Sì, il GDPR si applica a qualsiasi sistema AI che tratta dati personali di dipendenti, clienti o fornitori. Per usare l'AI lecitamente nella tua azienda servono una base giuridica valida, misure di sicurezza adeguate e, in molti casi, una valutazione d'impatto (DPIA).
Il GDPR si applica anche ai sistemi AI aziendali?
Sì, senza eccezioni. Il Regolamento UE 2016/679 (GDPR) si applica a ogni trattamento di dati personali, indipendentemente dalla tecnologia usata. Se il tuo sistema AI analizza email dei clienti, profila utenti sul sito, elabora dati dei dipendenti o gestisce richieste di assistenza, stai trattando dati personali e il GDPR è pienamente applicabile.
Non conta se usi un modello di linguaggio in cloud, un'automazione interna o uno strumento di terze parti: la responsabilità del trattamento rimane in capo alla tua azienda come titolare del trattamento. Questo significa che devi identificare la base giuridica, informare gli interessati, garantire i loro diritti e mettere in atto misure di sicurezza proporzionate al rischio.
La novità di questo 2026 è che all'orizzonte c'è anche l'EU AI Act (Regolamento UE sull'intelligenza artificiale), che si sovrappone al GDPR su alcuni aspetti ma non lo sostituisce: entrambi restano obbligatori. Ne parliamo più in dettaglio nella sezione dedicata.
Quali dati posso usare per addestrare o alimentare un sistema AI?
Dipende dalla categoria del dato e dalla base giuridica disponibile. I dati personali non possono essere usati per qualunque scopo: devono essere stati raccolti per una finalità compatibile con l'uso AI che intendi fare. Il principio di limitazione della finalità (art. 5 GDPR) è uno degli ostacoli più frequenti che le aziende incontrano quando vogliono riutilizzare database esistenti per addestrare o alimentare modelli.
Alcune categorie di dati sono vietate o richiedono consenso esplicito: dati sanitari, dati biometrici, dati relativi a opinioni politiche o religiose. Per i dati dei dipendenti, il trattamento è consentito solo nei limiti strettamente necessari al rapporto di lavoro.
Una soluzione percorribile in molti casi è la pseudonimizzazione o anonimizzazione dei dati prima dell'addestramento: se i dati sono genuinamente anonimi non rientrano più nel perimetro del GDPR. Attenzione però: la soglia di anonimizzazione effettiva è alta. Un dataset può essere tecnicamente anonimo e ancora re-identificabile per incrocio con altre fonti.
Se stai valutando quale architettura AI scegliere anche in relazione alla residenza dei dati, il nostro servizio di AI locale, privata e sicura permette di tenere i dati aziendali interamente dentro il perimetro della tua infrastruttura, eliminando alla radice il rischio di trasferimenti extra-UE.
Devo chiedere il consenso agli utenti per usare i loro dati con l'AI?
Non necessariamente. Il consenso è solo una delle sei basi giuridiche ammesse dal GDPR (art. 6). Nelle relazioni B2B, le basi più usate sono l'esecuzione di un contratto (se il trattamento è necessario per erogare il servizio) e il legittimo interesse del titolare (se l'interesse è bilanciato rispetto ai diritti dell'interessato).
Il consenso diventa obbligatorio quando usi dati per finalità diverse da quelle originarie, quando tratti dati di categorie particolari (salute, origine etnica, ecc.) o quando il trattamento AI produce effetti giuridici o analoghi sull'interessato — come sistemi di scoring automatico del credito o selezione del personale tramite AI.
In tutti i casi in cui usi AI per decisioni automatizzate significative (art. 22 GDPR), l'interessato ha il diritto di ottenere intervento umano, esprimere il proprio punto di vista e contestare la decisione. Questo vale anche per sistemi apparentemente neutri come chatbot che filtrano richieste di assistenza o algoritmi di raccomandazione prodotti.
Cosa devo fare concretamente prima di avviare un progetto AI in azienda?
Tre passi operativi, nell'ordine:
- Mappa i dati coinvolti. Identifica quali dati personali entrano nel sistema, da dove provengono, chi li ha forniti e per quale finalità originaria. Questa mappatura è il prerequisito per tutto il resto.
- Verifica la base giuridica. Per ogni categoria di dato, stabilisci quale base giuridica utilizzerai (contratto, legittimo interesse, consenso, obbligo legale). Documentala nel registro dei trattamenti, che per le aziende con trattamenti a rischio è obbligatorio.
- Valuta se serve una DPIA. La Valutazione d'Impatto sulla Protezione dei Dati (art. 35 GDPR) è obbligatoria quando il trattamento è suscettibile di presentare un rischio elevato per i diritti degli interessati. I sistemi AI che profilano persone, usano dati biometrici o prendono decisioni automatizzate ricadono quasi sempre in questa categoria.
Se stai ancora nella fase di scelta dello strumento, considera che architetture AI che non trasferiscono dati all'esterno semplificano notevolmente la compliance. La nostra consulenza e formazione AI include una valutazione dei rischi privacy come parte del processo di analisi.
Come si conciliano GDPR e AI Act? Sono la stessa cosa?
