Con l'arrivo dell'AI Act, molte PMI hanno tirato un sospiro di sollievo pensando: «adesso c'è una legge per l'IA, la privacy è coperta». È un errore che può costare caro. La verità è più semplice e più impegnativa: sul trattamento dei dati personali con sistemi di intelligenza artificiale il GDPR resta interamente in piedi, e l'AI Act gli si aggiunge. Non lo sostituisce. La domanda da porsi non è «quale delle due si applica?», ma «come le presidio entrambe senza duplicare il lavoro?».
La formula che decide tutto: «fatto salvo il GDPR»
Il Regolamento (UE) 2024/1689 contiene una clausola di raccordo netta: l'AI Act si applica fatto salvo il GDPR. Tradotto: il nuovo Regolamento non tocca la disciplina sulla protezione dei dati personali. I due testi operano in parallelo e cumulativamente. L'AI Act disciplina il sistema di IA — la sua immissione sul mercato, la classe di rischio, gli obblighi di fornitore e deployer. Il GDPR disciplina ogni trattamento di dati personali connesso a quel sistema.
La conseguenza pratica è che la conformità all'AI Act non esime dalla conformità GDPR, e viceversa. Una PMI che pensa di «coprire» la privacy adottando misure AI Act sta ragionando su un solo binario quando i binari sono due. E c'è un secondo elemento che pesa: le sanzioni. Il regime del GDPR resta tra i più severi dell'ordinamento UE — a doppia soglia: fino a 20 milioni di euro o il 4% del fatturato mondiale annuo per le violazioni più gravi, fino a 10 milioni o il 2% per le altre. Queste sanzioni si affiancano — potendo cumularsi — a quelle, ulteriori, previste dall'AI Act.
Cosa resta: gli obblighi GDPR non cambiano
Chi tratta dati personali con l'IA continua a dover rispettare l'intero impianto del GDPR. I punti che, nella nostra esperienza, più spesso si intrecciano con l'IA sono cinque:
- Registro dei trattamenti (art. 30): i trattamenti svolti tramite sistemi di IA vanno mappati come qualsiasi altro.
- Base giuridica (art. 6) e trasparenza (artt. 13-14): ogni trattamento IA ha bisogno di una base giuridica solida — a partire dai dati di addestramento — e di un'informativa chiara verso gli interessati.
- Minimizzazione: raccogliere e trattare solo i dati necessari, principio che l'IA «affamata di dati» mette costantemente sotto tensione.
- Decisioni automatizzate (art. 22): dove una decisione è unicamente automatizzata o basata su profilazione, vanno garantiti intervento umano, informazione e diritto di contestazione.
- Sicurezza (art. 32) e data breach (artt. 33-34): misure adeguate e notifica al Garante entro 72 ore.
A questi si aggiungono i contratti con i responsabili del trattamento (art. 28): se un fornitore di modelli o servizi di IA tratta dati per conto dell'azienda, il rapporto va disciplinato per iscritto. In Italia, l'autorità competente resta il Garante per la protezione dei dati personali; a livello europeo, l'EDPB assicura l'applicazione coerente.
Cosa cambia: dove IA e GDPR si saldano
Il cambiamento non è nel cosa impone il GDPR, ma nel come si intreccia con i nuovi adempimenti dell'IA. Lo snodo più chiaro è la valutazione d'impatto. Il GDPR prevede la DPIA (art. 35) quando un trattamento presenta rischi elevati per i diritti degli interessati — condizione che ricorre spesso proprio nei sistemi di IA ad alto impatto. L'AI Act, a sua volta, impone valutazioni dei rischi sul versante del sistema. Le due valutazioni non si sostituiscono: si affiancano. Condurle in modo scollegato significa fare due volte lo stesso lavoro; condurle in modo integrato è il segno di una governance matura.
Lo stesso vale per la sorveglianza umana, per la documentazione e per l'informazione agli interessati e ai lavoratori: sono richieste da entrambi i regimi, con angolature diverse. La convergenza è un'opportunità, non un doppione.
La lettura NomotecnIA per una PMI
Per un'impresa la strada efficiente è una: una governance unica che tratti insieme GDPR, AI Act e — se adottata — ISO/IEC 42001, evitando adempimenti duplicati. In pratica significa un registro che copre trattamenti e sistemi di IA, una valutazione d'impatto che parla a entrambi i regimi, un'informativa che integra i due livelli di trasparenza.
Il presidio privacy formale — ad esempio la nomina del DPO dove dovuta — resta responsabilità del titolare. Il nostro ruolo è aiutarvi a leggere i due binari come un sistema solo, verificabile, difendibile davanti a un'autorità o a un cliente. Perché nell'IA, la fiducia si dimostra con le evidenze, non con le dichiarazioni.
Contenuto informativo ed editoriale. Non costituisce consulenza legale né attestazione di conformità. NomotecnIA non è un organismo notificato. Per ogni valutazione fa fede la fonte ufficiale citata nelle schede collegate.
Autore
Matteo Colacchio
CEO · AI Governance, NomotecnIA
LinkedIn: da collegare