Il 18 febbraio 2026, l’Agenzia spagnola per la protezione dei dati(AEPD) ha pubblicato delle linee guida dedicate all’intelligenza artificiale “basata su agenti”, ovvero sistemi che non si limitano a generare risposte ma interagiscono autonomamente con l’ambiente digitale per perseguire obiettivi complessi. Da un punto di vista legale, l’autonomia dell’agente espande radicalmente i rischi per la privacy: non è più sufficiente valutare gli input e gli output, ma bisogna governare un processo dinamico, adattivo e solo parzialmente prevedibile.

In questo scenario, principi come la trasparenza, la minimizzazione dei dati, la limitazione delle finalità e la privacy by design non possono essere gestiti con approcci standard. Se l’agente impara dal contesto, seleziona le fonti, esegue azioni e modifica il proprio comportamento, il controllo dell’oggetto dei dati rischia di diventare puramente teorico, proprio come gli avvisi generici, le istruzioni interne astratte o le forme di supervisione puramente formali si rivelano insufficienti.

La solidità del sistema si misura in base alla capacità dell’organizzazione di assegnare correttamente ruoli e responsabilità, di ricostruire i flussi di informazioni, di definire in anticipo l’ambito operativo dell’agente, di garantire un’efficace supervisione umana e di allineare questi aspetti con le politiche, le procedure interne, le relazioni con i fornitori e i meccanismi di responsabilità. Dal punto di vista operativo, ciò richiede almeno: la mappatura delle aree in cui l’agente opera e dei dati che utilizza; la definizione di limiti funzionali, istruzioni e soglie per l’intervento umano; l’adattamento della governance e della documentazione alle operazioni effettive; la valutazione preventiva degli impatti sui diritti; l’istituzione di una supervisione continua con revisione periodica. Con l’IA agenziale, quindi, non è sufficiente controllare lo strumento: il suo comportamento effettivo deve essere governato nel tempo.