L'AI Act UE e il Consenso ai Cookie nel 2026: Come la Profilazione, i Sistemi di Raccomandazione e la Pubblicità Mirata si Inseriscono nel Nuovo Quadro Normativo
L'AI Act UE (Regolamento 2024/1689) è entrato in vigore nell'agosto 2024, con disposizioni introdotte gradualmente nell'arco di diversi anni. Le regole sulle pratiche vietate sono entrate in vigore nel febbraio 2025, gli obblighi sull'AI per uso generale nell'agosto 2025, e la maggior parte degli obblighi per i sistemi ad alto rischio entra in vigore nel corso del 2026 e nel 2027. All'inizio del 2026, l'AI Act non è più una preoccupazione futura — è un regolamento operativo che si sovrappone al GDPR per qualsiasi sistema che utilizza l'AI per profilare, classificare o ordinare gli utenti UE. Per gli editori che gestiscono sistemi di raccomandazione, gli inserzionisti che utilizzano motori di personalizzazione e i fornitori di ad-tech che gestiscono la classificazione automatizzata del pubblico, l'AI Act aggiunge una nuova dimensione di conformità che il solo GDPR non ha mai coperto: non solo se l'utente ha acconsentito al trattamento dei dati, ma se il sistema AI stesso soddisfa i requisiti di progettazione, trasparenza, supervisione e responsabilità previsti dalla normativa. Questa guida illustra la struttura dell'AI Act, come si interseca con il consenso ai cookie e le regole di profilazione del GDPR, cosa richiedono effettivamente gli obblighi del 2026, e come editori e inserzionisti dovrebbero pensare alla superficie di conformità combinata GDPR-più-AI-Act.
La Struttura dell'AI Act nel 2026
L'AI Act è il primo regolamento orizzontale globale sull'intelligenza artificiale al mondo. La sua architettura a livelli di rischio è la chiave per comprendere quali obblighi si applicano a quali sistemi.
I Livelli di Rischio
La normativa classifica i sistemi AI in quattro livelli in base al rischio che comportano:
- Sistemi vietati — pratiche bandite del tutto, incluse tecniche manipolative subliminali, sfruttamento delle vulnerabilità, valutazione sociale da parte di autorità pubbliche e alcune forme di categorizzazione biometrica e riconoscimento delle emozioni
- Sistemi ad alto rischio — sistemi utilizzati in contesti specifici ad alto impatto, soggetti alla maggior parte degli obblighi sostanziali della normativa, inclusi gestione del rischio, governance dei dati, trasparenza, supervisione umana e requisiti di accuratezza
- Sistemi a rischio limitato — sistemi con obblighi specifici di trasparenza, inclusi la maggior parte dei sistemi di raccomandazione dei contenuti guidati dall'AI e i chatbot che interagiscono direttamente con gli utenti
- Sistemi a rischio minimo — tutto il resto, soggetto solo a codici di condotta volontari generali
Dove si Collocano la Pubblicità e i Sistemi di Raccomandazione
La maggior parte dell'AI orientata alla pubblicità — classificazione del pubblico, ottimizzazione delle offerte programmatiche, sistemi di raccomandazione dei contenuti, motori di personalizzazione — si colloca nel livello a rischio limitato piuttosto che in quello ad alto rischio. Questo sembra un sollievo, ma il livello a rischio limitato comporta comunque obblighi di trasparenza significativi, e diversi casi limite spingono sistemi specifici verso livelli più elevati. In modo critico, le regole sulle pratiche vietate possono riguardare i sistemi pubblicitari se sconfinano nella manipolazione o nello sfruttamento, e l'EDPB ha segnalato la volontà di interpretare queste disposizioni in modo ampio.
La Gradualità
Il calendario del 2026 è importante: gli obblighi ad alto rischio per i nuovi sistemi entrano in vigore nell'agosto 2026, quelli per i sistemi già presenti sul mercato nel 2027, e gli obblighi per i fornitori di AI per uso generale sono già in vigore. Editori e inserzionisti dovrebbero mappare il proprio inventario AI rispetto a questo calendario per sapere quali obblighi si applicano e quando.
Come l'AI Act si Sovrappone al GDPR
L'AI Act non sostituisce il GDPR. Si sovrappone ad esso. Un sistema che tratta dati personali per produrre output guidati dall'AI deve soddisfare entrambi i regimi, e gli obblighi sono cumulativi piuttosto che alternativi.
Il Livello GDPR
Il GDPR continua a disciplinare la liceità del trattamento dei dati personali. Il consenso per la profilazione pubblicitaria, la base giuridica per la misurazione, il gruppo dei diritti degli interessati, gli obblighi di trasferimento transfrontaliero — tutto questo continua ad applicarsi invariato.
