GDPR e AI: come validare contratti con dati personali

Il problema della conformità GDPR nei contratti generati con AI

L'uso dell'intelligenza artificiale per generare, redigere o revisionare contratti è ormai diffuso in studi legali, banche e aziende di ogni dimensione. Ma c'è un paradosso: i contratti redatti con AI spesso contengono violazioni GDPR relative ai dati personali che gli stessi sistemi AI avrebbero dovuto prevenire.

La ragione è semplice: i modelli linguistici replicano pattern esistenti. Se nel loro dataset di addestramento ci sono contratti con clausole GDPR non conformi — e ce ne sono molti — tendono a riprodurle.

Le 4 violazioni GDPR più frequenti nei contratti

1. Base giuridica mancante o errata (Art. 6 GDPR)

Ogni trattamento di dati personali deve avere una base giuridica esplicita tra quelle previste dall'Art. 6 GDPR. La violazione più comune nei contratti commerciali è il trattamento di dati per finalità di marketing o profilazione senza indicare la base giuridica — o indicando il "legittimo interesse" quando invece è necessario il consenso.

I casi più frequenti che rileviamo:

• Contratti che prevedono l'invio di comunicazioni commerciali senza specificare la base giuridica
• Clausole che consentono la cessione dei dati a terzi "per finalità di marketing" senza consenso esplicito
• Uso del "legittimo interesse" come base giuridica per trattamenti che richiedono il consenso

2. Periodo di conservazione non specificato (Art. 5 par. 1 lett. e)

Il principio di "limitazione della conservazione" del GDPR richiede che i dati personali vengano conservati per un periodo non superiore a quello necessario alle finalità del trattamento. Qualsiasi contratto che preveda conservazione "a tempo indeterminato" o "per tutta la durata del rapporto" senza specificare un termine massimo viola questo principio.

3. Diritti degli interessati non menzionati (Art. 13-14 GDPR)

L'informativa sul trattamento dei dati deve essere fornita al momento della raccolta e deve includere tutti i diritti degli interessati previsti dagli artt. 15-22 GDPR. Molti contratti includono una privacy policy generica che non menziona specificamente il diritto di portabilità (Art. 20) o il diritto di opposizione al trattamento automatizzato (Art. 22).

4. Trattamento automatizzato senza garanzie (Art. 22 GDPR)

Quando un contratto prevede decisioni automatizzate che producono effetti giuridici significativi sull'interessato — come l'approvazione o il rifiuto di un prestito basato su scoring automatico — si applicano le garanzie speciali dell'Art. 22 GDPR. L'interessato ha il diritto di ottenere l'intervento umano, esprimere la propria opinione e contestare la decisione.

L'interazione con EU AI Act Opinion EDPB 28/2024

L'Opinion 28/2024 dell'European Data Protection Board, pubblicata a dicembre 2024, chiarisce come il GDPR si applica ai modelli AI. In particolare, stabilisce che i dati personali usati per addestrare modelli AI devono avere una base giuridica specifica — e che "l'interesse legittimo" non è automaticamente applicabile.

Questo ha implicazioni dirette per i contratti: qualsiasi clausola che consenta l'uso dei dati del cliente per migliorare modelli AI deve essere esaminata alla luce sia del GDPR che dell'Opinion EDPB 28/2024.

Come strutturare un contratto GDPR-compliant

Un contratto che tratta dati personali deve includere almeno:

• Identificazione del titolare e del responsabile del trattamento
• Finalità specifiche del trattamento con base giuridica esplicita per ciascuna
• Categorie di dati trattati
• Periodo di conservazione per ciascuna categoria
• Elenco dei destinatari e dei sub-responsabili
• Eventuale trasferimento fuori UE con garanzie applicabili
• Tutti i diritti degli interessati (artt. 15-22 GDPR)
• Diritto di proporre reclamo al Garante Privacy