05

Immagine creata con IAAI-generated image

Neurodiritti e neurodati: la Raccomandazione UNESCO sull’etica delle neurotecnologie, primo standard globale a tutela della mente

L’11 novembre 2025 la Conferenza generale dell’UNESCO ha adottato la Recommendation on the Ethics of Neurotechnology, primo strumento normativo globale in materia: definizioni di neurotecnologia e dati neurali, privacy mentale, divieto di manipolazione, qualificazione dei neurodati come dati sensibili. Ma uno strumento di soft law basterà a proteggere la sfera più intima della persona, la mente?

Di neurodiritti ci siamo occupati a più riprese, interrogandoci su quali nuove regole etiche servano alle società ibride innanzi all’avanzata delle neurotecnologie. Oggi quel dibattito ha un punto di riferimento normativo globale: nella 43ª sessione della Conferenza generale, riunita a Samarcanda, l’UNESCO ha adottato la Recommendation on the Ethics of Neurotechnology (riferimento documentale SHS/BIO/REC-NEURO/2025), il cui dispositivo reca la formula solenne con cui adotta la presente Raccomandazione sull’etica della neurotecnologia in data 11 novembre 2025. Il mandato risale alla Risoluzione 42 C/29 della Conferenza generale del novembre 2023; l’elaborazione è stata affidata a un gruppo di esperti ad hoc presieduto da Hervé Chneiweiss e Nita Farahany, con oltre ottomila contributi ricevuti.

Riteniamo questa sia la sede opportuna per esaminare le definizioni chiave del nuovo strumento e per interrogarci, ancora una volta, sulla tenuta del quadro giuridico europeo innanzi ai neurodati.

Cosa è “neurotecnologia”: la definizione della Raccomandazione

Il percorso definitorio non è stato facile nemmeno per l’UNESCO. La Raccomandazione definisce la neurotecnologia come l’insieme di dispositivi, sistemi e procedure, hardware e software, che misurano, accedono, monitorano, analizzano, predicono o modulano direttamente il sistema nervoso per comprenderne, influenzarne, ripristinarne o anticiparne la struttura, l’attività e la funzione.

Quanto ai dati neurali, leggiamo che essi comprendono dati qualitativi e quantitativi sulla struttura, l’attività e la funzione del sistema nervoso raccolti mediante la neurotecnologia come definita nella Raccomandazione: sono le misurazioni o osservazioni più dirette degli stati del sistema nervoso, molti dei quali correlati agli stati mentali.

Ecco, però, la specificazione a nostro avviso più dirimente: la Raccomandazione estende la propria attenzione anche ai dati neurali indiretti e ai dati non neurali che consentono inferenze sugli stati mentali: anche se queste tecnologie non sono neurotecnologia in senso proprio, il loro impiego per generare informazioni idonee a interpretare o predire gli stati mentali solleva questioni etiche e di diritti umani analoghe a quelle della neurotecnologia utilizzata per inferire stati mentali. In altri termini: non serve un’interfaccia cervello-computer per mettere a rischio la privacy mentale; bastano, in ipotesi, i dati comportamentali e biometrici correlati, di cui l’ecosistema digitale già trabocca.

Privacy mentale, consenso e divieto di manipolazione

Il cuore assiologico della Raccomandazione è la tutela della privacy mentale. Al punto 49 leggiamo che la privacy, inclusa la privacy mentale, è fondamentale per l’identità e la capacità di agire della persona, oltre che per la protezione della dignità umana: la raccolta, il trattamento, la modifica e la condivisione dei dati neurali, nonché dei dati neurali indiretti e dei dati non neurali che consentono inferenze sugli stati mentali, richiedono il consenso preventivo, libero e informato della persona interessata, salvo le situazioni di emergenza medica che mettano in pericolo la vita.

A presidio della libertà di pensiero, il punto 47 stabilisce che la neurotecnologia non dovrebbe mai essere utilizzata per esercitare un’indebita influenza o manipolazione, sia attraverso la forza, la coercizione, la percezione di uno svantaggio, la pressione sociale o altri mezzi che compromettano l’autonomia e la libertà di pensiero.

Infine, sul piano delle ricadute regolatorie, il punto 85 invita gli Stati a considerare sia i dati neurali sia i dati neurali indiretti e i dati non neurali che consentono inferenze sugli stati mentali come dati personali sensibili: una presa di posizione netta, che interpella direttamente il Legislatore europeo, come vedremo.