Il Livello dell'AI Act
Oltre al GDPR, l'AI Act aggiunge obblighi specificamente relativi al sistema AI stesso: come è stato addestrato, quali dati sono stati utilizzati nell'addestramento, come vengono documentati i suoi output, quali meccanismi di supervisione esistono, quale trasparenza riceve l'utente. Questi obblighi si applicano al sistema AI indipendentemente dal fatto che il trattamento dei dati sottostante sia basato sul consenso, sul contratto o su un'altra base giuridica.
L'Implicazione Pratica
Un editore che gestisce un sistema di raccomandazione dei contenuti su dati personali necessita sia di una valida base giuridica GDPR per il trattamento dei dati sia di una comunicazione di trasparenza conforme ai sensi dell'AI Act. L'una da sola è insufficiente. La superficie di conformità è ora genuinamente bidimensionale, e la catena documentale deve coprire entrambi gli assi.
Pratiche Vietate e Pubblicità
L'elenco delle pratiche vietate dalla normativa è breve ma rilevante, e diverse voci hanno implicazioni per la progettazione pubblicitaria.
Tecniche Manipolative
La normativa vieta i sistemi AI che utilizzano tecniche subliminali, pratiche manipolative o sfruttano le vulnerabilità di gruppi specifici in modi che possono causare danni significativi. La maggior parte della progettazione pubblicitaria non si avvicina a questa linea — ma la pubblicità che prende di mira vulnerabilità identificate (difficoltà finanziarie, stati di salute mentale, schemi di dipendenza) utilizzando la profilazione guidata dall'AI potrebbe attraversarla. L'EDPB ha segnalato questo nelle prime linee guida.
Categorizzazione Biometrica
La normativa vieta la categorizzazione biometrica che deduce attributi sensibili come razza, opinione politica, appartenenza a sindacati, credo religioso, vita sessuale o orientamento sessuale. I segmenti di pubblico costruiti da dati biometrici che deducono questi attributi si trovano ora in territorio vietato.
Riconoscimento delle Emozioni in Contesti Specifici
Il riconoscimento delle emozioni è vietato in contesti lavorativi ed educativi. I casi d'uso del riconoscimento delle emozioni nella pubblicità al di fuori di questi contesti possono ancora essere ammissibili ma sono soggetti a maggiore controllo.
Obblighi di Trasparenza per i Sistemi a Rischio Limitato
Qui si concentra la maggior parte del lavoro di conformità all'AI Act per editori e inserzionisti nel 2026.
La Comunicazione del Sistema di Raccomandazione
I sistemi di raccomandazione dei contenuti che personalizzano ciò che gli utenti vedono — che si trovino sulla homepage di un editore, in un feed in-app o in un posizionamento pubblicitario programmatico — rientrano nel livello a rischio limitato. Gli utenti devono essere informati che stanno interagendo con un sistema AI, e il sistema deve essere progettato in modo che la natura AI dell'interazione sia chiara.
La Comunicazione del Chatbot
Qualsiasi sistema AI che interagisce direttamente con gli utenti in forma conversazionale deve divulgare la propria natura AI. Gli editori e gli inserzionisti che gestiscono interfacce di chat AI — per l'assistenza clienti, la scoperta di contenuti o qualsiasi altro scopo — devono soddisfare questa baseline.
La Comunicazione sui Contenuti Sintetici
Le immagini, l'audio, il video e il testo generati dall'AI devono essere contrassegnati come tali. Gli editori che utilizzano contenuti visivi o testi generati dall'AI in contenuti editoriali, creatività pubblicitaria o immagini di prodotti devono applicare gli obblighi di marcatura. Le linee guida di implementazione del 2026 hanno chiarito le specifiche tecniche per la marcatura, inclusi gli standard di watermarking per i contenuti visivi.
La Superficie di Consenso Combinata nel 2026
Il CMP e l'informativa sulla privacy devono ora svolgere il loro lavoro per entrambi i regimi. Il CMP dell'editore nel 2026 è significativamente più elaborato del suo predecessore del 2024.
Finalità di Consenso Granulari
Il CMP espone finalità di consenso che distinguono tra pubblicità generale, profilazione per la pubblicità, decisione automatizzata e personalizzazione tramite raccomandazione. Ciascuna corrisponde a un confine specifico dell'AI Act e del GDPR, e ciascuna richiede un proprio consenso affermativo.
Comunicazioni sui Sistemi AI
L'informativa sulla privacy o un documento di trasparenza AI allegato descrive i sistemi AI in uso, le loro finalità, le categorie di dati di input, la logica generale degli output e i meccanismi di supervisione umana in atto. Questo va oltre la comunicazione sulle decisioni automatizzate dell'articolo 22 del GDPR — è una storia di trasparenza AI più completa.
Il Diritto di Opposizione
Il diritto del GDPR di opporsi alla profilazione continua ad applicarsi, e l'AI Act aggiunge ulteriori diritti degli utenti riguardo alla personalizzazione tramite sistemi di raccomandazione guidati dall'AI. Gli utenti possono rinunciare alla personalizzazione tramite raccomandazione senza perdere l'accesso al servizio sottostante, e la rinuncia deve essere almeno altrettanto semplice dell'adesione.
