Cybersecurity nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber L'esperto risponde News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

DALLA CNIL

Raccolta dati e AI, come informare correttamente gli interessati: le raccomandazioni

Home News, attualità e analisi Cyber sicurezza e privacy
Partecipa al dibattito
Indirizzo copiato

La CNIL chiarisce come informare gli utenti/interessati quando si utilizzano sistemi di intelligenza artificiale, rendendo note delle linee guida molto operative e altrettanto dettagliate circa gli obblighi di trasparenza quando si raccolgono dati con l’AI. Il tutto in perfetta linea con i dettami del GDPR. Vediamo meglio

Pubblicato il 12 gen 2026
Chiara Ponti

Avvocato, Privacy Specialist & Legal Compliance e nuove tecnologie – Giornalista

AI raccolta dati informativa

L’Autorità Garante privacy francese (CNIL) ha pubblicato lo scorso 5 gennaio 2026 linee guida decisamente operative e assai dettagliate sugli obblighi di trasparenza quando si usano sistemi di intelligenza artificiale.

Non si tratta di novità aggiuntive o discostanti rispetto al GDPR. La CNIL offre, come di consueto, una interpretazione pragmatica di come le attuali regole GDPR compliant trovano applicazione in caso di strumento di AI, e in particolare modo alle cd “attività di training”.

Vediamo quali sono i punti che in concreto potranno avere un impatto maggiore.

Raccolta dati e AI: le sfide legali del web scraping secondo la CNIL

Raccolta dati e AI: gli impatti

La CNIL attraverso questa guida dettaglia quali sono gli obblighi che le Organizzazioni devono seguire quando sviluppano modelli o sistemi di intelligenza artificiale che interessano il trattamento di dati personali.

Ne consegue che il primo impatto riguarda il diritto che gli interessati hanno nell’essere informati di come, appunto, i loro dati sono trattati.

La trasparenza è essenziale, e in caso di raccolta indiretta, occorre informare il prima possibile, e comunque entro un mese da quando sono stati raccolti e quindi ottenuti i dati, lasciando – si badi bene – a un lasso di tempo ragionevole tra l’informativa e il training del modello quando i dati sono (ex) sensibili, sì da consentire l’esercizio dei diritti prima dell’addestramento.

Le informazioni devono essere “chiare, comprensibili e facilmente accessibili”. Di qui la CNIL incoraggia esplicitamente ad adoperare “schemi e rappresentazioni visive”, “spiegazioni su come i dati sono utilizzati per il training”, sottolineando la netta distinzione tra:

  • dataset di addestramento
  • modello
  • output

Poi la CNIL nella guida in parola pone la sua attenzione su un aspetto importante e cioè se è possibile fornire le informazioni che riguardano i sistemi di AI all’interno di modelli di documentazione esistenti (come schede tecniche, schede modello o schede per sistemi di intelligenza artificiale).

Evidentemente sì purché siano “facilmente accessibili, chiare e comprensibili per gli interessati”.

In altri termini, devono essere evidenziate chiaramente nella documentazione già esistente.

Non solo, la CNIL raccomanda poi di strutturare la informativa su più livelli, privilegiando “al primo livello le informazioni essenziali (identità del titolare del trattamento, finalità e diritti delle persone)”.

Informativa nei caso d’uso di AI: tutti gli obblighi per le aziende

Dalla linea guida in parola, si possono ricavare una serie di indicazioni circa gli obblighi per le aziende.

Obbligo di garantire la trasparenza del trattamento

Il primo obbligo risiede, come anticipato, nel garantire la trasparenza del trattamento. Il principio di trasparenza d’altronde è un “sacro fuoco” già nel GDPR, imponendo alle Organizzazioni che trattano dati personali di “informare gli interessati affinché comprendano gli usi che saranno fatti dei loro dati (perché e come) e siano in grado di esercitare i propri diritti (diritti di opposizione, diritto di accesso, diritto di rettifica, ecc.)”, scrive esplicitamente la CNIL.

Ciò vale a prescindere che i dati siano raccolti direttamente dagli interessati ovvero raccolti indirettamente (presso terze parti).

Se poi, come noto, il titolare del trattamento dovesse trovarsi a raccogliere i dati di training direttamente dagli interessati, dovrà informarli al momento della raccolta (ex art. 14 GDPR).

Come buona prassi – scrive espressamente la CNIL – “laddove i dati siano particolarmente sensibili per le persone, la CNIL invita le organizzazioni a rispettare un periodo di tempo ragionevole tra il momento in cui le persone vengono informate che i loro dati sono contenuti nel set di dati di addestramento e l’addestramento di un modello su tale set (direttamente o a seguito della trasmissione del set di dati)”.

Ciò al fine di mettere gli utenti/interessati nelle condizioni di poter esercitare i propri diritti durante questo periodo e contesto (di AI).

Obbligo di rendere accessibili tutte le informazioni

Altro obbligo, connesso al primo, risiede nel rendere accessibili tutte le informazioni, sul presupposto che per gli utenti/interessati “non deve essere difficile accedere alle informazioni o comprenderle”.

Quando si deve addestrare un sistema di AI, la CNIL sottolinea poi che le informative debbono essere tenute ben “distinte da altre informazioni non correlate alla protezione dei dati” (termini e condizioni generali, note legali ecc.).

