Privacy & Dati

GDPR e intelligenza artificiale: cosa resta e cosa cambia

Con l'arrivo dell'AI Act, molte PMI hanno tirato un sospiro di sollievo pensando: «adesso c'è una legge per l'IA, la privacy è coperta». È un errore che può costare caro. La verità è più semplice e più impegnativa: sul trattamento dei dati personali con sistemi di intelligenza artificiale il GDPR resta interamente in piedi, e l'AI Act gli si aggiunge. Non lo sostituisce. La domanda da porsi non è «quale delle due si applica?», ma «come le presidio entrambe senza duplicare il lavoro?».

La formula che decide tutto: «fatto salvo il GDPR»

Il Regolamento (UE) 2024/1689 contiene una clausola di raccordo netta: l'AI Act si applica fatto salvo il GDPR. Tradotto: il nuovo Regolamento non tocca la disciplina sulla protezione dei dati personali. I due testi operano in parallelo e cumulativamente. L'AI Act disciplina il sistema di IA — la sua immissione sul mercato, la classe di rischio, gli obblighi di fornitore e deployer. Il GDPR disciplina ogni trattamento di dati personali connesso a quel sistema.

La conseguenza pratica è che la conformità all'AI Act non esime dalla conformità GDPR, e viceversa. Una PMI che pensa di «coprire» la privacy adottando misure AI Act sta ragionando su un solo binario quando i binari sono due. E c'è un secondo elemento che pesa: le sanzioni. Il regime del GDPR resta tra i più severi dell'ordinamento UE — a doppia soglia: fino a 20 milioni di euro o il 4% del fatturato mondiale annuo per le violazioni più gravi, fino a 10 milioni o il 2% per le altre. Queste sanzioni si affiancano — potendo cumularsi — a quelle, ulteriori, previste dall'AI Act.

Cosa resta: gli obblighi GDPR non cambiano

Chi tratta dati personali con l'IA continua a dover rispettare l'intero impianto del GDPR. I punti che, nella nostra esperienza, più spesso si intrecciano con l'IA sono cinque:

  1. Registro dei trattamenti (art. 30): i trattamenti svolti tramite sistemi di IA vanno mappati come qualsiasi altro.
  2. Base giuridica (art. 6) e trasparenza (artt. 13-14): ogni trattamento IA ha bisogno di una base giuridica solida — a partire dai dati di addestramento — e di un'informativa chiara verso gli interessati.
  3. Minimizzazione: raccogliere e trattare solo i dati necessari, principio che l'IA «affamata di dati» mette costantemente sotto tensione.
  4. Decisioni automatizzate (art. 22): dove una decisione è unicamente automatizzata o basata su profilazione, vanno garantiti intervento umano, informazione e diritto di contestazione.
  5. Sicurezza (art. 32) e data breach (artt. 33-34): misure adeguate e notifica al Garante entro 72 ore.

A questi si aggiungono i contratti con i responsabili del trattamento (art. 28): se un fornitore di modelli o servizi di IA tratta dati per conto dell'azienda, il rapporto va disciplinato per iscritto. In Italia, l'autorità competente resta il Garante per la protezione dei dati personali; a livello europeo, l'EDPB assicura l'applicazione coerente.

Cosa cambia: dove IA e GDPR si saldano

Il cambiamento non è nel cosa impone il GDPR, ma nel come si intreccia con i nuovi adempimenti dell'IA. Lo snodo più chiaro è la valutazione d'impatto. Il GDPR prevede la DPIA (art. 35) quando un trattamento presenta rischi elevati per i diritti degli interessati — condizione che ricorre spesso proprio nei sistemi di IA ad alto impatto. L'AI Act, a sua volta, impone valutazioni dei rischi sul versante del sistema. Le due valutazioni non si sostituiscono: si affiancano. Condurle in modo scollegato significa fare due volte lo stesso lavoro; condurle in modo integrato è il segno di una governance matura.

Lo stesso vale per la sorveglianza umana, per la documentazione e per l'informazione agli interessati e ai lavoratori: sono richieste da entrambi i regimi, con angolature diverse. La convergenza è un'opportunità, non un doppione.

La lettura NomotecnIA per una PMI

Per un'impresa la strada efficiente è una: una governance unica che tratti insieme GDPR, AI Act e — se adottata — ISO/IEC 42001, evitando adempimenti duplicati. In pratica significa un registro che copre trattamenti e sistemi di IA, una valutazione d'impatto che parla a entrambi i regimi, un'informativa che integra i due livelli di trasparenza.

Il presidio privacy formale — ad esempio la nomina del DPO dove dovuta — resta responsabilità del titolare. Il nostro ruolo è aiutarvi a leggere i due binari come un sistema solo, verificabile, difendibile davanti a un'autorità o a un cliente. Perché nell'IA, la fiducia si dimostra con le evidenze, non con le dichiarazioni.

Contenuto informativo ed editoriale. Non costituisce consulenza legale né attestazione di conformità. NomotecnIA non è un organismo notificato. Per ogni valutazione fa fede la fonte ufficiale citata nelle schede collegate.

Autore

Matteo Colacchio

CEO · AI Governance, NomotecnIA

Profilo dell'autore →

LinkedIn: da collegare

Dall'analisi alla tua azienda

Vuoi una governance che parli a entrambi i binari?

L'AI Entry Assessment unisce GDPR e AI Act in un'unica governance: registro, DPIA integrata, informativa a due livelli.