Il precedente cileno: dalla Costituzione alla Corte Suprema

Volendo imparare dalla storia recente, il quadro comparato offre un riferimento obbligato. Il Cile è stato il primo ordinamento a costituzionalizzare la tutela dell’attività cerebrale: la Ley N° 21.383 del 14 ottobre 2021 ha modificato l’articolo 19, numero 1, della Costituzione, disponendo che lo sviluppo scientifico e tecnologico sia al servizio delle persone e si svolga nel rispetto della vita e dell’integrità fisica e psichica, e che la legge disciplini i requisiti, le condizioni e le restrizioni per il suo utilizzo sulle persone, dovendo salvaguardare in particolare l’attività cerebrale nonché le informazioni da essa provenienti.

Su tale base, la Corte Suprema cilena, nel caso Girardi c. Emotiv Inc. (Rol N° 105.065-2023, decisione del 9 agosto 2023), ha accolto il recurso de protección promosso in relazione ai dati cerebrali raccolti da un dispositivo commerciale, ordinandone la cancellazione: primo precedente giurisdizionale mondiale in materia di neurodiritti.

Neurodati e diritto europeo: le maglie del GDPR e dell’AI Act

E l’Europa? Il quadro vigente offre presidi importanti, ma non un regime dedicato. L’articolo 9, paragrafo 1, del GDPR vieta di «trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona». I neurodati, tuttavia, non vi compaiono come categoria autonoma: vi rientrano in via mediata, quali dati relativi alla salute ove attengano allo stato psico-fisico, ovvero quali dati biometrici, ma solo se trattati per identificare in modo univoco una persona fisica, secondo la definizione dell’articolo 4, numero 14. I dati neurali inferenziali e i dati non neurali che consentono inferenze sugli stati mentali ricadono nell’articolo 9 soltanto a determinate condizioni: donde un possibile vuoto di tutela, puntualmente segnalato dalla dottrina.

Sul versante dell’AI Act, l’articolo 5, paragrafo 1, lettera a), vieta «l’immissione sul mercato, la messa in servizio o l’uso di un sistema di IA che utilizza tecniche subliminali che agiscono senza che una persona ne sia consapevole o tecniche volutamente manipolative o ingannevoli aventi lo scopo o l’effetto di distorcere materialmente il comportamento di una persona o di un gruppo di persone, pregiudicando in modo considerevole la loro capacità di prendere una decisione informata, inducendole pertanto a prendere una decisione che non avrebbero altrimenti preso, in un modo che provochi o possa ragionevolmente provocare a tale persona, a un’altra persona o a un gruppo di persone un danno significativo». Presidio prezioso contro la manipolazione, certo; ma costruito attorno al paradigma del danno significativo e della decisione economicamente rilevante, non attorno alla inviolabilità della sfera mentale in quanto tale.

Profili critici: la forza (e la debolezza) della soft law

Il primo profilo critico è strutturale: la Raccomandazione è uno strumento di standard-setting privo di efficacia vincolante. Il dispositivo si limita a invitare gli Stati membri a darvi attuazione adottando le misure appropriate, comprese le misure legislative o di altra natura eventualmente necessarie, in conformità alla prassi costituzionale e agli assetti di governo di ciascuno Stato. L’esperienza della Raccomandazione UNESCO sull’etica dell’IA del 2021 insegna che simili strumenti sanno orientare i legislatori; ma la distanza tra orientamento e obbligo resta tutta.

Il secondo profilo attiene alla qualificazione dei neurodati nel GDPR, su cui la dottrina più attenta ha già richiamato l'attenzione: fino a quando la protezione della sfera mentale dipenderà da qualificazioni mediate, il livello di tutela resterà esposto alle oscillazioni interpretative.

Conclusioni

Con la Raccomandazione di Samarcanda la comunità internazionale ha riconosciuto, per la prima volta a livello globale, che la mente umana è un bene giuridico da proteggere in quanto tale: definizioni comuni, privacy mentale, divieto di manipolazione, neurodati come dati sensibili. Non è poco. Ma è, per l’appunto, una raccomandazione: la sua forza si misurerà nella capacità degli Stati, e dell’Unione europea per prima, di tradurla in regole cogenti, colmando il vuoto di tutela che ancora circonda i dati neurali inferenziali.

Alla luce di quanto esposto, ci si domanda se il Legislatore europeo saprà raccogliere il monito di Samarcanda, dotando i neurodati inferenziali di una tutela autonoma e non più mediata dalle categorie vigenti del GDPR, ovvero se la protezione della sfera mentale continuerà a dipendere da qualificazioni indirette, esposte alle oscillazioni interpretative, proprio là dove è in gioco la libertà di pensare senza essere letti.

Autore: Avv. Valentina Grazia Sapuppo