La legge 17 settembre 2025, n. 132, recante “Disposizioni e deleghe al Governo in materia di intelligenza artificiale”, introduce un quadro normativo che si inserisce in un contesto già complesso caratterizzato dalla disciplina europea sulla protezione dei dati personali. Per i comuni italiani, chiamati quotidianamente a gestire dati sensibili dei cittadini nell’erogazione di servizi essenziali, la normativa sull’intelligenza artificiale pone sfide operative e organizzative di particolare rilievo, soprattutto nel bilanciamento tra innovazione tecnologica e tutela della riservatezza.
L’art. 4 della legge n. 132/2025 stabilisce i principi fondamentali in materia di informazione e di riservatezza dei dati personali. Il comma 2 prevede che l’utilizzo di sistemi di intelligenza artificiale garantisce il trattamento lecito, corretto e trasparente dei dati personali e la compatibilità con le finalità per le quali sono stati raccolti, in conformità al diritto dell’Unione europea in materia di dati personali e di tutela della riservatezza.
Tale disposizione richiama espressamente il regolamento (UE) 2016/679, il cosiddetto GDPR, imponendo alle amministrazioni comunali di verificare che ogni utilizzo di sistemi di intelligenza artificiale rispetti i principi di liceità, correttezza, trasparenza, limitazione delle finalità, minimizzazione dei dati, esattezza, limitazione della conservazione, integrità e riservatezza già previsti dalla normativa europea. Per i comuni, questo significa che l’implementazione di qualsiasi sistema di intelligenza artificiale deve essere preceduta da una valutazione accurata della conformità al GDPR, considerando che molti servizi comunali comportano il trattamento di dati appartenenti alle categorie particolari di cui all’articolo 9 del regolamento europeo.
Il comma 3 dell’art. 4 introduce un obbligo specifico di particolare rilevanza per gli enti locali, stabilendo che le informazioni e le comunicazioni relative al trattamento dei dati connesse all’utilizzo di sistemi di intelligenza artificiale sono rese con linguaggio chiaro e semplice, in modo da garantire all’utente la conoscibilità dei relativi rischi e il diritto di opporsi ai trattamenti autorizzati dei propri dati personali. Questa disposizione impone ai comuni di adottare un approccio comunicativo trasparente e accessibile, evitando tecnicismi e formulazioni oscure che potrebbero impedire ai cittadini di comprendere effettivamente come i loro dati vengono trattati attraverso sistemi di intelligenza artificiale. Si tratta di un obbligo che va oltre la mera informativa privacy standard e richiede un’attenzione particolare alla redazione di comunicazioni comprensibili anche per utenti non esperti di tecnologia. I comuni dovranno quindi predisporre informative specifiche che spieghino in termini semplici il funzionamento dei sistemi di intelligenza artificiale utilizzati, i dati trattati, le logiche decisionali sottostanti e i rischi potenziali, garantendo al contempo l’esercizio effettivo del diritto di opposizione.
Il comma 4 dell’art. 4 disciplina una questione particolarmente delicata per i comuni che erogano servizi rivolti ai minori, prevedendo che l’accesso alle tecnologie di intelligenza artificiale da parte dei minori di anni quattordici nonché il conseguente trattamento dei dati personali richiedono il consenso di chi esercita la responsabilità genitoriale, nel rispetto di quanto previsto dal regolamento (UE) 2016/679 e dal codice in materia di protezione dei dati personali. Il minore di anni diciotto, che abbia compiuto quattordici anni, può esprimere il proprio consenso per il trattamento dei dati personali connessi all’utilizzo di sistemi di intelligenza artificiale, purché le informazioni e le comunicazioni siano facilmente accessibili e comprensibili. Questa disposizione assume particolare rilevanza per i comuni che gestiscono servizi educativi, ludici, culturali e sportivi rivolti ai minori e che intendano utilizzare sistemi di intelligenza artificiale in tali contesti. I comuni dovranno predisporre procedure specifiche per acquisire il consenso dei genitori per i minori di quattordici anni e per garantire che i minori tra i quattordici e i diciotto anni possano comprendere effettivamente le informazioni fornite prima di esprimere il proprio consenso.
L’art. 14 della legge n. 132/2025, che disciplina l’uso dell’intelligenza artificiale nella pubblica amministrazione, deve essere letto in stretta connessione con la normativa sulla protezione dei dati personali. Il comma 1, nel prevedere che le pubbliche amministrazioni utilizzano l’intelligenza artificiale per incrementare l’efficienza, ridurre i tempi dei procedimenti e aumentare la qualità dei servizi, impone contestualmente di assicurare agli interessati la conoscibilità del funzionamento e la tracciabilità dell’utilizzo dei sistemi. Per i comuni, questo significa che l’adozione di sistemi di intelligenza artificiale deve essere accompagnata dalla predisposizione di registri dettagliati che documentino quando, come e per quali finalità tali sistemi sono stati impiegati nel trattamento dei dati personali dei cittadini. Tale tracciabilità costituisce un elemento essenziale sia per garantire la trasparenza nei confronti degli interessati, sia per consentire al Garante per la protezione dei dati personali di verificare il rispetto della normativa in caso di controlli o reclami.
Il principio della supervisione umana, sancito dal comma 2 dell’articolo 14, secondo cui l’utilizzo dell’intelligenza artificiale avviene in funzione strumentale e di supporto mantenendo la responsabilità decisionale in capo alla persona, assume particolare rilevanza anche sotto il profilo della protezione dei dati. L’articolo 22 del GDPR riconosce infatti all’interessato il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici o incida significativamente sulla sua persona. La normativa italiana conferma quindi che i sistemi di intelligenza artificiale utilizzati dai comuni non possono sostituirsi integralmente al decisore umano, ma devono limitarsi a fornire supporto, suggerimenti o analisi che il funzionario comunale valuta e sulla base dei quali adotta la decisione finale, della quale rimane pienamente responsabile. Questo approccio garantisce la conformità al GDPR e tutela i cittadini dal rischio di decisioni automatizzate opache o discriminatorie.
