Intelligenza Artificiale nella Pubblica Amministrazione: nuove regole per proteggere i dati dei cittadini

Nel 2025 l’Intelligenza Artificiale è ormai una presenza fissa nella quotidianità dei cittadini e nei processi decisionali delle pubbliche amministrazioni italiane. Una diffusione che offre vantaggi concreti in ambiti come sanità, mobilità, energia e servizi pubblici, ma che porta con sé interrogativi cruciali su etica, sicurezza e soprattutto privacy. Per questo motivo, l’Agenzia per l’Italia Digitale (AGID) ha pubblicato a febbraio nuove linee guida destinate a regolamentare l’adozione di sistemi di AI nella gestione della cosa pubblica.

Il documento chiarisce che le amministrazioni che ricorrono all’Intelligenza Artificiale devono rispettare in pieno la normativa europea e nazionale in materia di protezione dei dati personali, a partire dal Regolamento Generale sulla Protezione dei Dati (GDPR). Non solo: anche i gestori di servizi pubblici e le società a controllo pubblico sono tenuti ad adeguarsi.

Le PA titolari dei dati, anche se l’IA è fornita da terzi

Uno dei punti chiave delle linee guida riguarda la responsabilità. Quando una pubblica amministrazione utilizza un sistema di IA per il trattamento di dati personali, assume il ruolo di titolare del trattamento, anche se il servizio è fornito da un soggetto esterno. Questo significa che resta in capo all’ente pubblico la responsabilità di garantire il rispetto dei diritti dei cittadini e la sicurezza dei dati trattati.

Tre principi cardine per un’IA più trasparente e controllabile

Il Garante per la protezione dei dati personali, già nel suo “Decalogo per i servizi sanitari basati su IA”, aveva indicato tre principi essenziali che ora l’AGID recepisce e amplia:

1. Conoscibilità: i cittadini devono essere informati in modo chiaro sull’esistenza di processi decisionali automatizzati e sulla logica che li governa.

2. Intervento umano: ogni decisione automatica deve poter essere rivista o modificata da un operatore umano, evitando che l’algoritmo abbia l’ultima parola.

3. Non discriminazione algoritmica: le amministrazioni devono garantire che i sistemi di IA siano affidabili, equi e periodicamente verificati per prevenire errori e bias.

Prescrizioni operative e valutazioni d’impatto obbligatorie

Oltre ai principi, l’AGID indica una serie di obblighi pratici per chi implementa sistemi di IA nella PA. Tra questi: assicurare la trasparenza dei trattamenti, raccogliere dati solo per finalità esplicite e legittime, limitare la conservazione dei dati al tempo strettamente necessario e garantire la sicurezza attraverso misure tecniche e organizzative adeguate.

Non meno importante è l’obbligo di effettuare una valutazione d’impatto sulla protezione dei dati personali prima di avviare qualsiasi trattamento mediante AI. Se i rischi individuati risultano elevati e non mitigabili, sarà necessario consultare preventivamente il Garante.

Infine, per i dati particolarmente sensibili — come quelli sanitari o giudiziari — valgono ulteriori restrizioni, con richiami precisi alla normativa europea e all’AI Act in fase di applicazione.

Una sfida di equilibrio tra innovazione e diritti

L’adozione di queste linee guida nasce dalla consapevolezza che l’Intelligenza Artificiale è destinata a incidere sempre più in profondità nella vita amministrativa e sociale. Ma se da un lato rappresenta un’opportunità per rendere i servizi pubblici più efficienti e accessibili, dall’altro è essenziale evitare che questa trasformazione metta a rischio i diritti fondamentali dei cittadini, a partire dalla tutela della privacy.

---

LEGGI ANCHE