Nella pratica, diversi sono i modi per fornirlo: da un lato allorché vengano fornite informazioni individuali, queste ultime dovranno esserci sul modulo online utilizzato per raccogliere i dati, essere menzionate nelle e-mail o nelle lettere inviate dal riutilizzatore dei dati durante il suo primo contatto con gli interessati; dall’altro allorché si forniscano “informazioni di carattere generale”, assumendo quindi la forma di avvisi informativi pubblicati sul sito web liberamente accessibile, per esempio.

Obbligo di rendere chiare le informazioni

Infine, v’è un obbligo di rendere chiare cioè “intelleggibili” tutte le informazioni. Concetto che già il GDPR prevede se pensiamo che lo stesso impone al riguardo “informazioni fornite in forma concisa, trasparente, intelligibile e facilmente accessibile, utilizzando un linguaggio chiaro e semplice”.

Né tanto meno la complessità dei sistemi di intelligenza artificiale non può se non anche non deve impedire una corretta, quasi intuitiva, comprensione delle informazioni da parte degli interessati.

Di qui la raccomandazione per tutti i titolari del trattamento di “definire chiaramente le principali conseguenze del trattamento: in altre parole, scrive la CNIL, quale sarà effettivamente l’effetto dello specifico trattamento.

Le informazioni potrebbero quindi dettagliare, ad esempio mediante diagrammi, come i dati vengono utilizzati durante la fase di addestramento, il funzionamento del sistema di intelligenza artificiale sviluppato, nonché la distinzione che deve essere fatta tra il set di dati di addestramento, il modello di intelligenza artificiale e gli output del modello”.

L’informativa nei caso d’uso di AI: le due deroghe

Non mancano tuttavia, deroghe e in particolare alle informazioni individuali. D’altra parte, lo stesso GDPR le prevede pensiamo al caso della disposizione del diritto dell’UE o nazionale ne consente l’esclusione (ex art. 23); e poi la CNIL fa una serie di esempi.

Vediamone alcuni, rimandando alla lettura integrale della guida per ulteriori approfondimenti.

L’interessato ha già ottenuto le informazioni sul trattamento per finalità di sviluppo

Situazione tale per cui gli interessati sono già stati informati di tutte le caratteristiche del trattamento, tra cui le finalità, l’identità del titolare del trattamento, e in teoria non sarebbero necessarie nuove informazioni.

Con una precisazione, “in caso di dati raccolti da terzi, il titolare del trattamento dovrà garantire che siano già state fornite agli interessati informazioni complete sul proprio trattamento”.

L’informazione richiederebbe uno sforzo sproporzionato

Altra situazione si palesa quando l’informazione richiede uno “sforzo sproporzionato” il titolare del trattamento può semplicemente rendere pubbliche le informazioni.

Si tratta di una ipotesi ricorrente spesso in quei contesti in cui non si hanno più rapporti con le persone di cui si trattano i dati (ad esempio nel caso di riutilizzo di un set di dati creato da terzi), non disponendo quindi dei loro dati di contatto.

In questi casi, è necessario effettuare un’analisi caso per caso, considerando da un lato il contesto specifico di ogni trattamento da un lato, e dall’altro il “carattere sproporzionato della misura”, soppesando tanto “l’ingerenza nella privacy delle persone i cui dati vengono trattati” quanto “l’onere che comporterebbe la fornitura individuale delle informazioni a ciascun interessato” scrive la CNIL alla quale si rinvia per gli ulteriori approfondimenti al riguardo, se di interesse.

Conclusioni

In conclusione, potremmo dire nulla di nuovo sotto il sole. Le linee guida sin qui analizzate altro non dicono se non rimarcare quei concetti basilari nonché “sacri” principi del GDPR che mette al centro il diritto degli utenti/interessati a essere informati chiaramente.

Ancora una volta, quindi, le Organizzazioni sono spinte a ragionare in termini trasparenti e conformi all’approccio ormai decennale del Regolamento europeo in materia di protezione dati, sì integrando la trasparenza dell’AI in ottica by design.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

P
Chiara Ponti
Avvocato, Privacy Specialist & Legal Compliance e nuove tecnologie – Giornalista

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Who's Who

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
PA digitale
AI per il lavoro
Mobile security
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • Cultura aziendale in materia di IA: obblighi e best practice

  • AI Act

    Cultura aziendale in materia di AI: obblighi e best practice

    19 Feb 2025

    di Pietro Boccaccini

    Condividi
  • Come trovare un indirizzo IP

  • LA GUIDA

    Come trovare, cambiare e nascondere l'indirizzo IP: la guida completa

    09 Set 2025

    di Redazione Cybersecurity360.it

    Condividi
  • Pig butchering: come funziona la filiera delle truffe online

  • mercato nero

    Pig butchering: come funziona la filiera delle truffe online

    25 Feb 2025

    di Laura Teodonno e Tommaso Diddi

    Condividi
  • Confronto fra DORA e NIS 2

  • regolamento DORA

    Gestione incidenti ICT: i 6 criteri di classificazione e soglie di rilevanza per valutarne la gravità

    23 Giu 2025

    di Fabrizio Brioschi e Salvatore Buscema

    Condividi
0
Lascia un commento, la tua opinione conta.x