Dal punto di vista normativo, il Garante e l'EDPB hanno aggiornato le indicazioni su ai e dati biometrici: guida pratica per le aziende che trattano dati sensibili

Nuove linee guida EDPB su intelligenza artificiale e dati biometrici: cosa cambia per le aziende

Dal punto di vista normativo, l’European Data Protection Board (EDPB) ha pubblicato nuove linee guida sul trattamento di dati biometrici quando sono impiegati sistemi di intelligenza artificiale. Il Garante italiano ha subito commentato ribadendo l’importanza della valutazione dei rischi e della tutela dei diritti degli interessati.

1. Normativa e documento in questione

Le linee guida EDPB del 2026 chiariscono l’applicazione del GDPR ai sistemi di AI che processano dati biometrici per finalità di identificazione o autenticazione. Il documento richiama anche le sentenze recenti della Corte di Giustizia dell’Unione Europea e le indicazioni del Garante Privacy sulla necessità di basi giuridiche solide e di trasparenza.

2. Interpretazione e implicazioni pratiche

Dal punto di vista normativo, l’EDPB sottolinea che il trattamento di dati biometrici è normalmente considerato dati personali sensibili e richiede misure rafforzate. In pratica questo significa che molte implementazioni di AI che utilizzano riconoscimento facciale, analisi dell’andatura o impronte digitali possono essere vietate o soggette a restrizioni severe se non adeguatamente giustificate.

Il Garante ha stabilito che la mera necessità tecnologica non è una base giuridica sufficiente: occorrono basi normative esplicite, consenso informato laddove applicabile, o un interesse pubblico chiaramente definito per procedere.

3. Cosa devono fare le aziende

Il rischio compliance è reale: le imprese che sviluppano o utilizzano sistemi di AI devono mettere in campo un percorso operativo per verificare la conformità. Le azioni pratiche comprendono:

Data protection impact assessment (DPIA) specifica per ogni progetto che coinvolge dati biometrici;

specifica per ogni progetto che coinvolge dati biometrici; revisione delle basi giuridiche per il trattamento e aggiornamento delle informative privacy con linguaggio chiaro e trasparente;

adozione di misure tecniche e organizzative, come la minimizzazione dei dati, la pseudonimizzazione e controlli di accesso rigidi;

implementazione di processi di governance e monitoraggio continuo, con ruoli di responsabilità chiari (DPO, security officer, AI officer).

4. Rischi e sanzioni possibili

Il Garante ha stabilito che le violazioni in questo ambito possono comportare sanzioni amministrative rilevanti (fino al 4% del fatturato annuo o importi equivalenti come previsto dal GDPR) e ordini di sospensione o divieto di trattamento. Inoltre, il danno reputazionale e le azioni risarcitorie da parte degli interessati possono incidere significativamente sui bilanci aziendali.

Il rischio compliance è reale: non ottenere o non dimostrare le misure richieste può portare a ispettori, ordini di blocco dei sistemi e multe.

5. Best practice per compliance

Per limitare i rischi e garantire la GDPR compliance, suggerisco un approccio pragmatico e modulare:

Avviare una mappatura dei trattamenti che identifichi dove e come vengono utilizzati dati biometrici e sistemi di AI; Condurre DPIA robusti e aggiornabili, integrando scenari di rischio specifici per l’AI; Integrare controlli tecnici come la minimizzazione, la crittografia e la pseudonimizzazione, oltre a test di bias e accuratezza dei modelli; Adottare policy interne e contratti che impongano obblighi di compliance ai fornitori e ai sub-processori (RegTech può automatizzare parte del monitoraggio); Formare il personale e predisporre canali per gestire le richieste di esercizio dei diritti degli interessati; Mantenere documentazione completa come prova di accountability in caso di ispezione.

Conclusione

Dal punto di vista normativo, le nuove linee guida EDPB e le osservazioni del Garante tracciano un percorso chiaro: maggiore attenzione per i dati biometrici e obblighi stringenti per l’uso di AI. Il consiglio pratico per le aziende è non attendere l’azione degli organi di controllo: avviare subito valutazioni, aggiornare le policy e adottare misure tecniche e organizzative. Il rischio compliance è reale, ma può essere gestito con un piano strutturato e misure documentate.