L’Autorità Garante privacy francese (CNIL) ha pubblicato lo scorso 5 gennaio 2026 linee guida decisamente operative e assai dettagliate sugli obblighi di trasparenza quando si usano sistemi di intelligenza artificiale.

Non si tratta di novità aggiuntive o discostanti rispetto al GDPR. La CNIL offre, come di consueto, una interpretazione pragmatica di come le attuali regole GDPR compliant trovano applicazione in caso di strumento di AI, e in particolare modo alle cd “attività di training”.

Vediamo quali sono i punti che in concreto potranno avere un impatto maggiore.

Raccolta dati e AI: gli impatti

La CNIL attraverso questa guida dettaglia quali sono gli obblighi che le Organizzazioni devono seguire quando sviluppano modelli o sistemi di intelligenza artificiale che interessano il trattamento di dati personali.

Ne consegue che il primo impatto riguarda il diritto che gli interessati hanno nell’essere informati di come, appunto, i loro dati sono trattati.

La trasparenza è essenziale, e in caso di raccolta indiretta, occorre informare il prima possibile, e comunque entro un mese da quando sono stati raccolti e quindi ottenuti i dati, lasciando – si badi bene – a un lasso di tempo ragionevole tra l’informativa e il training del modello quando i dati sono (ex) sensibili, sì da consentire l’esercizio dei diritti prima dell’addestramento.

Le informazioni devono essere “chiare, comprensibili e facilmente accessibili”. Di qui la CNIL incoraggia esplicitamente ad adoperare “schemi e rappresentazioni visive”, “spiegazioni su come i dati sono utilizzati per il training”, sottolineando la netta distinzione tra:

• dataset di addestramento
• modello
• output

Poi la CNIL nella guida in parola pone la sua attenzione su un aspetto importante e cioè se è possibile fornire le informazioni che riguardano i sistemi di AI all’interno di modelli di documentazione esistenti (come schede tecniche, schede modello o schede per sistemi di intelligenza artificiale).

Evidentemente sì purché siano “facilmente accessibili, chiare e comprensibili per gli interessati”.

In altri termini, devono essere evidenziate chiaramente nella documentazione già esistente.

Non solo, la CNIL raccomanda poi di strutturare la informativa su più livelli, privilegiando “al primo livello le informazioni essenziali (identità del titolare del trattamento, finalità e diritti delle persone)”.

Informativa nei caso d’uso di AI: tutti gli obblighi per le aziende

Dalla linea guida in parola, si possono ricavare una serie di indicazioni circa gli obblighi per le aziende.

Obbligo di garantire la trasparenza del trattamento

Il primo obbligo risiede, come anticipato, nel garantire la trasparenza del trattamento. Il principio di trasparenza d’altronde è un “sacro fuoco” già nel GDPR, imponendo alle Organizzazioni che trattano dati personali di “informare gli interessati affinché comprendano gli usi che saranno fatti dei loro dati (perché e come) e siano in grado di esercitare i propri diritti (diritti di opposizione, diritto di accesso, diritto di rettifica, ecc.)”, scrive esplicitamente la CNIL.

Ciò vale a prescindere che i dati siano raccolti direttamente dagli interessati ovvero raccolti indirettamente (presso terze parti).

Se poi, come noto, il titolare del trattamento dovesse trovarsi a raccogliere i dati di training direttamente dagli interessati, dovrà informarli al momento della raccolta (ex art. 14 GDPR).

Come buona prassi – scrive espressamente la CNIL – “laddove i dati siano particolarmente sensibili per le persone, la CNIL invita le organizzazioni a rispettare un periodo di tempo ragionevole tra il momento in cui le persone vengono informate che i loro dati sono contenuti nel set di dati di addestramento e l’addestramento di un modello su tale set (direttamente o a seguito della trasmissione del set di dati)”.

Ciò al fine di mettere gli utenti/interessati nelle condizioni di poter esercitare i propri diritti durante questo periodo e contesto (di AI).

Obbligo di rendere accessibili tutte le informazioni

Altro obbligo, connesso al primo, risiede nel rendere accessibili tutte le informazioni, sul presupposto che per gli utenti/interessati “non deve essere difficile accedere alle informazioni o comprenderle”.

