Regolamento UE · fonte: EUR-Lex

Il GDPR sparisce ora che c'è l'AI Act?

In breve: no. Il Regolamento (UE) 2016/679 resta pienamente applicabile e l'AI Act si applica «fatto salvo» il GDPR: sono due binari cumulativi. Ogni trattamento di dati personali connesso a un sistema di IA resta integralmente soggetto al GDPR. Qui sotto i fatti verificati su EUR-Lex, poi la nostra lettura.

I fatti · campi 1–10

Cosa dice la fonte ufficiale.

Verificato su EUR-Lex

01 · Denominazione

Regolamento (UE) 2016/679 — «GDPR»

Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati). Sigla comune: GDPR (General Data Protection Regulation) / in italiano RGPD.

Titolo ufficiale · EUR-Lex ELI Reg. (UE) 2016/679

02 · Tipo di fonte

Regolamento dell'Unione europea

Atto legislativo UE di portata generale, adottato da Parlamento europeo e Consiglio. Abroga e sostituisce la precedente direttiva 95/46/CE. Consta di 99 articoli e 173 considerando.

EUR-Lex ELI Reg. (UE) 2016/679

03 · Natura

Vincolante e direttamente applicabile

In quanto regolamento UE (art. 288 TFUE) è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno Stato membro, senza necessità di recepimento nazionale. Non è soft law: prevede obblighi giuridici puntuali e un robusto regime sanzionatorio (art. 83).

Art. 288 TFUE · testo del Regolamento su EUR-Lex

04 · Oggetto

Protezione dei dati personali e libera circolazione

Stabilisce le regole armonizzate per la protezione delle persone fisiche con riguardo al trattamento dei dati personali e per la libera circolazione di tali dati nell'UE. Disciplina i principi (liceità, correttezza, trasparenza, minimizzazione, limitazione della finalità e della conservazione, integrità e riservatezza, responsabilizzazione/accountability), le basi giuridiche del trattamento, i diritti dell'interessato, gli obblighi di titolare e responsabile, i trasferimenti verso Paesi terzi, la sicurezza e le violazioni dei dati (data breach).

EUR-Lex ELI Reg. (UE) 2016/679

05 · A chi si applica

Titolari e responsabili del trattamento

  • Ambito materiale: al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati contenuti (o destinati) in un archivio.
  • Ambito soggettivo: titolari del trattamento (data controller) e responsabili del trattamento (data processor), pubblici e privati.
  • Ambito territoriale (art. 3) — extraterritoriale: si applica anche a titolari/responsabili stabiliti fuori dall'UE quando trattano dati di interessati che si trovano nell'Unione per offrire loro beni/servizi o per monitorarne il comportamento.

Artt. 2 e 3 (ambito di applicazione) · EUR-Lex

06 · Date chiave

Dall'adozione alla piena applicazione (art. 99)

  1. Adozione del Regolamento.

  2. Pubblicazione nella Gazzetta ufficiale dell'Unione europea (GUUE L 119).

  3. Entrata in vigore (20° giorno dalla pubblicazione — art. 99, par. 1).

  4. Data di applicazione (art. 99, par. 2): da qui il GDPR è pienamente operativo e sostituisce la direttiva 95/46/CE.

Art. 99 del Regolamento · EUR-Lex (date corroborate da EUR-Lex e da fonti giuridiche indipendenti)

07 · Autorità competenti

Garante in Italia; EDPB a livello UE

A livello nazionale (Italia): Garante per la protezione dei dati personali (autorità di controllo indipendente ex artt. 51 ss.), competente per vigilanza, istruttoria e sanzioni.

A livello UE: Comitato europeo per la protezione dei dati — EDPB (European Data Protection Board), che assicura l'applicazione coerente del Regolamento, e il Garante europeo (EDPS) per le istituzioni UE.

Capo VI (autorità di controllo) e Capo VII (EDPB) · EUR-Lex

08 · Stato

In vigore dal 24 maggio 2016, pienamente applicabile dal 25 maggio 2018

In vigore dal 24 maggio 2016 e pienamente applicabile dal 25 maggio 2018. Pienamente operativo e vincolante. In Italia è coordinato con il Codice privacy (D.lgs. 196/2003) come modificato dal D.lgs. 101/2018 di adeguamento. Regime sanzionatorio (art. 83) attivo.

EUR-Lex ELI Reg. (UE) 2016/679

09 · Relazioni con altre norme

Si coordina con l'AI Act, la L. 132/2025 e ISO/IEC 42001

  • ↔ AI Act (Reg. UE 2024/1689) — «fatto salvo»: l'AI Act si applica fatto salvo il GDPR. I due regolamenti operano in parallelo, cumulativamente: l'AI Act disciplina il sistema di IA (immissione, rischio, obblighi di fornitore/deployer), mentre ogni trattamento di dati personali connesso a quel sistema resta integralmente soggetto al GDPR. La conformità all'AI Act non esime dalla conformità GDPR e viceversa. Punti di contatto tipici: base giuridica del trattamento nei dati di addestramento, principio di minimizzazione, decisioni automatizzate (art. 22 GDPR), valutazione d'impatto (DPIA, art. 35 GDPR) che si affianca alla valutazione dei rischi dell'AI Act.
  • ↔ L. 132/2025 (Italia): la legge nazionale italiana sull'IA ribadisce che il trattamento dei dati personali connesso all'IA resta soggetto al GDPR e al Codice privacy, con il Garante come autorità competente (vedi scheda dedicata).
  • ↔ ISO/IEC 42001: standard volontario di gestione dell'IA; può includere presìdi utili alla protezione dei dati, ma non sostituisce gli obblighi GDPR.

