Legge sull’AI: tutela privacy “diversificata” per i minori

La legge sull’intelligenza artificiale (la legge 132/2025, recentemente pubblicata in Gazzetta Ufficiale) rappresenta la prima disciplina organica nazionale sul tema dell’artificial intelligence e va interpretata e applicata conformemente al Regolamento europeo 2024/1689 (cd. AI Act).

La legge, nel primo articolo dedicato alle finalità e all’ambito di applicazione, afferma espressamente che l’intervento legislativo è volto a cogliere le opportunità offerte dagli strumenti e modelli di AI, ma, parallelamente, detta rilevanti principi entro i quali l’utilizzo di tali tecnologie deve muoversi. Fondamentalmente, infatti, il nuovo impianto normativo conferma una visione “umano-centrica” cui tende l’ordinamento italiano nell’interpretazione e nell’utilizzo di sistemi e modelli innovativi di AI. 

L’approccio è quello di valorizzare le potenzialità dei sistemi di AI, “governandone” l’applicazione e il loro utilizzo attraverso la specificazione di importanti criteri e principi generali, anche con riferimento ai soggetti minori di età utilizzatori di tecnologie innovative per i quali sono previste “soglie di età” diverse e specifiche in base ai casi.

Innanzitutto, con riferimento ai principi generali applicabili, la legge sull’AI promuove un utilizzo dell’intelligenza artificiale corretto, trasparente e responsabile, valorizzando una dimensione antropocentrica.

Non solo. La ricerca, la sperimentazione, lo sviluppo, l’adozione e l’applicazione di sistemi e di modelli di intelligenza artificiale deve avvenire nel rispetto dei diritti fondamentali e delle libertà previste dalla Costituzione, del diritto dell’Unione europea e dei principi di trasparenza, proporzionalità, sicurezza, protezione dei dati personali, riservatezza, accuratezza, non discriminazione, parità dei sessi e sostenibilità, nonché nel rispetto dell’autonomia e del potere decisionale dell’uomo, della prevenzione del danno, della conoscibilità, della spiegabilità, assicurando la sorveglianza e l’intervento umano.

Il Legislatore nazionale pone tra i principi generali che devono essere rispettati nell’applicazione dell’AI il versante della protezione dei dati personali e della riservatezza.

Infatti, le tecnologie dell’AI per funzionare hanno bisogno di raccogliere, elaborare, trattare e conservare un elevatissimo numero di dati e se questi dati sono “dati personali” allora appare chiaro lo stretto rapporto esistente tra gli strumenti di AI e la disciplina in materia di trattamento e protezione dei dati personali (in primis, GDPR e Codice privacy).

La legge 132/2025 dedica l’articolo 4, rubricato “Principi in materia di informazione e di riservatezza dei dati personali”, agli importanti “contesti valoriali” della libertà di espressione e della lealtà dell’informazione, nonché della data protection.

Al primo comma, infatti, specifica che l’utilizzo di sistemi di intelligenza artificiale nell’informazione deve avvenire senza recare pregiudizio alla libertà e al pluralismo dei mezzi di comunicazione, alla libertà di espressione e all’obiettività, completezza, imparzialità e lealtà dell’informazione. 

Mentre è il secondo comma che si riferisce direttamente al mondo privacy stabilendo dapprima dei criteri generali e poi dedicandosi specificatamente ai soggetti minori. 

In particolare, prevede che l’utilizzo di sistemi di intelligenza artificiale deve garantire il trattamento lecito, corretto e trasparente dei dati personali e la compatibilità con le finalità per le quali sono stati raccolti, in conformità al diritto dell’Unione europea in materia di dati personali e di tutela della riservatezza. Inoltre, le informazioni e le comunicazioni relative al trattamento dei dati connesse all’utilizzo di sistemi di intelligenza artificiale devono essere rese con linguaggio chiaro e semplice, in modo da garantire all’utente la conoscibilità dei relativi rischi e il diritto di opporsi ai trattamenti autorizzati dei propri dati personali.

Come anticipato, l’articolo 4 della legge 132/2025 in commento disciplina il rapporto tra gli strumenti di AI e i soggetti minorenni, dettagliando delle “soglie di età” specifiche.

In particolare, la norma stabilisce che l’accesso alle tecnologie di intelligenza artificiale da parte dei minori di anni 14, nonché il conseguente trattamento dei dati personali, richiedono il consenso di chi esercita la responsabilità genitoriale, nel rispetto di quanto previsto dal GDPR e dal Codice privacy. 

