Il GDPR sparisce ora che c'è l'AI Act?
In breve: no. Il Regolamento (UE) 2016/679 resta pienamente applicabile e l'AI Act si applica «fatto salvo» il GDPR: sono due binari cumulativi. Ogni trattamento di dati personali connesso a un sistema di IA resta integralmente soggetto al GDPR. Qui sotto i fatti verificati su EUR-Lex, poi la nostra lettura.
I fatti · campi 1–10
Cosa dice la fonte ufficiale.
01 · Denominazione
Regolamento (UE) 2016/679 — «GDPR»
Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati). Sigla comune: GDPR (General Data Protection Regulation) / in italiano RGPD.
Titolo ufficiale · EUR-Lex ELI Reg. (UE) 2016/679
02 · Tipo di fonte
Regolamento dell'Unione europea
Atto legislativo UE di portata generale, adottato da Parlamento europeo e Consiglio. Abroga e sostituisce la precedente direttiva 95/46/CE. Consta di 99 articoli e 173 considerando.
EUR-Lex ELI Reg. (UE) 2016/679
03 · Natura
Vincolante e direttamente applicabile
In quanto regolamento UE (art. 288 TFUE) è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno Stato membro, senza necessità di recepimento nazionale. Non è soft law: prevede obblighi giuridici puntuali e un robusto regime sanzionatorio (art. 83).
Art. 288 TFUE · testo del Regolamento su EUR-Lex
04 · Oggetto
Protezione dei dati personali e libera circolazione
Stabilisce le regole armonizzate per la protezione delle persone fisiche con riguardo al trattamento dei dati personali e per la libera circolazione di tali dati nell'UE. Disciplina i principi (liceità, correttezza, trasparenza, minimizzazione, limitazione della finalità e della conservazione, integrità e riservatezza, responsabilizzazione/accountability), le basi giuridiche del trattamento, i diritti dell'interessato, gli obblighi di titolare e responsabile, i trasferimenti verso Paesi terzi, la sicurezza e le violazioni dei dati (data breach).
EUR-Lex ELI Reg. (UE) 2016/679
05 · A chi si applica
Titolari e responsabili del trattamento
- Ambito materiale: al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati contenuti (o destinati) in un archivio.
- Ambito soggettivo: titolari del trattamento (data controller) e responsabili del trattamento (data processor), pubblici e privati.
- Ambito territoriale (art. 3) — extraterritoriale: si applica anche a titolari/responsabili stabiliti fuori dall'UE quando trattano dati di interessati che si trovano nell'Unione per offrire loro beni/servizi o per monitorarne il comportamento.
Artt. 2 e 3 (ambito di applicazione) · EUR-Lex
06 · Date chiave
Dall'adozione alla piena applicazione (art. 99)
-
Adozione del Regolamento.
-
Pubblicazione nella Gazzetta ufficiale dell'Unione europea (GUUE L 119).
-
Entrata in vigore (20° giorno dalla pubblicazione — art. 99, par. 1).
-
Data di applicazione (art. 99, par. 2): da qui il GDPR è pienamente operativo e sostituisce la direttiva 95/46/CE.
Art. 99 del Regolamento · EUR-Lex (date corroborate da EUR-Lex e da fonti giuridiche indipendenti)
07 · Autorità competenti
Garante in Italia; EDPB a livello UE
A livello nazionale (Italia): Garante per la protezione dei dati personali (autorità di controllo indipendente ex artt. 51 ss.), competente per vigilanza, istruttoria e sanzioni.
A livello UE: Comitato europeo per la protezione dei dati — EDPB (European Data Protection Board), che assicura l'applicazione coerente del Regolamento, e il Garante europeo (EDPS) per le istituzioni UE.
Capo VI (autorità di controllo) e Capo VII (EDPB) · EUR-Lex
08 · Stato
In vigore dal 24 maggio 2016, pienamente applicabile dal 25 maggio 2018
In vigore dal 24 maggio 2016 e pienamente applicabile dal 25 maggio 2018. Pienamente operativo e vincolante. In Italia è coordinato con il Codice privacy (D.lgs. 196/2003) come modificato dal D.lgs. 101/2018 di adeguamento. Regime sanzionatorio (art. 83) attivo.
EUR-Lex ELI Reg. (UE) 2016/679
09 · Relazioni con altre norme
Si coordina con l'AI Act, la L. 132/2025 e ISO/IEC 42001
- ↔ AI Act (Reg. UE 2024/1689) — «fatto salvo»: l'AI Act si applica fatto salvo il GDPR. I due regolamenti operano in parallelo, cumulativamente: l'AI Act disciplina il sistema di IA (immissione, rischio, obblighi di fornitore/deployer), mentre ogni trattamento di dati personali connesso a quel sistema resta integralmente soggetto al GDPR. La conformità all'AI Act non esime dalla conformità GDPR e viceversa. Punti di contatto tipici: base giuridica del trattamento nei dati di addestramento, principio di minimizzazione, decisioni automatizzate (art. 22 GDPR), valutazione d'impatto (DPIA, art. 35 GDPR) che si affianca alla valutazione dei rischi dell'AI Act.
