AI Act e GDPR: DPIA, privacy by design, trasparenza e governance dei dati
Risposta rapida
AI Act e GDPR non sono alternativi: spesso si applicano insieme. L’AI Act governa il sistema AI e il suo rischio; il GDPR governa il trattamento dei dati personali. Quando un sistema AI usa dati personali, profila persone, supporta decisioni, tratta categorie particolari o crea rischi elevati per diritti e libertà, può servire una DPIA. Il collegamento operativo corretto è: scheda sistema AI, scheda trattamento GDPR, valutazione rischio, basi giuridiche, trasparenza, diritti, vendor e misure tecniche e organizzative.
Inventory sistemi AI, classificazione del rischio, governance e audit-ready.
Perché questo tema è importante
La confusione più frequente è pensare che l’AI Act “sostituisca” il GDPR. In realtà un sistema AI può essere a rischio minimo secondo la logica AI Act e comunque trattare dati personali; oppure può essere rilevante per l’AI Act anche se il dato personale non è il tema principale. La compliance deve quindi lavorare su due piani collegati.
Per il DPO, l’AI Act introduce un nuovo oggetto di controllo: non solo il trattamento, ma il sistema che produce output, raccomandazioni, classificazioni o decisioni. Per il compliance officer, il GDPR ricorda che dati, trasparenza e diritti degli interessati non sono accessori tecnici.
Quadro normativo e fonti ufficiali
Il riferimento principale resta il Regolamento (UE) 2024/1689, che introduce un modello basato sul rischio e distribuisce gli obblighi in base al ruolo svolto dall'organizzazione: provider, deployer, importatore, distributore o altro operatore della catena del valore. Per una lettura operativa, il punto non è trasformare ogni uso di AI in un progetto legale, ma distinguere sistemi vietati, sistemi ad alto rischio, usi soggetti a trasparenza e usi a rischio minimo. La Commissione europea e l'AI Act Service Desk sono fonti da monitorare perché linee guida, codici di pratica, standard e strumenti di supporto possono cambiare il modo in cui le aziende documentano la conformità. Alla data di revisione di questo contenuto, l'accordo politico del 7 maggio 2026 sul pacchetto AI Omnibus richiede un trigger di aggiornamento per le date applicative dei sistemi ad alto rischio: prima della pubblicazione definitiva occorre verificare il testo formalmente adottato e la versione consolidata delle fonti ufficiali.
Cosa significa per l’azienda
In azienda, il collegamento AI Act-GDPR deve essere documentale e operativo. Non basta citare il GDPR nella policy AI: occorre sapere quali sistemi AI trattano dati personali, quali trattamenti sono nel registro, quali richiedono DPIA, quali fornitori sono responsabili o titolari autonomi, quali informative devono essere aggiornate e quali diritti possono essere esercitati.
Un approccio maturo deve sempre distinguere tre livelli: la decisione di governance, l’evidenza documentale e il controllo operativo. La decisione spiega perché un sistema viene usato o limitato; l’evidenza dimostra come è stata fatta la valutazione; il controllo operativo assicura che la regola continui a funzionare dopo l’adozione iniziale. Questa distinzione è essenziale perché molti progetti AI sono dinamici: cambiano fornitori, modelli, dataset, utenti e modalità d’uso.
Nel contesto GAPOFF, questo tema va letto in modo integrato: il modulo AI Act Governance non dovrebbe restare isolato, ma dialogare con GDPR, Vendor Risk, Incident & Breach Ops, ISO 27001, Business Continuity e Trust Center quando il caso d’uso lo richiede. La conformità diventa più forte quando un’unica evidenza può sostenere più controlli senza creare copie incoerenti.
Cosa deve fare concretamente l’organizzazione
- Censire sistemi AI che trattano o possono trattare dati personali.
- Collegare ogni sistema al registro dei trattamenti GDPR.
- Verificare basi giuridiche, finalità, categorie dati, interessati, conservazione e destinatari.
- Valutare se serve DPIA, soprattutto in caso di profilazione, decisioni automatizzate, dati particolari o impatti elevati.
- Controllare trasparenza verso interessati e utenti: informativa, chatbot disclosure, contenuti generati, logiche rilevanti.
- Verificare vendor, subprocessor, trasferimenti e uso dei dati per training o miglioramento servizio.
- Integrare misure tecniche: minimizzazione, accessi, logging, sicurezza, retention, human oversight.
Evidenze e documenti da conservare
| Evidenza | Perché serve | Quando aggiornarla | | --- | --- | --- | | Scheda sistema AI | Uso, rischio, owner, fornitori | AI Act | | Registro trattamento | Finalità, dati, base giuridica | GDPR | | DPIA | Rischio elevato per diritti e libertà | GDPR | | Informativa/trasparenza | Comunicazioni a utenti e interessati | GDPR + AI Act | | Vendor file | DPA, subprocessor, istruzioni | GDPR + Vendor Risk |
Esempio pratico
Un’azienda introduce un assistente AI per analizzare ticket clienti. I ticket contengono dati personali e talvolta informazioni sensibili. Anche se il sistema non è necessariamente alto rischio ai sensi AI Act, il GDPR impone valutazione su finalità, base giuridica, minimizzazione, conservazione, fornitore, trasferimenti e trasparenza. Se l’assistente suggerisce decisioni sui clienti, la DPIA diventa ancora più rilevante.
