L’inserimento, da parte dei professionisti, di dati dei propri clienti su piattaforme IA o il caricamento su queste di documenti di vario genere (contratti, bilanci, verbali...) per ottenere valutazioni sulla loro correttezza può presentare criticità non solo sotto il profilo deontologico e di responsabilità professionale, ma anche dal punto di vista della tutela della privacy, posto che, di fatto, li si sta comunicando a un soggetto terzo che potrebbe utilizzarli anche per scopi ulteriori rispetto alla risoluzione della questione che gli è posta.

Scorrendo la privacy policy di una IA “generalista”, non è infrequente leggere che i dati forniti dall’utente possono essere utilizzati per migliorare il servizio e, ad esempio, per addestrare i modelli che alimentano il programma.
Sul tema dell’intersezione tra disciplina a tutela della riservatezza e intelligenza artificiale, l’art. 4 commi 2 e 3 della L. 132/2025 dispone che l’utilizzo di sistemi di IA “garantisce il trattamento lecito, corretto e trasparente dei dati personali e la compatibilità con le finalità per le quali sono stati raccolti, in conformità al diritto dell’Unione europea in materia di dati personali e di tutela della riservatezza.
Le informazioni e le comunicazioni relative al trattamento dei dati connesse all’utilizzo di sistemi di intelligenza artificiale sono rese con linguaggio chiaro e semplice, in modo da garantire all’utente la conoscibilità dei relativi rischi e il diritto di opporsi ai trattamenti autorizzati dei propri dati personali”.

In sostanza, sono estesi all’ambito dell’intelligenza artificiale i principi vigenti in materia di riservatezza dei dati personali, con particolare rilievo attribuito alla necessità di fornire in modo chiaro e trasparente le informazioni relative all’utilizzo di sistemi di intelligenza artificiale.

Per comprendere quali sono gli aspetti a cui il professionista che utilizza l’IA nel proprio lavoro deve prestare attenzione, va innanzitutto tenuto a mente che egli, quando tratta i dati dei propri clienti esercitando un potere decisionale del tutto autonomo sulle finalità e i mezzi del trattamento, è qualificato come titolare del trattamento ex art. 4 n. 7 del Reg. Ue 2016/679 o GDPR (estendendo agli altri professionisti quanto affermato dal Garante della privacy con riferimento ai consulenti del lavoro nel parere 22 gennaio 2019).

Il titolare del trattamento, tra le altre cose, è soggetto al c.d. principio di “responsabilizzazione” (“accountability”), definibile come l’obbligo generale di adottare comportamenti proattivi e volti a dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del GDPR, mettendo in atto anche misure tecniche di tutela quali la pseudonimizzazione e la anonimizzazione, assicurandosi di raccogliere e trattare solo i dati strettamente necessari allo svolgimento dell’incarico (c.d. minimizzazione).

Tra gli altri principi a cui la propria attività deve conformarsi vi è quello della liceità del trattamento, che deve fondarsi su una delle basi giuridiche individuate dall’art. 6; egli è tenuto, inoltre, a fornire adeguata informativa (art. 13 del GDPR).

Nel caso in esame, tali obblighi dovrebbero concretizzarsi, in primo luogo, nella necessità di procedere a un attento esame dei sistemi di IA (e delle relative privacy policies) presenti sul mercato, preferendo operatori che forniscono specifiche garanzie circa la conservazione e l’utilizzo dei dati. In questa prospettiva, è importante garantire che il sistema di IA non utilizzi i dati per finalità diverse da quelle comunicate dal titolare del trattamento. Ad esempio, è possibile mitigare gli effetti dell’eventuale utilizzo “non conforme” dei dati facendo opting out (ove previsto), quindi escludendo che i dati di input siano utilizzati per lo sviluppo del sistema (si vedano le Linee guida della Federazione europea degli avvocati di giugno 2023).

In secondo luogo, è necessario procedere all’aggiornamento dell’informativa ex art. 13, inserendovi un’indicazione esplicita circa il fatto che i dati saranno trattati dal professionista anche mediante sistemi di intelligenza artificiale e precisandone gli scopi. Peraltro, occorre considerare che, di regola, il trattamento dei dati dei clienti da parte del professionista trova la sua base giuridica nella necessità di eseguire il mandato professionale (art. 6 lett. b) del GDPR); pertanto un trattamento che non sia strettamente funzionale a tale scopo richiederebbe il consenso del titolare.
Ancora, il professionista che usa un sistema di intelligenza artificiale dovrebbe premurarsi di comunicare al sistema solo le informazioni strettamente necessarie, evitando elaborazioni superflue e avvalendosi, se possibile, della pseudonimizzazione o dell’anonimizzazione.

Va, poi, tenuto presente che la comunicazione di dati personali a un sistema che li conservi in server fuori dall’Ue può configurare un trasferimento di dati che potrebbe non garantire un livello di protezione equivalente a quello interno. In tale eventualità, è importante ottenere garanzie adeguate nei confronti dell’organizzazione che riceve i dati personali, ad esempio mediante l’inserimento delle clausole contrattuali standard elaborate dalla Commissione europea.