Home Fondamenti Token Modelli AI Deep Learning Tecniche RAG MCP Orchestrazione Prompt Engineering Usare l'AI ChipsBot News
HomeNews › Quando il Diritto Rincorre la Tecnologia: Perché L...

Quando il Diritto Rincorre la Tecnologia: Perché L’AI Act É Più Fragile del GDPR

Agenda Digitale 14 maggio 2026

Il confronto tra GDPR e AI Act evidenzia due diverse modalità di regolazione europea della tecnologia: da un lato il diritto dei principi e dell’accountability, dall’altro una disciplina più prescrittiva, legata ai requisiti tecnici dell’intelligenza artificiale e ai rischi per i diritti fondamentali. Il GDPR e l’AI Act si configurano come due modelli distinti di regolazione di fenomeni tecnologici complessi.

La privacy, grazie al GDPR, rappresenta ormai un diritto maturo, fondato su principi stabili e sul paradigma dell’accountability; l’AI Act adotta invece un approccio più prescrittivo, ancorato a requisiti tecnico-organizzativi e a una tecnologia in continua evoluzione. Ne deriva una peculiare convivenza tra diritto dei principi e diritto della tecnologia, con il rischio che un’eccessiva prossimità alla dimensione tecnica esponga la norma a rapida obsolescenza.

La riflessione mette così in luce i limiti e le sfide della regolazione giuridica nell’era dell’intelligenza artificiale: il rischio da scongiurare con la massima attenzione è che la norma, anziché orientare e qualificare lo sviluppo, finisca per frenare l’innovazione.

Due modelli a confronto

Mettere a confronto il GDPR e l’AI Act significa interrogarsi non soltanto su due regolamenti europei, ma su due diversi modi di intendere il rapporto tra diritto e tecnologia. Entrambi nascono con una medesima ambizione di fondo: governare fenomeni complessi, trasversali e in rapida evoluzione — il trattamento dei dati personali da un lato, i sistemi di intelligenza artificiale dall’altro — evitando approcci eccessivamente casistici e adottando modelli regolatori flessibili, capaci di adattarsi a contesti molto diversi tra loro.

In questo senso, GDPR e AI Act condividono una matrice comune: sono strumenti di regolazione orizzontale, fondati su una logica di gestione del rischio e sulla responsabilizzazione degli operatori.

Differenze strutturali e giuridiche

Tuttavia, la somiglianza rimane a questo livello generale. È entrando nella loro struttura, nella loro genealogia normativa e nella loro logica interna che emergono differenze profonde, che non riguardano soltanto il contenuto delle norme, ma il modo stesso in cui il diritto prova a governare la tecnologia.

Il ruolo della maturità giuridica

La prima, fondamentale differenza attiene alla diversa maturità giuridica dei due strumenti e, prima ancora, dei diritti che essi presidiano. La protezione dei dati personali — almeno nel contesto europeo — rappresenta un diritto storicamente nemmeno troppo recente.

Non affonda le proprie radici in tradizioni secolari: la sua genesi viene comunemente ricondotta alla fine dell’Ottocento negli Stati Uniti, con le prime riflessioni sulla tutela della vita privata in risposta alla diffusione della stampa “rosa” locale, mentre in Europa prende forma in modo più strutturato solo nella seconda metà del Novecento, quale reazione sia alla crescente invasività e curiosità dell’opinione pubblica nella sfera privata delle persone note, sia allo sviluppo delle tecnologie informatiche e alla crescente capacità di raccolta e trattamento delle informazioni sui cittadini.

Ciò nondimeno, al momento della sua adozione nel 2016, il GDPR si inseriva in un contesto già caratterizzato da alcune decadi di evoluzione normativa, giurisprudenziale e culturale. Tale percorso aveva progressivamente consolidato principi, categorie interpretative e prassi applicative, contribuendo a trasformare la protezione dei dati da ambito emergente a diritto ormai maturo, dotato di un solido impianto teorico e di una diffusa consapevolezza istituzionale e sociale.

Un contesto normativo ormai consolidato

A partire dalle prime legislazioni nazionali degli anni ’70, passando per la direttiva 95/46/CE degli anni ’90 — primo tentativo organico dell’Unione europea di disciplinare la materia — si è progressivamente costruito un corpus di principi, prassi e interpretazioni che hanno dato solidità e coerenza al sistema.

    • Interventi delle autorità garanti;
    • Elaborazioni giurisprudenziali;
    • Prassi amministrative;
    • Interpretazioni consolidate;

Per oltre vent’anni, il modello “a direttiva” ha alimentato un patrimonio giuridico ricco, che ha portato il GDPR a funzionare come momento di sintesi e di armonizzazione. Trasforma un insieme di esperienze nazionali in un quadro unitario, direttamente applicabile, fondato su principi già “testati” — liceità, proporzionalità, trasparenza, accountability.

È, dunque, un diritto giovane e al tempo stesso già maturo, che non crea ex novo il proprio oggetto, ma ne organizza e rafforza la disciplina.

L’AI Act, un modello nuovo

L’AI Act si colloca in una prospettiva radicalmente diversa. Non rappresenta il punto di arrivo di un percorso normativo stratificato, ma il punto di partenza di una nuova area del diritto. Non esiste, alle sue spalle, un equivalente della direttiva 95/46/CE né un trentennio di elaborazione progressiva. Esiste, piuttosto, una tecnologia di cui si è solo “fantasticato” già a partire dal secondo dopoguerra ma che si è sviluppata in modo esponenziale negli ultimi anni, imponendo al legislatore europeo una risposta rapida e anticipatoria.

Si tratta quindi di un diritto “nascente”, privo di una giurisprudenza significativa, di prassi consolidate e di modelli interpretativi condivisi. Un diritto che non si limita a regolare fenomeni già stabilizzati, ma che tenta di orientare, quasi in tempo reale, l’evoluzione di una tecnologia ancora in trasformazione.

Una base concettuale diversa

Eppure, è proprio qui che emerge la prima, profonda differenza. La protezione della privacy nasce, per così dire, da un atto fondativo chiaro e riconoscibile: il celebre contributo di Samuel D. Warren e Louis D. Brandeis, pubblicato nel 1890 sulla Harvard Law Review, in cui viene rivendicato il “right to be let alone”. In quella formulazione originaria si individua immediatamente un bene giuridico definito — la sfera privata dell’individuo — e un’esigenza di tutela altrettanto chiara.

Il dato personale diventa così il perimetro concreto entro cui si esercita questo diritto, e la costruzione normativa successiva si sviluppa in modo coerente attorno a tale nucleo.

L’AI Act, invece, si colloca su un piano differente. Esso nasce certamente con l’obiettivo di tutelare i diritti fondamentali, ma tali diritti non sono “scoperti” o definiti dalla nuova disciplina: sono già ampiamente riconosciuti e regolati, in particolare nell’ambito della Convenzione europea dei diritti dell

Leggi l'articolo originale →
← Torna alle news