L'intelligenza artificiale (IA) dipende fondamentalmente dai dati, che fungono da principale motore. Tuttavia, le aziende che sviluppano queste tecnologie si trovano ad affrontare un panorama legale incerto e pieno di rischi. Il recente caso di Grok, l'IA di Elon Musk utilizzata nel social network X e collegata alla creazione di pornografia infantile, ha messo in evidenza l'urgenza di affrontare la protezione dei dati nel campo dell'IA. Né giuristi, né avvocati, né regolatori hanno ancora risposte chiare su come bilanciare l'innovazione tecnologica con la privacy, né sulla reale entità della sfida. In Spagna, gli esperti prevedono un aumento delle sanzioni nei prossimi mesi, poiché finora l'attività sanzionatoria è stata limitata. Francisco Pérez Bes, vice direttore dell'Agenzia Spagnola di Protezione dei Dati (AEPD), sottolinea che il basso numero di reclami è dovuto al fatto che l'IA è ancora una tecnologia emergente. Tuttavia, casi come quello di Grok anticipano una maggiore sorveglianza e possibili azioni collettive a breve termine. Queste questioni sono state discusse durante la presentazione della sesta edizione della GuIA pratica dell'Intelligenza Artificiale, pubblicata da Aranzadi LA LEY, che approfondisce i rischi dell'IA per la privacy e i dati personali. Durante l'evento, tenutosi presso la Scuola di Pratica Giuridica di Madrid, esperti hanno analizzato il complesso quadro normativo che cerca di porre limiti a una tecnologia che avanza più velocemente della legislazione. Hanno concordato sul fatto che esiste una "bicefalia normativa" che complica la sicurezza giuridica. Nell'Unione Europea, il Regolamento Generale sulla Protezione dei Dati (RGPD) e il Regolamento sull'Intelligenza Artificiale (RIA) coesistono, ma la loro relazione non è ancora del tutto definita, il che ritarda l'imposizione di sanzioni più severe e genera dubbi nelle aziende su come conformarsi a entrambe le normative. Pérez Bes ha sottolineato che il RGPD e il RIA convergono, ma che la protezione dei dati rimane competenza del RGPD, inclusa la potestà sanzionatoria. Moisés Barrio, avvocato del Consiglio di Stato, ha chiarito che il RIA non sostituisce il RGPD, quindi conformarsi a uno non esime dall'altro. Dal punto di vista aziendale, Belén Arribas Sánchez, presidente di Enatic, ha evidenziato la crescente domanda di sistemi di IA che lavorino con dati completamente anonimizzati, aprendo nuove opportunità per i fornitori tecnologici. Ha anche avvertito sui rischi come la collisione tra la minimizzazione dei dati e l'uso del big data, la gestione dei termini di conservazione e gli usi imprevisti delle informazioni, oltre a minacce come l'attribuzione errata di fatti, la divulgazione di dati senza consenso o il trattamento di dati sensibili. La governance interna è stata un altro tema centrale. Alejandro Touriño, socio direttore di Écija, ha spiegato che il RGPD e il RIA proteggono beni giuridici distinti e la loro entrata in vigore in momenti diversi ha generato risposte organizzative frammentate e confusione nelle aziende. Touriño ha sottolineato la differenza tra il delegato alla protezione dei dati (DPO), responsabile della privacy, e il chief AI officer (CAIO), incaricato della tecnologia, avvertendo che un profilo esclusivamente tecnico per il CAIO può trascurare aspetti legali chiave. Cristina Retana, direttrice dei contenuti di Aranzadi LA LEY, ha insistito sul fatto che la governance dell'IA richiede la collaborazione tra business, tecnologia, giuridico e protezione dei dati, e ha raccomandato di operare con sistemi addestrati solo con dati interni, ben gestiti e in ambienti auditabili. La GuIA Pratica dell'Intelligenza Artificiale, pubblicata da Aranzadi LA LEY, è una serie bimestrale in cui esperti affrontano le sfide legali dell'IA. La sua sesta edizione, firmata da Moisés Barrio, analizza in profondità la complessa relazione tra il RIA e il RGPD, specialmente per quanto riguarda il trattamento dei dati personali.