Cybersecurity nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber L'esperto risponde News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

athority francese

Cnil: le condizioni per il legittimo interesse nello sviluppo AI, focus sul web scraping

Home News, attualità e analisi Cyber sicurezza e privacy
Indirizzo copiato

L’Autorità garante per la protezione dei dati francese, Cnil, ha fornito le raccomandazioni sull’uso del legittimo interesse per lo sviluppo dei sistemi di AI, nel caso della raccolta di dati online. Ecco tutti i dettagli

Pubblicato il 23 giu 2025
Chiara Ponti

Avvocato, Privacy Specialist & Legal Compliance e nuove tecnologie – Giornalista

Ai Act linee guida Ue: usi proibiti, rischio inaccettabile

A distanza di poco più di un anno rispetto al 10 giugno 2024, in cui la Cnil lanciava una consultazione pubblica sullo sviluppo dei sistemi di intelligenza artificiale (AI), è uscito l’esito con la pubblicazione delle raccomandazioni.

Nello specifico, si tratta delle condizioni per l’utilizzo del legittimo interesse nei sistemi AI, in particolare nel caso di web scraping.

Cos’è l’intelligenza artificiale? Ecco le linee guida UE per la corretta applicazione dell’AI Act

Due raccomandazioni Cnil: legittimo interesse come base giuridiche

Il 19 giungo 2025 la Cnil rende note due nuove raccomandazioni, elaborate a seguito della consultazione pubblica accennata, volte a garantire che lo sviluppo di sistemi di AI avvenga nel pieno rispetto dei dati personali (foglio 7).

È possibile utilizzare il legittimo interesse nello sviluppo dei sistemi di AI, ma a determinate condizioni.

Nel riassunto della scheda informativa in questione, emerge come lo sviluppo di sistemi di AI non richieda in maniera sistematica il consenso degli individui, in perfetta linea con il parere dell’EDPB (dicembre 2024).

Ne consegue che il legittimo interesse possa essere una “possibile” base giuridica per lo sviluppo di sistemi di AI, purché siano adottate garanzie/misure solide che consentano di rispettare le condizioni di validità dell’alternativa al consenso valutando caso per caso:

  • il rapporto tra legittimo interesse e consenso, ricordando la CNIL come “non esiste una gerarchia tra basi giuridiche. Ogni base giuridica è autonoma e si applica a seconda delle circostanze, senza che nessuna sia superiore alle altre”, prospettiva molto interessante e condivisibile;
  • la condizione circa la legittimità dell’interesse, la CNIL ribadisce che ” lo sviluppo (e il miglioramento) di un modello di AI di uso generale deve essere specificato con l’obiettivo perseguito dallo sviluppo del modello” andando a indicare nello specifico quale sia l’interesse;
  • la necessità del trattamento, rammentando che dovrà essere valutata alla luce dell’interesse perseguito, facendo il caso di quando l’utilizzo di un modello di AI sia conosciuto fin dalla fase di sviluppo, assurgendo a “criterio rilevante”;
  • il bilanciamento di interessi (“esercizio di equilibrio”) senza dimenticare che l’analisi della ponderazione deve essere effettuata caso per caso, alla luce del contesto e delle circostanze specifiche di trattamento, aprendosi tutta la tematica dell’analisi dei rischi durante la fase di sviluppo (RIA) – aspettative e misure consigliate (anonimizzazione / pseudoanonimizzazione).

Esempi concreti: focus sul web scraping

Queste raccomandazioni aiutano a valutare i casi in cui si possa avvalere, come base giuridica, del legittimo interesse.

La Cnil, per agevolare ciò, fornisce dei criteri per effettuare l’analisi e li applica nel caso specifico della raccolta di dati online (web scraping).

In particolare, offre esempi di garanzie concrete adattate a diverse tipologie di sistemi di AI dall’esclusione di determinati dati dalla raccolta, a una maggiore trasparenza, concreta agevolazione nell’esercizio dei diritti.

Più nel dettaglio, fa l’esempio relativo al “riutilizzo di conversazioni future degli utenti di un agente conversazionale per migliorare il modello di intelligenza artificiale”.

Quest’ultimo può ben basarsi su un legittimo interesse, a condizione che vengano messe in atto determinate garanzie/misure sia obbligatorie di minimizzazione che tutte quelle supplementari (tra cui l’esclusione by default della raccolta di dati da determinati siti e quelli che si oppongono chiaramente alla raccolta sulla base dei T&C, la limitazione della raccolta ai dati liberamente accessibili e resi manifestamente pubblici, il diritto di opposizione “discrezionale”.

