Compliance · Privacy 16 min lettura

AI e GDPR: Guida Pratica per PMI Italiane [2026]

Risposta rapida: Usare AI in azienda non viola automaticamente il GDPR — ma richiede attenzione a tre aspetti: la base giuridica del trattamento dei dati, i contratti con i fornitori AI (DPA), e la valutazione d'impatto (DPIA) per trattamenti ad alto rischio. L'AI Act europeo aggiunge obblighi specifici per sistemi AI classificati come ad alto rischio. Una PMI che usa chatbot, automazioni o LLM può essere compliant con un approccio strutturato.

GDPR e AI: il quadro normativo

Quando un'azienda introduce un sistema di intelligenza artificiale nei propri processi — un chatbot per il customer service, un'automazione che legge email, un assistente che analizza documenti — si trova davanti a due regolamenti europei distinti ma complementari:

GDPR (Regolamento UE 2016/679): disciplina il trattamento dei dati personali delle persone fisiche. Si applica ogni volta che un sistema AI elabora informazioni riferibili a individui identificati o identificabili, indipendentemente dalla tecnologia utilizzata. In vigore dal 2018.

AI Act (Regolamento UE 2024/1689): prima legge organica europea sull'intelligenza artificiale. Disciplina la progettazione, l'immissione sul mercato e l'uso dei sistemi AI in funzione del loro livello di rischio, indipendentemente dalla presenza di dati personali. Scadenze progressive 2025-2027.

Il rapporto tra i due si può sintetizzare così: GDPR = protezione dei dati, AI Act = sicurezza dei sistemi AI. Non sono alternativi: nella maggior parte dei casi entrambi si applicano contemporaneamente allo stesso progetto.

Esempio pratico: un chatbot AI che gestisce le richieste dei clienti deve rispettare il GDPR per i dati personali raccolti (nome, email, contenuti delle conversazioni) e l'AI Act per gli obblighi di trasparenza (disclosure all'utente che sta interagendo con un sistema AI, ex art. 50 AI Act).

Differenza chiave: il GDPR protegge le persone dai rischi del trattamento dei loro dati; l'AI Act regola come si progetta e si usa un sistema AI. Un sistema AI che non tratta dati personali non è soggetto al GDPR ma può comunque essere soggetto all'AI Act (e viceversa). Per approfondire l'AI Act vedi la checklist AI Act per aziende italiane.

Disclaimer operativo: questa guida fornisce orientamento generale. Per la valutazione del trattamento specifico della tua azienda è opportuno coinvolgere il proprio DPO o un consulente privacy.

Quando un sistema AI tratta dati personali

L'art. 4 del GDPR definisce dato personale come "qualsiasi informazione riguardante una persona fisica identificata o identificabile". Questa definizione è volutamente ampia: include non solo nome e cognome, ma anche email, numero di telefono, indirizzo IP, identificativi online, dati di localizzazione e qualunque altro elemento che renda identificabile un individuo.

Nei contesti AI tipici delle PMI italiane, ecco quando ci si trova davanti a un trattamento di dati personali:

Chatbot conversazionale

Un chatbot che chiede nome, email, numero di telefono per gestire una richiesta tratta dati personali. Anche solo la conversazione, se contiene informazioni identificative, è un trattamento.

LLM su email clienti

Un'automazione che analizza email in arrivo (sentiment, classificazione, sintesi) tratta dati personali: contenuto della comunicazione, mittente, eventuali allegati con riferimenti a persone.

Sistema di prenotazione AI

Un sistema che gestisce prenotazioni con nome, data di nascita, motivo della visita può trattare dati particolari (art. 9 GDPR) in ambito sanitario, con vincoli rafforzati.

Automazione su fatture

Un'automazione che processa fatture o documenti contabili tratta dati personali se questi contengono informazioni su persone fisiche (es. ditte individuali, professionisti, contatti aziendali).

Quando NON ci sono dati personali

Esistono casi in cui un sistema AI non tratta dati personali e quindi il GDPR non si applica:

  • Elaborazione di dati aggregati e anonimizzati (non riconducibili a un individuo specifico)
  • Documenti puramente aziendali senza riferimenti a persone fisiche (es. specifiche tecniche, listini prodotto)
  • Analisi di dati pubblici aggregati (mercato, settore, trend)
  • Sistemi AI per controllo qualità su prodotti o macchinari senza interazione con persone

Attenzione all'anonimizzazione: dati pseudonimizzati (con identificativi nascosti ma reversibili) restano dati personali. L'anonimizzazione effettiva richiede l'impossibilità tecnica di risalire all'individuo, anche combinando dati. È opportuno verificare con il proprio DPO se il processo di anonimizzazione adottato sia adeguato.

Le basi giuridiche per usare AI con dati personali

L'art. 6 del GDPR elenca sei basi giuridiche che rendono lecito un trattamento di dati personali. Almeno una deve essere identificata e documentata prima di iniziare il trattamento. Nei contesti AI aziendali le più frequenti sono quattro:

Consenso (art. 6.1.a)

Usato per chatbot di marketing, newsletter AI-driven, profilazione per pubblicità personalizzata. Il consenso deve essere specifico, informato, libero, inequivocabile e revocabile in ogni momento. Non è valido un consenso pre-flaggato o nascosto in clausole generiche.

