Il Regno Unito e l’UE: Come Risolvere un Problema come Grok?
Il 3 febbraio, l’Ufficio del Commissario per le Informazioni del Regno Unito ha aperto un’indagine formale su xAI riguardo al trattamento dei dati personali nella creazione di immagini sessualizzate non consensuali da parte di Grok. L’ICO sta valutando se Grok ha rispettato la legge britannica sulla protezione dei dati. Se xAI verrà trovata colpevole di aver trattato dati personali in modo illecito, l’ICO potrà imporre una multa fino a 17,5 milioni di sterline o il 4% del fatturato annuo mondiale di xAI, a seconda di quale importo sia maggiore, ai sensi del Data Protection Act 2018 e del GDPR del Regno Unito.
Questa indagine segue l’apertura di un’inchiesta da parte di Ofcom ai sensi dell’Online Safety Act 2023, che criminalizza la condivisione di deepfake intimi senza consenso. Nella stessa indagine interviene anche il Data (Use and Access) Act 2025, che rende illecito creare o richiedere contenuti deepfake di adulti nel Regno Unito, sebbene al momento non vieti la fornitura della tecnologia per la loro realizzazione, anche se il governo laburista intende modificarne le disposizioni.
L’indagine sulla conformità di Grok con la legge britannica sulla protezione dei dati segue il raid degli uffici di X a Parigi da parte dei pubblici ministeri francesi specializzati in crimini informatici, nonché l’apertura formale di un’indagine da parte della Commissione Europea su X ai sensi del Digital Services Act. Tale indagine mira a valutare se l’azienda abbia mitigato “rischi sistemici” connessi a Grok, compresi la diffusione di contenuti illegali e la violenza di genere.
Le Differenze tra Regno Unito e UE
Le azioni di enforcement contro Grok mostrano i diversi focus dei regimi di protezione dei dati e sicurezza online nel Regno Unito e nell’UE. L’approccio britannico, tipico delle giurisdizioni di common law, si concentra sull’affrontare danni specifici. L’approccio europeo mira invece a costruire un quadro preventivo per la gestione del rischio sistemico. Questi approcci mostrano la loro forza in fasi diverse dello sviluppo tecnologico: la common law risponde più rapidamente alle evoluzioni dell’IA, mentre il modello europeo predilige la prevenzione di danni futuri, sebbene questo sia temporaneamente indebolito dal desiderio di non rallentare la competitività dell’Europa nell’IA. In sostanza, dopo la Brexit, queste differenze riflettono le conseguenze legali e pratiche del distacco dall’UE.
Il Problema dell’Industria e il Brussels Effect
Un ampio regime normativo europeo è ideato per concedere potere a un esecutivo politico che operi a tutela dell’interesse pubblico contro i poteri di una classe industriale agguerrita. Il problema dell’Europa è la scarsa presenza di grandi industrie IT, pur disponendo di un vasto mercato di consumatori. I legislatori europei hanno perciò tradizionalmente sfruttato il potere d’acquisto del mercato unico per imporre standard globali, fenomeno noto come “Brussels Effect”.
Questo effetto ha funzionato bene per regolare rischi legati al “capitalismo della sorveglianza” centrati sulla protezione dei dati. Tuttavia, fatica a tenere il passo con l’inarrestabile sviluppo dell’IA. Di conseguenza, la Commissione Europea ha proposto il regolamento “Digital Omnibus” nel novembre 2025, che posticipa l’applicazione di parti della legge sull’IA riguardanti l’identificazione biometrica a dicembre 2027 e modifica il GDPR per permettere la formazione di modelli IA con dati europei, in un chiaro segnale di deregolamentazione.
Regolamentazione e Enforcement nel Settore Tecnologico
Regno Unito e UE adottano approcci simili non solo per la protezione dei dati ma anche in concorrenza e antitrust, con la differenza che quello britannico è più specifico e quello europeo più focalizzato su requisiti strutturali. Nel 2023, l’Autorità per la Concorrenza e i Mercati del Regno Unito ha bloccato la fusione Microsoft-Activision da 69 miliardi di dollari per motivi di monopolio sul mercato del gaming cloud. Al contrario, la Commissione Europea ha approvato l’accordo con alcune condizioni correttive per tutelare gli obiettivi del Digital Markets Act.
In biotecnologia e agritech, il Regno Unito ha varato il Genetic Technology (Precision Breeding) Act 2023, che sposta l’onere della prova sulla natura naturale delle modifiche genetiche, senza richiedere l’etichettatura obbligatoria come nell’UE.
Conclusioni
L’approccio britannico ai deepfake punta a ostacolare legalmente la creazione e diffusione di immagini individuali false. L’UE, invece, si concentra sulle valutazioni e controlli di rischio applicati dalle aziende prima del lancio dei prodotti. Il modello UK consente enforcement rapido e mirato, mentre quello europeo può infliggere sanzioni più pesanti con impatti sistemici maggiori. Pur non essendoci ritardi nel Regno Unito, in UE l’enforcement resterà vincolato da ordini di ritenzione documentale fino ad agosto 2026.
In conclusione, il Regno Unito mira a risolvere problemi concreti e immediati, mentre l’UE punta a consolidare il potere regolatorio della Commissione Europea nel lungo termine. Entrambi i modelli hanno vantaggi preziosi che possono essere usati in modo complementare per garantire la responsabilità delle grandi aziende tecnologiche. Dopo la Brexit, il Regno Unito sembra aver trovato un modo efficace e distintivo per colmare alcune lacune normative precedenti, offrendo ai cittadini più strumenti per accedere alla giustizia digitale.