- ↔ L. 132/2025 (Italia): la legge nazionale italiana sull'IA ribadisce che il trattamento dei dati personali connesso all'IA resta soggetto al GDPR e al Codice privacy, con il Garante come autorità competente (vedi scheda dedicata).
- ↔ ISO/IEC 42001: standard volontario di gestione dell'IA; può includere presìdi utili alla protezione dei dati, ma non sostituisce gli obblighi GDPR.
Clausola «fatto salvo» il GDPR nel Reg. UE 2024/1689 (AI Act) · testo GDPR su EUR-Lex
10 · Fonte ufficiale
EUR-Lex — identificatore ELI
Fonte primaria da citare: EUR-Lex, identificatore ELI reg/2016/679. Testo ufficiale italiano CELEX 32016R0679. Pubblicato in GUUE L 119 del 4 maggio 2016 (con rettifica in GUUE L 127 del 23 maggio 2018).
Apri la fonte ufficiale su EUR-Lex
Fonte primaria · EUR-Lex (ELI ufficiale)
Campi 11–12 · sintesi propria
La nostra lettura per una PMI.
Sintesi
- Il GDPR è la base preesistente su cui si innesta l'intera normativa sull'IA: chi tratta dati personali con sistemi di IA deve rispettare entrambi i regimi. L'AI Act si aggiunge, non sottrae, obblighi privacy.
- La formula chiave è «fatto salvo il GDPR»: significa che l'AI Act non tocca la disciplina sui dati personali. Una PMI che pensa di "coprire" la privacy adottando misure AI Act commette un errore: sono due binari cumulativi.
- Il regime sanzionatorio è severo e a doppia soglia (vedi obblighi pratici): le sanzioni GDPR restano tra le più alte dell'ordinamento UE e si affiancano (potendo cumularsi) a quelle, ulteriori, previste dall'AI Act.
- Snodi pratici dove IA e GDPR si intrecciano: base giuridica dei dati di addestramento, minimizzazione, decisioni automatizzate e profilazione (art. 22), DPIA (art. 35) che spesso va condotta proprio per i sistemi di IA ad alto impatto.
- Per una PMI la strada efficiente è una governance unica che tratti insieme GDPR, AI Act e (se adottata) ISO/IEC 42001, evitando adempimenti duplicati.
Obblighi pratici per una PMI
- Registro dei trattamenti (art. 30): mappare i trattamenti di dati personali, inclusi quelli svolti tramite sistemi di IA.
- Base giuridica (art. 6) e trasparenza (artt. 13-14): individuare la base giuridica per ogni trattamento IA e informare gli interessati in modo chiaro.
- DPIA (art. 35): condurre una valutazione d'impatto sulla protezione dei dati quando il trattamento (spesso tramite IA) presenta rischi elevati per i diritti degli interessati.
- Decisioni automatizzate (art. 22): presidiare i casi di decisione unicamente automatizzata/profilazione, garantendo intervento umano, informazione e diritto di contestazione.
- Sicurezza (art. 32) e data breach (artt. 33-34): misure tecniche/organizzative adeguate e procedura di notifica delle violazioni al Garante entro 72 ore.
- Contratti (art. 28): disciplinare per iscritto il rapporto con i responsabili del trattamento (es. fornitori di servizi/modelli di IA che trattano dati per conto dell'azienda).
- Sanzioni — doppia soglia (art. 83): fino a 20 milioni di euro o 4% del fatturato mondiale annuo dell'esercizio precedente (importo maggiore) per le violazioni più gravi (art. 83, par. 5); fino a 10 milioni di euro o 2% del fatturato mondiale annuo per le violazioni di cui all'art. 83, par. 4.
Nota di posizionamento (NomotecnIA): NomotecnIA fornisce orientamento e supporto alla readiness nel coordinare GDPR e AI Act in un'unica governance; non è un organismo notificato e non rilascia certificazioni di conformità né al GDPR né all'AI Act. Il presidio privacy formale (es. nomina del DPO ove dovuta) resta responsabilità del titolare.
Dalla norma alla tua azienda
Coordinare GDPR e AI Act in un'unica governance?
L'AI Entry Assessment mappa i tuoi trattamenti e i tuoi sistemi di IA, individua dove GDPR e AI Act si intrecciano e ti restituisce una roadmap prioritizzata per una governance unica.