Mentre, il minore di 18 anni, che abbia compiuto i 14 anni, può esprimere il proprio consenso per il trattamento dei dati personali connessi all’utilizzo di sistemi di intelligenza artificiale, purché le informazioni e le comunicazioni, sopra citate, che garantiscono all’utente la conoscibilità dei rischi legati al sistema e il diritto di opporsi ai trattamenti autorizzati dei propri dati personali siano facilmente accessibili e comprensibili (informazioni che comunque, per tutti, lo si ribadisce, minorenni e non, vanno esplicate con linguaggio chiaro e semplice).

In generale, la disciplina sulla protezione dei dati personali riserva norme specifiche a tutela dei minori perché essi sono meno consapevoli dei rischi, delle conseguenze e delle misure di salvaguardia, nonché dei loro diritti in relazione al trattamento dei dati personali.

Tale ragionamento basato sulla “fisiologica” minor consapevolezza delle giovani generazioni, contenuto espressamente nel Considerando n. 38 del GDPR, fonda una tutela privacy “elevata e rafforzata” per i minori in particolar modo in relazione ai servizi della società dell’informazione.

Poiché, in tale ambito si pone il rischio di un trattamento non conforme alla normativa privacy in relazione all’utilizzo dei dati personali dei minori a fini di marketing o di creazione di profili di personalità o di utente e alla raccolta di dati personali di minori all’atto dell’utilizzazione di servizi forniti direttamente a un minore.

Per ridurre tale rischio, nel contesto dei servizi della società dell’informazione, la normativa sul trattamento dei dati personali definisce ed identifica specificatamente l’età con riferimento alla quale il minore può esercitare un legittimo consenso.

L’articolo 8, GDPR, rubricato “Condizioni applicabili al consenso dei minori in relazione ai servizi della società dell’informazione”, stabilisce che si considera lecito il consenso riferito ai servizi della società dell’informazione prestato da un minore che abbia almeno 16 anni.

In caso contrario, ove il minore avesse un’età inferiore ai 16 anni, il trattamento si considera legittimo se il consenso è prestato da un soggetto che esplica la responsabilità genitoriale sul minore stesso.

Si sottolinea che il citato art. 8, GDPR si applica solo ai servizi oggetto di offerta diretta e il cui legittimo trattamento sia basato sul consenso informato dell’interessato, non riguardando pertanto qualunque trattamento online di dati che si riferiscano ai minori, né qualunque servizio della società dell’informazione al quale i minori possano accedere.

Appare ora cruciale delineare il concetto di “servizio della società dell’informazione”, che è rappresentato da qualsiasi servizio prestato normalmente dietro retribuzione, a distanza, per via elettronica e a richiesta individuale di un destinatario di servizi (l’art. 4, punto 25, GDPR rinvia all’art. 1, par. 1, lettera b) della direttiva Ue 2015/1535).

Tuttavia, l’articolo 8, GDPR lascia liberi gli Stati membri di stabilire per legge un’età inferiore (rispetto ai 16 anni) a tali fini purché non inferiore ai 13 anni.

Il Legislatore italiano ha scelto di raccogliere positivamente questa prescrizione dettata a livello europeo e ha introdotto l’articolo 2-quinquies nel Codice privacy (D.Lgs. 196/2003, come modif. con D.Lgs. 101/2018) abbassando a 14 anni l’età per avere l’espressione di un lecito consenso da parte di un minore in relazione ai servizi in questione, purché il titolare del trattamento rediga le informazioni, in base alle quali il minore presta il consenso, con linguaggio particolarmente chiaro e semplice, conciso ed esaustivo, facilmente accessibile e comprensibile dal minore.

Ecco che tale abbassamento della soglia a 14 anni da parte del Legislatore italiano del Codice privacy è vincolata al rispetto della condizione (informazioni chiare, facilmente accessibili e comprensibili da parte del minore), parametro che ricalca quello sopra descritto e scelto dallo stesso Legislatore italiano nella stesura della legge 132/2025 per l’espressione di un lecito consenso, nell’ambito degli strumenti di AI, per i minori che hanno un’età compresa tra i 14 e i 18 anni.

Se questo articolo è stato di tuo interesse ma non sei ancora abbonato a NT+ Diritto approfittane subito,prova 1 mese da € 4,90!Scopri di più