Modelli Operativi che Funzionano nel 2026
Editori e inserzionisti che gestiscono programmi maturi nel 2026 stanno convergendo su alcuni modelli operativi.
L'Inventario AI
Mantenere un inventario aggiornato di ogni sistema AI in uso nello stack dell'editore o dell'inserzionista: il sistema, il suo livello di rischio ai sensi della normativa, i dati personali che tratta, la sua base giuridica ai sensi del GDPR, le comunicazioni di trasparenza applicate e la supervisione umana in atto. Questo è l'artefatto di conformità fondamentale ed è ciò che i regolatori chiederanno di vedere per primo.
L'Informativa Combinata sulla Privacy
Un'unica informativa combinata sulla privacy e sulla trasparenza AI — in portoghese, tedesco, francese o qualsiasi altra lingua appropriata per il pubblico — che affronta sia gli obblighi GDPR che quelli dell'AI Act in una narrativa coerente. Cercare di mantenere due comunicazioni separate invita a contraddizioni e confusione nei lettori.
L'Audit AI dei Fornitori
Per ogni fornitore di pubblicità o analisi che elabora output guidati dall'AI per conto dell'editore, il contratto deve affrontare l'allocazione degli obblighi dell'AI Act, l'accesso alla documentazione tecnica e la notifica degli incidenti. I contratti standard di trattamento dei dati del 2023 non affrontano l'AI Act e devono essere aggiornati.
Sanzioni e Postura di Applicazione
L'AI Act introduce un regime di sanzioni a livelli con sanzioni amministrative che possono superare i massimali del GDPR.
I Livelli di Sanzione
- Fino a EUR 35 milioni o il 7 percento del fatturato annuo globale per violazioni delle pratiche vietate
- Fino a EUR 15 milioni o il 3 percento per la maggior parte delle altre violazioni sostanziali
- Fino a EUR 7,5 milioni o l'1 percento per la fornitura di informazioni errate
L'Architettura di Applicazione
Ogni Stato membro designa autorità nazionali competenti per l'applicazione dell'AI Act, e l'Ufficio AI europeo coordina la supervisione dei modelli AI per uso generale. L'applicazione nei confronti di editori e inserzionisti avverrà principalmente attraverso le autorità nazionali, spesso in stretta coordinazione con le autorità di protezione dei dati esistenti. Le prime significative azioni di applicazione dell'AI Act sono attese nel corso del 2026, quando gli obblighi ad alto rischio entreranno pienamente in vigore.
Checklist di Audit per la Pubblicità Guidata dall'AI nel 2026
- Inventario aggiornato di ogni sistema AI nello stack con classificazione del livello di rischio
- Base giuridica GDPR documentata per ogni sistema AI che tratta dati personali
- Comunicazioni di trasparenza dell'AI Act applicate a ogni sistema a rischio limitato, inclusi la personalizzazione tramite raccomandazione e i chatbot
- Marcatura dei contenuti sintetici applicata alle creatività generate dall'AI, immagini, audio e video
- Informativa combinata sulla privacy e sulla trasparenza AI nella lingua locale pertinente
- Il CMP espone la profilazione, la decisione automatizzata e la personalizzazione tramite raccomandazione come finalità con consenso separato
- I segmenti di pubblico sono esaminati rispetto all'elenco di categorizzazione biometrica vietata
- I contratti con i fornitori aggiornati per affrontare l'allocazione degli obblighi dell'AI Act
- I meccanismi di supervisione umana documentati per qualsiasi sistema che si avvicina al confine ad alto rischio
- Il flusso di lavoro per i diritti degli interessati e degli utenti dell'AI Act può rispondere alle richieste di rinuncia, spiegazione e revisione umana entro le finestre di risposta applicabili
Le Prospettive per il 2026
L'AI Act non sostituisce il GDPR — si sovrappone ad esso, e la superficie combinata è significativamente più elaborata di entrambi i regimi da soli. Per editori e inserzionisti che gestiscono personalizzazione, profilazione, sistemi di raccomandazione o contenuti generativi guidati dall'AI, il 2026 è l'anno in cui l'architettura di conformità deve maturare oltre una postura puramente GDPR. Chi tratta l'AI Act come una preoccupazione futura scoprirà che il futuro arriva più velocemente del previsto, con le autorità nazionali che emettono le prime azioni di applicazione nel corso del 2026 e nel 2027. Chi costruisce una conformità combinata fin dall'inizio scoprirà che l'architettura ripaga: gli obblighi di trasparenza dell'AI Act, ben implementati, rafforzano anche la storia del consenso e della fiducia del GDPR, e la disciplina operativa di mantenere un inventario AI aggiornato si rivela utile ben oltre la conformità normativa.