Errori comuni da evitare
- Valutare il sistema AI senza verificare il registro trattamenti.
- Fare DPIA generica senza collegarla a modello, dati, output e controlli umani.
- Non controllare se il fornitore usa dati per addestrare o migliorare il servizio.
- Dimenticare informative e trasparenza verso utenti o interessati.
- Usare output AI per decisioni su persone senza supervisione e razionale.
Come GAPOFF aiuta
GAPOFF consente di collegare AI Act Governance e GDPR Compliance: un sistema AI può puntare al trattamento GDPR, alla DPIA, al vendor file e agli incidenti. Questo permette al DPO di non duplicare analisi e al compliance officer di vedere, per ogni sistema, quali obblighi privacy si attivano.
Inventory sistemi AI, classificazione del rischio, sorveglianza umana, documentazione tecnica, fornitori AI ed evidenze devono essere collegati e dimostrabili. GAPOFF unifica AI Act, GDPR (DPIA), Vendor Risk, NIS2, DORA e ISO 27001 in un unico sistema audit-ready.
Scopri il modulo AI Act →Checklist operativa
- Sistemi AI con dati personali identificati.
- Registro GDPR collegato.
- DPIA valutata o motivata come non necessaria.
- Informative aggiornate.
- Vendor e DPA verificati.
- Uso dati per training chiarito.
- Misure di minimizzazione definite.
- Diritti interessati e incidenti gestibili.
Con GAPOFF ogni voce diventa un controllo con owner, scadenza ed evidenza — non un foglio Excel. Modulo AI Act →
FAQ
Quando serve una DPIA per un sistema AI?
Quando il trattamento può presentare rischio elevato per diritti e libertà, ad esempio profilazione, decisioni significative, dati particolari o monitoraggio esteso. Serve valutazione concreta.
AI Act e GDPR hanno le stesse categorie di rischio?
No. L’AI Act classifica sistemi AI; il GDPR valuta trattamenti di dati personali e rischi per interessati.
Un chatbot deve sempre avere informativa?
Se tratta dati personali o interagisce con utenti, la trasparenza va valutata sia in chiave GDPR sia in chiave AI Act.
Il DPO deve gestire tutto l’AI Act?
Non necessariamente. Il DPO deve essere coinvolto sui dati personali; la governance AI richiede anche legal, IT, business, procurement e management.
Inventory sistemi AI, classificazione del rischio (vietato/alto/limitato/minimo), obblighi provider e deployer, governance AI, documentazione tecnica, sorveglianza umana, GPAI, audit-ready. Cross-mapping con GDPR (DPIA), NIS2, DORA e ISO 27001.
Vai al modulo AI Act →Fonti ufficiali e riferimenti
- EUR-Lex - Regulation (EU) 2024/1689 Artificial Intelligence Act
- European Commission - AI Act overview and implementation timeline
- AI Act Service Desk - Article 6 high-risk classification
- AI Act Service Desk - Article 26 deployer obligations
- AI Act Service Desk - Article 50 transparency obligations
- European Commission - GDPR rules
- EUR-Lex - General Data Protection Regulation (EU) 2016/679
- EUR-Lex - Regulation (EU) 2022/2554 DORA
Disclaimer legale
Questo contenuto ha finalità informative e di orientamento generale. Non costituisce consulenza legale, tecnica, fiscale o organizzativa personalizzata. Per determinare obblighi, responsabilità e misure applicabili al caso concreto, è necessario svolgere una valutazione specifica con professionisti qualificati e fonti ufficiali aggiornate.
Guida pratica scaricabile gratis — perimetro, obblighi, governance e implementazione operativa del Regolamento (UE) 2024/1689 per imprese italiane.
Scarica il libro (PDF)FAQ
Quando serve una DPIA per un sistema AI?
Quando il trattamento può presentare rischio elevato per diritti e libertà, ad esempio profilazione, decisioni significative, dati particolari o monitoraggio esteso. Serve valutazione concreta.
AI Act e GDPR hanno le stesse categorie di rischio?
No. L’AI Act classifica sistemi AI; il GDPR valuta trattamenti di dati personali e rischi per interessati.
Un chatbot deve sempre avere informativa?
Se tratta dati personali o interagisce con utenti, la trasparenza va valutata sia in chiave GDPR sia in chiave AI Act.
Il DPO deve gestire tutto l’AI Act?
Non necessariamente. Il DPO deve essere coinvolto sui dati personali; la governance AI richiede anche legal, IT, business, procurement e management.
- Eur-Lex - Regulation (Eu) 2024/1689 Artificial Intelligence Act
- Ai Act Service Desk - Article 6 High-Risk Classification
- Ai Act Service Desk - Article 26 Deployer Obligations
- Ai Act Service Desk - Article 50 Transparency Obligations
- European Commission - Gdpr Rules
- Eur-Lex - General Data Protection Regulation (Eu) 2016/679
- Eur-Lex - Regulation (Eu) 2022/2554 Dora
Ultima revisione: 2026-05-20.