L’art. 3, comma 6, della legge n. 132/2025 introduce un principio di particolare importanza per i comuni che intendano utilizzare sistemi di intelligenza artificiale, prevedendo che deve essere assicurata, quale precondizione essenziale, la cybersicurezza lungo tutto il ciclo di vita dei sistemi, secondo un approccio proporzionale e basato sul rischio, nonché l’adozione di specifici controlli di sicurezza. Tale disposizione si collega direttamente all’articolo 32 del GDPR, che impone al titolare del trattamento di mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio. Per i comuni, spesso caratterizzati da risorse tecniche e finanziarie limitate, questo obbligo richiede un’attenta valutazione dei rischi associati all’utilizzo di sistemi di intelligenza artificiale e l’adozione di misure di sicurezza proporzionate, che possono comprendere la cifratura dei dati, procedure di pseudonimizzazione, sistemi di autenticazione robusta, backup regolari, piani di disaster recovery e formazione del personale sulle minacce informatiche.
Gli artt. 19 e 20 della legge n. 132/2025, che delineano il sistema di governance nazionale dell’intelligenza artificiale, hanno implicazioni rilevanti anche per la protezione dei dati personali negli enti locali. L’articolo 20, comma 4, stabilisce espressamente che restano fermi le competenze, i compiti e i poteri del Garante per la protezione dei dati personali, confermando che l’Autorità di controllo mantiene intatte le proprie prerogative anche con riferimento ai sistemi di intelligenza artificiale utilizzati dalle pubbliche amministrazioni. Ciò significa che i comuni, nell’implementare sistemi di intelligenza artificiale, devono considerare non solo la conformità al regolamento (UE) 2024/1689 sull’intelligenza artificiale e alla legge n. 132/2025, ma anche e soprattutto il rispetto della normativa sulla protezione dei dati personali e delle linee guida emanate dal Garante. In caso di trattamenti che presentino un rischio elevato per i diritti e le libertà delle persone fisiche, i comuni sono tenuti a effettuare una valutazione d’impatto sulla protezione dei dati ai sensi dell’articolo 35 del GDPR prima di procedere al trattamento.
Il coordinamento tra le diverse autorità competenti, previsto dall’articolo 20, comma 3, che istituisce un Comitato di coordinamento presso la Presidenza del Consiglio dei ministri, dovrebbe garantire un approccio coerente nella regolamentazione dell’intelligenza artificiale che tenga conto anche delle esigenze di protezione dei dati personali. Tuttavia, per i comuni, che rappresentano il livello amministrativo più prossimo ai cittadini e gestiscono quotidianamente una molteplicità di dati personali nell’erogazione di servizi essenziali, la complessità del quadro normativo può rappresentare una sfida significativa. Gli enti locali dovranno infatti contemperare le disposizioni della legge sull’intelligenza artificiale con quelle del GDPR, del codice della privacy italiano, delle linee guida del Garante e del regolamento europeo sull’intelligenza artificiale, in un contesto in cui la sovrapposizione di norme e l’incertezza interpretativa possono generare difficoltà operative.
L’articolo 24 della legge n. 132/2025 conferisce al Governo deleghe legislative per l’adeguamento della normativa nazionale al regolamento (UE) 2024/1689. Tra i principi e criteri direttivi assume particolare rilievo la lettera e) del comma 2, che prevede percorsi di alfabetizzazione e formazione in materia di utilizzo dei sistemi di intelligenza artificiale. Per i comuni, la formazione del personale rappresenta un elemento cruciale non solo per garantire un utilizzo efficace dei sistemi di intelligenza artificiale, ma anche per assicurare la conformità alla normativa sulla protezione dei dati personali. I dipendenti comunali che utilizzano sistemi di intelligenza artificiale devono infatti essere adeguatamente formati non solo sulle funzionalità tecniche degli strumenti, ma anche sui principi di protezione dei dati, sui diritti degli interessati, sulle modalità di gestione delle richieste di accesso, rettifica e cancellazione, e sulle procedure da seguire in caso di violazione dei dati personali. La formazione deve essere continua e aggiornata, considerando la rapida evoluzione delle tecnologie e della normativa di settore.
Un aspetto critico per i comuni è rappresentato dalla clausola di invarianza finanziaria contenuta nell’articolo 14, comma 4, e nell’articolo 27 della legge n. 132/2025, che prevedono che le pubbliche amministrazioni provvedano agli adempimenti con le risorse umane, strumentali e finanziarie disponibili a legislazione vigente. Tale disposizione potrebbe limitare significativamente la capacità degli enti locali, soprattutto dei comuni di piccole e medie dimensioni, di implementare sistemi di intelligenza artificiale conformi alla normativa sulla protezione dei dati personali. L’adozione di tali sistemi richiede infatti investimenti in tecnologie sicure, formazione del personale, consulenza specialistica, valutazioni d’impatto sulla protezione dei dati e implementazione di misure di sicurezza adeguate. In assenza di risorse dedicate, il rischio è che molti comuni rinuncino all’innovazione tecnologica o, peggio, adottino soluzioni non conformi alla normativa, esponendosi a sanzioni del Garante per la protezione dei dati personali e a possibili contenziosi con i cittadini.
