In data 17 settembre 2025 il Senato ha approvato in via definitiva il ddl n. 1146, pubblicato in Gazzetta Ufficiale il 25 settembre 2025 come Legge 23 settembre 2025, n. 132, intitolata “Disposizioni e deleghe al Governo in materia di intelligenza artificiale” (“Legge IA”). La Legge IA, in vigore dal 10 ottobre 2025, introduce nel nostro ordinamento un quadro di principi e misure specifiche in materia di Intelligenza Artificiale (“IA”), destinato ad affiancare il Regolamento (UE) 2024/1689 (c.d. AI Act).

L’intervento non introduce obblighi ulteriori rispetto a quelli previsti dall’AI Act, ma contiene disposizioni integrative, sia in attuazione delle previsioni demandate agli Stati membri dallo stesso AI Act, sia per tener conto delle specificità del contesto nazionale.

L’obiettivo è duplice: da un lato, cogliere le opportunità derivanti dall’uso di strumenti di IA nel contesto economico e sociale italiano, dall’altro, mitigarne i rischi attraverso regole che impongano maggiori garanzie in ambiti particolarmente sensibili, tra cui, inter alia, quelli della protezione dei dati personali e della proprietà intellettuale.

L’obiettivo del legislatore – come meglio specificato negli artt. 1 e 3 della Legge IA – è quello di promuovere un “utilizzo corretto, trasparente e responsabile, in una dimensione antropocentrica” e garantire la “vigilanza sui rischi economici e sociali e sull’impatto sui diritti fondamentali” connessi all’IA, nel rispetto “dei diritti fondamentali e delle libertà previste dalla Costituzione, del diritto dell’Unione europea e dei principi di trasparenza, proporzionalità, sicurezza, protezione dei dati personali, riservatezza, accuratezza, non discriminazione, parità dei sessi e sostenibilità”.

Fermi restando i molteplici settori impattati da questa norma, questo approfondimento vuole fornire un focus specifico (i) sulle disposizioni che riguardano il trattamento di dati personali tramite tecnologie di IA, nonché (ii) sulle novità introdotte con riferimento alla Legge sul diritto d’autore (Legge 22 aprile 1941 n. 633, “LDA”).

Il trattamento di dati personali tramite strumenti di IA: quali regole?

 Tra i principi cardine che dovrebbero guidare lo sviluppo, l’adozione e l’implementazione dei sistemi di IA (“Sistemi di IA”) e dei modelli di IA per finalità generali, l’art. 3 della Legge IA individua espressamente quelli in tema di protezione dei dati personali, sanciti dal Regolamento EU 2016/679 (“GDPR”), più volte richiamati dalle disposizioni del provvedimento in esame.

L’art. 3, comma 2 specifica poi che lo sviluppo di Sistemi di IA e modelli di IA per finalità generali debba avvenire sulla base di dati e tramite processi di cui è garantita la correttezza, sicurezza, trasparenza e proporzionalità.

Seppur tale disposizione non sia specificamente riferita al trattamento di dati personali, quanto a un più generale utilizzo di “dati”, si deve tuttavia rilevare che la definizione di “dato” fornita dalla Legge IA[1] è di portata piuttosto ampia, potendo ricomprendere al suo interno anche la nozione di dati personali.

Alla luce di quanto sopra, è molto probabile che la previsione di cui all’art. 3, comma 2 si traduca nell’obbligo per gli sviluppatori di adottare adeguate misure di governance, che garantiscano altresì la compliance alla normativa data protection, ad esempio, il rispetto dei principi di privacy -by-design e privacy-by-default previsti dall’art. 25 del GDPR[2]. È infatti fuor di dubbio – come anche confermato dall’art. 3, comma 1 – che i Sistemi di IA e i modelli di IA per finalità generali debbano essere progettati prevedendo misure tecniche che garantiscano un’adeguata protezione dei dati personali e che assicurino, per impostazione predefinita, il trattamento dei soli dati personali necessari al perseguimento delle finalità previste.

Un ulteriore richiamo alla disciplina del GDPR viene poi effettuato all’art.4 della Legge IA, specificamente dedicato ai “Principi in materia di informazione e di riservatezza dei dati personali”. In particolare, la disposizione pone l’accento sui principi di liceità, correttezza, limitazione delle finalità del trattamento dei dati e, soprattutto, sull’obbligo di trasparenza nei confronti degli utenti con riferimento all’utilizzo di Sistemi di IA.

Il legislatore italiano ribadisce l’obbligo di fornire agli utenti informazioni chiare in merito ai trattamenti di dati personali connessi all’utilizzo dei Sistemi di IA. Solo in questo modo, infatti, l’utente potrà comprendere la portata di eventuali rischi ed avere la possibilità di esercitare in maniera informata i propri diritti, incluso, ad esempio, il diritto di opposizione al trattamento dei propri dati.

Sono tuttavia assenti dei riferimenti alla fase di sviluppo del Sistema di IA, che ben può includere il trattamento di dati personali, in particolare nella fase cd. di “training”. Anche in tale caso, infatti, dovrebbe essere garantito il rispetto dei principi sopra menzionati, nonché dell’obbligo di trasparenza nei confronti degli interessati.

