposizione di sistemi di tracciamento e verifica delle operazioni nonché nella creazione di canali strutturati di reclamo e segnalazione per gli interessati. L’adeguatezza di tali misure deve essere valutata caso per caso e debitamente documentata, anche al fine di dimostrare la conformità in sede di controllo da parte delle autorità competenti.
Vigilanza e prospettive
Il sistema di vigilanza previsto dal Regolamento UE 2024 1689 si fonda su un’articolazione multilivello. A livello nazionale operano le autorità competenti designate dagli Stati membri, mentre a livello europeo sono previsti meccanismi di coordinamento e supervisione. Per i profili di protezione dei dati personali restano centrali i poteri delle autorità di controllo ai sensi del Regolamento UE 2016 679.
Le autorità possono richiedere informazioni, accedere alla documentazione tecnica e verificare le misure organizzative adottate dall’impresa. In tale contesto, l’accountability, intesa come capacità di dimostrare il rispetto degli obblighi normativi, assume un ruolo centrale quale snodo interpretativo del nuovo assetto regolatorio.
Guardando alle prospettive future, emerge la necessità di un diritto adattivo, capace di accompagnare l’evoluzione tecnologica senza sacrificare la tutela dei diritti fondamentali. Ciò richiede un approccio proattivo fondato su controlli periodici, integrazione delle competenze giuridiche e tecniche e consapevolezza del ruolo sociale dell’intelligenza artificiale.
Conclusioni
L’introduzione dell’intelligenza artificiale nei processi aziendali rappresenta una leva di innovazione rilevante, ma comporta una ridefinizione profonda delle responsabilità giuridiche delle imprese. Il Regolamento UE 2024 1689, in coordinamento con il Regolamento UE 2016 679, impone un approccio basato sugli effetti concreti delle tecnologie utilizzate e sulla tutela dei diritti fondamentali delle persone.
Il bilanciamento tra innovazione e protezione dei diritti non può che fondarsi sul principio di proporzionalità e sulla centralità della dignità umana. In definitiva, la questione dirimente non è soltanto quella della conformità normativa, ma quella di costruire un modello di intelligenza artificiale affidabile, responsabile e coerente con i valori fondanti dell’ordinamento europeo.
RIFERIMENTI
Regolamento UE 2024 1689 del Parlamento europeo e del Consiglio del 13 giugno 2024;
Regolamento UE 2016 679 del Parlamento europeo e del Consiglio del 27 aprile 2016;
Carta dei diritti fondamentali dell’Unione europea.
Short bio
Claudio Caldarola è un avvocato e giurista italiano specializzato in intelligenza artificiale e diritto delle tecnologie, con competenze in regolamentazione delle nuove tecnologie, protezione dei dati, governance digitale ed etica dell’intelligenza artificiale. Presidente e fondatore, dal 2018, di GP4AI – Global Professionals for Artificial Intelligence aps ets (www.gp4ai.com), svolge attività accademica come docente in master universitari e programmi di alta formazione. National PhD Student in Artificial Intelligence Health and Life Sciences presso l’Università Campus Bio-Medico di Roma. La sua attività si concentra sul Regolamento europeo sull’intelligenza artificiale, sulla compliance algoritmica, sui criteri ESG applicati ai sistemi intelligenti, sui neurodiritti legati alle interfacce cervello-computer (BCI) e sulle implicazioni di governance, policy e geopolitica dell’IA, con un approccio integrato che coniuga diritto, tecnologia e strategie di impatto sistemico. In precedenza è stato componente della Commissione Informatica dell’Ordine degli Avvocati di Bari. Dal 2025 cura la rubrica “IA & Legal” su ItaloRED.it. Riconosciuto esperto nel settore dell’IA, è regolarmente invitato come relatore in contesti accademici, istituzionali e professionali, nonché punto di riferimento su tematiche legate all’innovazione tecnologica, anche sui media.