Clausola «fatto salvo» il GDPR nel Reg. UE 2024/1689 (AI Act) · testo GDPR su EUR-Lex

10 · Fonte ufficiale

EUR-Lex — identificatore ELI

Fonte primaria da citare: EUR-Lex, identificatore ELI reg/2016/679. Testo ufficiale italiano CELEX 32016R0679. Pubblicato in GUUE L 119 del 4 maggio 2016 (con rettifica in GUUE L 127 del 23 maggio 2018).

Apri la fonte ufficiale su EUR-Lex

Fonte primaria · EUR-Lex (ELI ufficiale)

Lettura NomotecnIA · interpretazione, non fonte

Campi 11–12 · sintesi propria

La nostra lettura per una PMI.

Sintesi

  • Il GDPR è la base preesistente su cui si innesta l'intera normativa sull'IA: chi tratta dati personali con sistemi di IA deve rispettare entrambi i regimi. L'AI Act si aggiunge, non sottrae, obblighi privacy.
  • La formula chiave è «fatto salvo il GDPR»: significa che l'AI Act non tocca la disciplina sui dati personali. Una PMI che pensa di "coprire" la privacy adottando misure AI Act commette un errore: sono due binari cumulativi.
  • Il regime sanzionatorio è severo e a doppia soglia (vedi obblighi pratici): le sanzioni GDPR restano tra le più alte dell'ordinamento UE e si affiancano (potendo cumularsi) a quelle, ulteriori, previste dall'AI Act.
  • Snodi pratici dove IA e GDPR si intrecciano: base giuridica dei dati di addestramento, minimizzazione, decisioni automatizzate e profilazione (art. 22), DPIA (art. 35) che spesso va condotta proprio per i sistemi di IA ad alto impatto.
  • Per una PMI la strada efficiente è una governance unica che tratti insieme GDPR, AI Act e (se adottata) ISO/IEC 42001, evitando adempimenti duplicati.

Obblighi pratici per una PMI

  1. Registro dei trattamenti (art. 30): mappare i trattamenti di dati personali, inclusi quelli svolti tramite sistemi di IA.
  2. Base giuridica (art. 6) e trasparenza (artt. 13-14): individuare la base giuridica per ogni trattamento IA e informare gli interessati in modo chiaro.
  3. DPIA (art. 35): condurre una valutazione d'impatto sulla protezione dei dati quando il trattamento (spesso tramite IA) presenta rischi elevati per i diritti degli interessati.
  4. Decisioni automatizzate (art. 22): presidiare i casi di decisione unicamente automatizzata/profilazione, garantendo intervento umano, informazione e diritto di contestazione.
  5. Sicurezza (art. 32) e data breach (artt. 33-34): misure tecniche/organizzative adeguate e procedura di notifica delle violazioni al Garante entro 72 ore.
  6. Contratti (art. 28): disciplinare per iscritto il rapporto con i responsabili del trattamento (es. fornitori di servizi/modelli di IA che trattano dati per conto dell'azienda).
  7. Sanzioni — doppia soglia (art. 83): fino a 20 milioni di euro o 4% del fatturato mondiale annuo dell'esercizio precedente (importo maggiore) per le violazioni più gravi (art. 83, par. 5); fino a 10 milioni di euro o 2% del fatturato mondiale annuo per le violazioni di cui all'art. 83, par. 4.

Nota di posizionamento (NomotecnIA): NomotecnIA fornisce orientamento e supporto alla readiness nel coordinare GDPR e AI Act in un'unica governance; non è un organismo notificato e non rilascia certificazioni di conformità né al GDPR né all'AI Act. Il presidio privacy formale (es. nomina del DPO ove dovuta) resta responsabilità del titolare.

Meta · campi 13–15

Revisione, disclaimer e fonte

Ultima revisione · 2026-07-06

Disclaimer

Questo contenuto ha finalità esclusivamente informative e di orientamento generale; non costituisce consulenza legale né attestazione di conformità. Per ogni valutazione fa sempre fede la fonte ufficiale (EUR-Lex) e, per l'Italia, il coordinamento con il Codice privacy (D.lgs. 196/2003 come modificato dal D.lgs. 101/2018). NomotecnIA non è un organismo notificato né un organismo di certificazione ex artt. 42-43 GDPR.

  • #GDPR
  • #RGPD
  • #RegolamentoUE
  • #ProtezioneDati
  • #DataProtection
  • #GarantePrivacy
  • #EDPB
  • #Art83
  • #AIAct
  • #FattoSalvo
  • #DPIA
  • #PMI

Fonte ufficiale · EUR-Lex

Dalla norma alla tua azienda

Coordinare GDPR e AI Act in un'unica governance?

L'AI Entry Assessment mappa i tuoi trattamenti e i tuoi sistemi di IA, individua dove GDPR e AI Act si intrecciano e ti restituisce una roadmap prioritizzata per una governance unica.