La Legge IA si sofferma poi sul trattamento, tramite Sistemi di IA, di dati personali connotati da particolare delicatezza, quali i dati personali di minori, i dati personali riguardanti lo stato di salute (con particolare riguardo all’ambito medico e della ricerca scientifica), nonché i dati personali trattati in ambito lavorativo.

Con riferimento al trattamento di dati personali di minori, la Legge IA introduce garanzie specifiche, rafforzando quelle già previste dal GDPR. Il legislatore attribuisce infatti un ruolo centrale alla trasparenza (i.e. facilità di accesso e comprensione) e al consenso – validamente espresso ai sensi di quanto previso dal GDPR e dalla normativa nazionale[3] – con riferimento all’accesso da parte di minori a Sistemi di IA, nonché al conseguente trattamento dei loro dati personali.

Per quanto concerne il trattamento di dati sanitari tramite Sistemi di IA in ambito medico e/o di ricerca, invece, la Legge IA ribadisce la necessità che ciò avvenga nel rispetto del quadro normativo del GDPR e, in particolare, dell’articolo 9 del Regolamento, precisando inoltre come l’utilizzo di tali sistemi debba essere oggetto di idonea informativa nei confronti dei pazienti interessati.

Con specifico riferimento all’ambito della ricerca e la sperimentazione scientifica, nella realizzazione di Sistemi di IA per finalità sanitarie, poi, la Legge IA qualifica come di “rilevante interesse pubblico” i trattamenti di dati, anche personali, svolti da enti pubblici o privati senza fini di lucro, e consente l’uso secondario di dati personali appartenenti a categorie particolari quando privi degli elementi identificativi diretti (previa adeguata informativa agli interessati, anche di tipo generale), fermo restando un obbligo di comunicazione al Garante per la Protezione dei Dati Personali[4] al riguardo. Inoltre, è prevista una delega al Ministero della Salute per l’emanazione, entro 120 giorni dall’entrata in vigore della legge, di disposizioni di dettaglio in merito al trattamento di categorie particolari di dati “per finalità di ricerca e sperimentazione anche tramite sistemi di intelligenza artificiale e machine learning”[5]. Appare dunque evidente come, proprio per la peculiarità dei dati personali trattati e delle finalità perseguite, il legislatore italiano intenda assicurare una regolamentazione puntuale ed una supervisione attenta delle attività di trattamento in questo ambito.

Anche rispetto al trattamento di dati personali tramite IA in ambito lavorativo la Legge IA non manca di richiamare gli obblighi di trasparenza e di rispetto della riservatezza dei dati personali[6]. Tuttavia, sorprende l’assenza di richiami all’art. 4 della Legge n. 300/1970 (i.e., lo Statuto dei Lavoratori) in tema di controlli a distanza. Sempre più frequente, infatti, è l’implementazione di strumenti di IA per l’efficientamento di processi aziendali interni, che imporrebbe attente valutazioni dal punto di vista data protection, ma soprattutto dal punto di vista giuslavoristico.

Infine, richiamando quanto già stabilito dall’AI Act e dal GDPR, il legislatore italiano non dimentica di ribadire in diverse occasioni la prospettiva antropocentrica delle regole poste con la Legge IA, chiarendo la necessità di mantenere un controllo umano effettivo sulle decisioni adottate dai Sistemi di IA. Il ruolo dell’Intelligenza Artificiale, dunque, può rimanere solo ed esclusivamente quello di prezioso supporto all’attività umana, specialmente in ambiti quali quello medico, nel contesto delle professioni intellettuali e nell’attività delle pubbliche amministrazioni.

Diritto d’autore: le principali novità

La prima modifica alla LDA da parte della Legge IA riguarda l’art. 1 LDA, che definisce quali opere sono tutelate dal diritto d’autore. In particolare, in forza della modifica introdotta, l’art. 1 viene integrato chiarendo espressamente che la tutela autorale riguarda non solo le “opere dell’ingegno umano” ma altresì le opere create “con l’ausilio di strumenti di intelligenza artificiale, purché costituenti risultato del lavoro intellettuale dell’autore”.

Questa novità è particolarmente rilevante in quanto elimina eventuali dubbi interpretativi che finora collocavano i contenuti generati con Sistemi di IA generativa (c.d. GenAI) in una sorta di “zona grigia”. Non era infatti pacifico se tali contenuti potessero beneficiare della tutela autorale, poiché, pur derivando da un input umano, questi contenuti non sono interamente creati da un autore umano. In tal senso, il legislatore ha voluto fugare ogni incertezza, riconoscendo la protezione anche a opere generate con il supporto di strumenti di IA, a condizione che vi sia comunque un contributo creativo e originale dell’autore — ad esempio, nella formulazione del prompt o nella rielaborazione dell’output.

Resta in ogni caso escluso che la paternità di un’opera possa essere attribuita direttamente alla “macchina”, non potendo questa rivendicare diritti morali o d’autore sull’opera creata.