No, sono due regolamenti distinti con oggetti diversi, ma si sovrappongono su alcuni punti.
Il GDPR (Regolamento UE 2016/679) regola il trattamento dei dati personali: si applica quando e solo quando il sistema AI processa dati di persone identificabili. È già pienamente in vigore e le sanzioni sono attive (fino al 4% del fatturato globale annuo).
L'EU AI Act (Regolamento UE sull'intelligenza artificiale) regola i sistemi AI in base al loro livello di rischio — indipendentemente dal fatto che trattino dati personali o meno. Classifica i sistemi in quattro categorie (rischio inaccettabile, alto, limitato, minimo) e impone obblighi crescenti. Per le PMI italiane, la scadenza più rilevante è agosto 2026, quando entreranno in vigore gli obblighi per i sistemi ad alto rischio. Abbiamo pubblicato una guida agli obblighi AI Act per le PMI italiane con il dettaglio delle categorie e delle scadenze.
La sovrapposizione pratica riguarda soprattutto i sistemi AI ad alto rischio che trattano dati personali: in quel caso dovrai rispettare entrambi i regolamenti contemporaneamente. Il Garante per la Protezione dei Dati Personali è l'autorità di controllo per il GDPR in Italia; per l'AI Act il quadro di enforcement è ancora in definizione a livello europeo.
Cosa succede se subisco un data breach su un sistema AI?
Le regole GDPR sui data breach si applicano esattamente come per qualsiasi altro sistema informatico. Se la violazione riguarda dati personali e presenta un rischio per i diritti degli interessati, hai 72 ore per notificarla al Garante per la Protezione dei Dati Personali (art. 33 GDPR). Se il rischio è elevato, devi anche comunicarla direttamente agli interessati coinvolti (art. 34).
I sistemi AI introducono però rischi specifici da considerare nella valutazione: la possibilità che il modello esponga dati di addestramento attraverso le sue risposte (il cosiddetto data leakage tramite prompt), oppure che una compromissione del sistema permetta l'estrazione di dati su scala maggiore rispetto a un database tradizionale.
Sul piano sanzionatorio, la responsabilità del titolare del trattamento non si riduce perché il breach ha coinvolto un sistema AI invece di un database convenzionale. Documentare la DPIA e le misure di sicurezza adottate prima dell'incidente è la principale protezione in caso di verifica del Garante.
Come strutturare una governance dei dati AI-ready senza un DPO interno dedicato?
La nomina del DPO (Data Protection Officer) è obbligatoria per legge solo in tre casi specifici (art. 37 GDPR): enti pubblici, organizzazioni che effettuano monitoraggio sistematico su larga scala, organizzazioni che trattano su larga scala categorie particolari di dati. La maggior parte delle PMI italiane non rientra in questi casi.
Questo non significa che possano fare a meno di una governance privacy. Le misure minime praticabili anche senza un DPO interno sono:
- Registro dei trattamenti aggiornato con i nuovi sistemi AI, obbligatorio per aziende con trattamenti a rischio e raccomandato per tutte le altre.
- Informative aggiornate agli interessati che menzionino esplicitamente l'uso di sistemi AI nel trattamento dei loro dati.
- Contratti di responsabili del trattamento (DPA) firmati con ogni fornitore AI che accede a dati personali della tua azienda.
- Procedure per i diritti degli interessati: accesso, rettifica, cancellazione, portabilità — includendo il caso in cui la richiesta riguardi dati processati da un sistema AI.
- DPIA per i trattamenti AI ad alto rischio, anche senza DPO: può essere condotta con il supporto di un consulente esterno.
I miei fornitori di strumenti AI in cloud rispettano il GDPR?
Non puoi darlo per scontato, anche se il fornitore è noto. Quando usi uno strumento AI in cloud che accede a dati personali dei tuoi clienti o dipendenti, il fornitore diventa un responsabile del trattamento (art. 28 GDPR) e devi stipulare con lui un accordo scritto (DPA, Data Processing Agreement) che specifichi le finalità, le misure di sicurezza e, se rilevante, le garanzie per i trasferimenti extra-UE.
Il trasferimento di dati verso fornitori con server fuori dall'UE è un punto critico. I trasferimenti verso soggetti negli USA richiedono clausole contrattuali standard (SCC) o la verifica che il fornitore sia certificato nell'ambito del Data Privacy Framework UE-USA del 2023. La situazione normativa rimane in evoluzione e va monitorata.
La verifica della catena dei responsabili del trattamento è uno dei controlli che effettuiamo durante un'analisi di processo: sapere dove risiedono effettivamente i dati e con quali garanzie è il punto di partenza per una governance AI solida. Se vuoi tenere i dati aziendali interamente dentro il tuo perimetro, l'opzione on-premise è disponibile con la nostra soluzione di AI locale, privata e sicura.
Stai avviando un progetto AI e vuoi capire cosa ti chiede la normativa?
Compila il form per richiedere una AI Integration Review gratuita: riceverai un'analisi mirata sui processi in cui l'AI può portare risultati concreti, inclusa una prima valutazione dei punti di attenzione su GDPR e AI Act, senza impegno.