Quando si deve addestrare un sistema di AI, la CNIL sottolinea poi che le informative debbono essere tenute ben “distinte da altre informazioni non correlate alla protezione dei dati” (termini e condizioni generali, note legali ecc.).

Nella pratica, diversi sono i modi per fornirlo: da un lato allorché vengano fornite informazioni individuali, queste ultime dovranno esserci sul modulo online utilizzato per raccogliere i dati, essere menzionate nelle e-mail o nelle lettere inviate dal riutilizzatore dei dati durante il suo primo contatto con gli interessati; dall’altro allorché si forniscano “informazioni di carattere generale”, assumendo quindi la forma di avvisi informativi pubblicati sul sito web liberamente accessibile, per esempio.

Obbligo di rendere chiare le informazioni

Infine, v’è un obbligo di rendere chiare cioè “intelleggibili” tutte le informazioni. Concetto che già il GDPR prevede se pensiamo che lo stesso impone al riguardo “informazioni fornite in forma concisa, trasparente, intelligibile e facilmente accessibile, utilizzando un linguaggio chiaro e semplice”.

Né tanto meno la complessità dei sistemi di intelligenza artificiale non può se non anche non deve impedire una corretta, quasi intuitiva, comprensione delle informazioni da parte degli interessati.

Di qui la raccomandazione per tutti i titolari del trattamento di “definire chiaramente le principali conseguenze del trattamento: in altre parole, scrive la CNIL, quale sarà effettivamente l’effetto dello specifico trattamento.

Le informazioni potrebbero quindi dettagliare, ad esempio mediante diagrammi, come i dati vengono utilizzati durante la fase di addestramento, il funzionamento del sistema di intelligenza artificiale sviluppato, nonché la distinzione che deve essere fatta tra il set di dati di addestramento, il modello di intelligenza artificiale e gli output del modello”.

L’informativa nei caso d’uso di AI: le due deroghe

Non mancano tuttavia, deroghe e in particolare alle informazioni individuali. D’altra parte, lo stesso GDPR le prevede pensiamo al caso della disposizione del diritto dell’UE o nazionale ne consente l’esclusione (ex art. 23); e poi la CNIL fa una serie di esempi.

Vediamone alcuni, rimandando alla lettura integrale della guida per ulteriori approfondimenti.

L’interessato ha già ottenuto le informazioni sul trattamento per finalità di sviluppo

Situazione tale per cui gli interessati sono già stati informati di tutte le caratteristiche del trattamento, tra cui le finalità, l’identità del titolare del trattamento, e in teoria non sarebbero necessarie nuove informazioni.

Con una precisazione, “in caso di dati raccolti da terzi, il titolare del trattamento dovrà garantire che siano già state fornite agli interessati informazioni complete sul proprio trattamento”.

L’informazione richiederebbe uno sforzo sproporzionato

Altra situazione si palesa quando l’informazione richiede uno “sforzo sproporzionato” il titolare del trattamento può semplicemente rendere pubbliche le informazioni.

Si tratta di una ipotesi ricorrente spesso in quei contesti in cui non si hanno più rapporti con le persone di cui si trattano i dati (ad esempio nel caso di riutilizzo di un set di dati creato da terzi), non disponendo quindi dei loro dati di contatto.

In questi casi, è necessario effettuare un’analisi caso per caso, considerando da un lato il contesto specifico di ogni trattamento da un lato, e dall’altro il “carattere sproporzionato della misura”, soppesando tanto “l’ingerenza nella privacy delle persone i cui dati vengono trattati” quanto “l’onere che comporterebbe la fornitura individuale delle informazioni a ciascun interessato” scrive la CNIL alla quale si rinvia per gli ulteriori approfondimenti al riguardo, se di interesse.

Conclusioni

In conclusione, potremmo dire nulla di nuovo sotto il sole. Le linee guida sin qui analizzate altro non dicono se non rimarcare quei concetti basilari nonché “sacri” principi del GDPR che mette al centro il diritto degli utenti/interessati a essere informati chiaramente.

Ancora una volta, quindi, le Organizzazioni sono spinte a ragionare in termini trasparenti e conformi all’approccio ormai decennale del Regolamento europeo in materia di protezione dati, sì integrando la trasparenza dell’AI in ottica by design.