In merito al diritto di opposizione discrezionale, la Cnil letteralmente “incoraggia lo sviluppo di soluzioni tecniche che facilitino il rispetto dell’esercizio del diritto di opposizione prima della raccolta dei dati” e specifica che “per alcune operazioni di trattamento, esistono meccanismi di push list, che potrebbero essere recepiti se del caso in relazione al trattamento dei dati attuato”.

Raccomandazioni generali della Cnil

Più in generale, dal maggio del 2023, la Cnil aveva lanciato il piano di azione per l’AI.

Ad oggi ha adottato una serie di raccomandazioni (schede informative) sempre a seguito di consultazioni pubbliche con lo scopo, da un lato, di dar voce alle parti interessate (aziende, ricercatori, accademici, associazioni, consulenti legali e tecnici, sindacati, federazioni eccetera), consentendo, dall’altro, alla Cnil di offrire raccomandazioni il più possibile vicine alle loro preoccupazioni e alla realtà degli utilizzi della AI.

Le raccomandazioni già pubblicate vertono in particolare sul:

  • determinare il regime giuridico applicabile;
  • definire uno scopo;
  • determinare la qualificazione giuridica degli attori;
  • definire una base giuridica;
  • effettuare test e verifiche in caso di riutilizzo dei dati;
  • svolgere un’analisi di impatto, se necessario;
  • tenere conto della protezione dei dati nella scelta della progettazione del sistema;
  • tenere in esame della protezione dei dati nella raccolta e nella gestione dei dati;
  • informare le persone;
  • garantire e facilitare l’esercizio dei diritti.

Come sviluppare i sistemi di AI a prova di GDPR

Il punto consiste nel sviluppare dei sistemi di AI che siano a prova di GDPR. D’altronde come ben specifica la CNIL nel comunicato in disamina, “il GDPR contribuisce all’intelligenza artificiale innovativa che rispetta i dati personali”, così esordisce la CNIL nel recente comunicato.

Di qui, la chiave di volta che servirà agli sviluppatori di AI d’ora in avanti per realizzare sistemi di intelligenza artificiale a prova di GDPR, e che si sostanzia in una serie di raccomandazioni.

L’obiettivo è chiaro: garantire il più possibile una “certezza del diritto” alle organizzazioni.

Lo strumento normativo migliore – oltre al deputato AI Act – è il Regolamento europeo. D’altronde, il GDPR e la sua applicazione costituiscono un fattore determinante per la costruzione della fiducia degli individui.

L’intento è anche comune quello cioè di “promuovere l’innovazione nell’intelligenza artificiale, garantendo nel contempo il rispetto dei diritti fondamentali degli europei”.

Prossimi step

Il lavoro fin qui svolto con dedizione dalla Cnil, evidentemente non finisce con
queste nuove raccomandazioni. Anzi, nei prossimi mesi ci attendiamo ulteriori
raccomandazioni in campo AI.

A breve dovrebbe pubblicare le raccomandazioni riguardanti lo status di un modello di AI conforme al GDPR, evidenziando le problematiche di sicurezza nello sviluppo di un sistema di intelligenza artificiale e l’annotazione dei dati.

Inoltre, la Cnil rende noto che sta proseguendo i suoi lavori in seno all’EDPB, in ordine alla relazione tra il GDPR e l’RIA, nonché sulla raccolta di dati nel contesto dell’intelligenza artificiale generativa. Ancora una volta l’Autorità francese si dimostra un passo avanti.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

P
Chiara Ponti
Avvocato, Privacy Specialist & Legal Compliance e nuove tecnologie – Giornalista

Leggi anche:

Who's Who

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
Mobile security
AI per il lavoro
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • Cultura aziendale in materia di IA: obblighi e best practice

  • AI Act

    Cultura aziendale in materia di AI: obblighi e best practice

    19 Feb 2025

    di Pietro Boccaccini

    Condividi
  • Come trovare un indirizzo IP

  • LA GUIDA

    Come trovare, cambiare e nascondere l'indirizzo IP: la guida completa

    09 Set 2025

    di Redazione Cybersecurity360.it

    Condividi
  • Pig butchering: come funziona la filiera delle truffe online

  • mercato nero

    Pig butchering: come funziona la filiera delle truffe online

    25 Feb 2025

    di Laura Teodonno e Tommaso Diddi

    Condividi
  • ACN Framework posta elettronica i dettagli

  • linee guida

    Sicurezza dell’e-mail: dal framework ACN all’attuazione concreta

    08 Set 2025

    di Sandro Sana

    Condividi