Ulteriore modifica apportata alla LDA dalla Legge IA riguarda l’introduzione del nuovo art. 70-septies[7], che disciplina l’uso di strumenti di IA per svolgere attività di text and data mining (una tecnica che consiste nell’analizzare automaticamente grandi quantità di testi e dati per estrarne informazioni, schemi ricorrenti, conoscenze utili o nuove correlazioni). Nello specifico, a seguito di tale aggiunta, saranno espressamente consentite “le riproduzioni e le estrazioni da opere o da altri materiali contenuti in rete o in banche di dati a cui si ha legittimamente accesso, ai fini dell’estrazione di testo e di dati attraverso modelli e sistemi di intelligenza artificiale, anche generativa”, entro i limiti stabiliti dagli artt. 70-ter e 70-quater LDA. Tali attività sono quindi riservate ad organismi di ricerca e istituti culturali per scopi scientifici, fatto salvo in ogni caso l’eventuale espresso divieto da parte del titolare dei diritti.

Da ultimo, sempre in ambito di LDA, la Legge IA ha introdotto anche sanzioni pecuniare per chi “riproduce o estrae testo o dati da opere o altri materiali disponibili in rete o in banche di dati in violazione degli articoli 70-ter e 70-quater, anche attraverso sistemi di intelligenza artificiale”. In particolare, le sanzioni si applicheranno contro chiunque violerà le predette condizioni, incluso il caso di scraping abusivo effettuato tramite strumenti di IA.

Conclusioni

Come inizialmente accennato, la Legge IA si propone di favorire lo sviluppo dell’Intelligenza Artificiale, assicurando che ciò avvenga nel rispetto delle libertà e i diritti fondamentali nonché in armonia con gli obiettivi di progresso economico e tecnologico.

Le disposizioni esaminate offrono sicuramente alcuni spunti chiarificatori, in particolare in materia di diritto d’autore, dove il legislatore interviene per colmare lacune interpretative e riconoscere tutela alle opere create con l’ausilio di strumenti di IA, purché frutto di un apporto creativo umano.

In altri casi, tuttavia, la normativa si dimostra meno precisa. Si pensi, ad esempio, ad alcune delle disposizioni in materia di protezione dei dati personali che, pur richiamando principi fondamentali per lo sviluppo e l’utilizzo delle tecnologie di IA, presentano talvolta formulazioni ambigue – come nel caso della definizione di dato – o lacune significative, ad esempio l’assenza di riferimenti alla fase di sviluppo dei Sistemi di IA in relazione agli obblighi di trasparenza verso gli interessati. Le numerose deleghe legislative in tale ambito, inoltre, rischiano di frammentare ulteriormente il panorama normativo.

Tali criticità rischiano di compromettere la creazione di un contesto in cui la certezza del diritto sia effettivamente garantita, condizione essenziale per attrarre e favorire la crescita di nuove realtà tecnologiche.

Nonostante tali limiti, considerata l’ampia portata dell’AI Act e il ruolo complementare della normativa italiana, i margini di incertezza non devono intimorire gli operatori di mercato. Il quadro normativo europeo, arricchito anche dalle linee guida della Commissione, fornisce infatti già indicazioni dettagliate su molti aspetti operativi, offrendo una solida base di riferimento.

In definitiva, la Legge IA rappresenta un primo passo verso una regolamentazione nazionale dell’Intelligenza Artificiale che, pur presentando alcuni profili di migliorabili, delinea principi e direttrici chiare. Tale disciplina dovrà necessariamente essere integrata e chiarita nel tempo, anche alla luce dell’evoluzione tecnologica, delle prassi applicative e dell’attività interpretativa delle autorità competenti. Solo attraverso un dialogo costante tra istituzioni, imprese e società sarà possibile costruire un ecosistema digitale realmente sostenibile, inclusivo e rispettoso dei valori fondamentali che caratterizzano il nostro ordinamento.

[1] Art. 2, comma 1, lett. b), Legge IA.

[2] Art. 25, par. 1 e 2, GDPR: “1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati.

2. Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica.”

[3] Ossia un consenso che deve essere (i) conferito dal soggetto esercente la responsabilità genitoriale in caso di minori infraquattordicenni e in ogni caso (ii) assistito da linguaggio facilmente accessibile e comprensibile in caso di minore di diciotto anni, ma che ne abbia già compiuti 14 (cfr. Art. 8 GDPR e Art. 2-quinquies del D. Lgs. 30 giugno 2003, n.196 recante il “Codice in materia di protezione dei dati personali”).

[4] Art. 8, comma 5, Legge IA.

[5] Art. 9, Legge IA.

[6] Art. 11, Legge IA.

[7]Art. 70-septies LDA: “Fermo restando quanto previsto dalla Convenzione di Berna per la protezione delle opere letterarie ed artistiche, ratificata e resa esecutiva ai sensi della legge 20 giugno 1978, n. 399, le riproduzioni e le estrazioni da opere o da altri materiali contenuti in rete o in banche di dati a cui si ha legittimamente accesso, ai fini dell’estrazione di testo e di dati attraverso modelli e sistemi di intelligenza artificiale, anche generativa, sono consentite in conformità alle disposizioni di cui agli articoli 70-ter e 70-quater”.