Esecuzione del contratto (art. 6.1.b)

Base più solida per servizi AI operativi: chatbot di customer service, automazioni di prenotazione, promemoria appuntamenti, gestione richieste post-vendita. Il trattamento è necessario per fornire il servizio richiesto dall'utente.

Legittimo interesse (art. 6.1.f)

Usato per analisi comportamentale, lead scoring, personalizzazione non basata su profilazione invasiva. Richiede un bilanciamento test documentato: l'interesse dell'azienda non deve prevalere irragionevolmente sui diritti dell'interessato. La prassi consolidata prevede di documentare il test con un LIA (Legitimate Interest Assessment).

Obbligo legale (art. 6.1.c)

Conservazione documenti per normativa fiscale, audit trail per compliance settoriale, registrazione conversazioni in settori regolati. Il trattamento è richiesto da una norma di legge specifica.

Quale base usare per i casi più comuni

Caso d'uso AI Base giuridica consigliata
Chatbot customer service Esecuzione del contratto
Promemoria appuntamenti automatici Esecuzione del contratto
Lead scoring / qualificazione AI Legittimo interesse (con bilanciamento)
Analisi sentiment email clienti Legittimo interesse o consenso
Sistemi di raccomandazione (profilazione) Consenso
Newsletter AI-driven Consenso
Audit trail conversazioni AI Obbligo legale (se previsto) / legittimo interesse

Nota: la base giuridica corretta dipende dal contesto specifico. La tabella offre un orientamento, ma è opportuno verificare con il proprio DPO o consulente legale per la situazione concreta.

Data Processing Agreement con i fornitori AI

Quando un'azienda utilizza un LLM esterno (OpenAI, Anthropic, Google) per elaborare dati personali dei propri utenti o clienti, il fornitore agisce come responsabile del trattamento ai sensi dell'art. 28 GDPR. In questo scenario è obbligatorio sottoscrivere un Data Processing Agreement (DPA).

Data Processing Agreement (DPA): contratto tra titolare del trattamento (l'azienda che usa il sistema AI) e responsabile (il fornitore LLM) che disciplina le condizioni del trattamento. È previsto dall'art. 28 GDPR ed è condizione necessaria per la liceità del rapporto tra le due parti.

Cosa deve contenere un DPA con un provider AI

Il contenuto minimo è definito dall'art. 28.3 GDPR. Per un fornitore AI verifica in particolare:

  • Finalità del trattamento: cosa può fare il fornitore con i dati che gli passi (solo erogare il servizio? Anche addestrare modelli?)
  • Tipologia di dati: quali categorie di dati personali sono coperte dal DPA
  • Misure di sicurezza: cifratura, controlli accesso, segregazione, audit
  • Sub-responsabili: chi sono i sub-processor del fornitore (data center, servizi terzi) e quale meccanismo di autorizzazione è previsto
  • Trasferimenti extra-UE: se i dati escono dallo Spazio Economico Europeo, quale meccanismo di garanzia è in essere
  • Retention e cancellazione: per quanto vengono conservati i dati, come si attiva la cancellazione a fine contratto
  • Assistenza ai diritti degli interessati: come il fornitore aiuta a rispondere a richieste di accesso, cancellazione, portabilità
  • Data breach notification: tempi e modalità di notifica in caso di violazione dei dati
  • Audit: diritto del titolare di verificare la conformità del responsabile

Trasferimenti extra-UE: il punto critico

I principali provider AI commerciali (OpenAI, Anthropic, Google) hanno sede negli Stati Uniti. Trasferire dati personali al di fuori dello Spazio Economico Europeo è possibile solo in presenza di una delle garanzie previste dal Capo V del GDPR. Le più rilevanti per i provider AI sono:

  • Adequacy Decision: la Commissione Europea ha riconosciuto adeguato il livello di protezione del paese terzo (per gli USA esiste il Data Privacy Framework, a cui i principali provider AI hanno aderito)
  • Standard Contractual Clauses (SCC): clausole contrattuali tipo approvate dalla Commissione, integrate nel DPA
  • Binding Corporate Rules (BCR): norme vincolanti d'impresa per gruppi multinazionali

Quando valuti un provider AI, verifica sempre quale di queste garanzie offre per i trasferimenti e se l'adesione è documentata nel DPA o in policy pubbliche.

Provider europei o EU-hosted

Per organizzazioni con requisiti stringenti di residenza dei dati (sanità, settore pubblico, finanza regolata), esistono alternative:

  • Provider europei nativi (es. Mistral con hosting EU)
  • Versioni EU-hosted dei provider USA (Azure OpenAI con region europea, Anthropic via Amazon Bedrock con region EU)
  • Modelli open source self-hosted (LLaMA, Mistral) deployati su infrastruttura europea controllata

Queste opzioni riducono o eliminano la questione dei trasferimenti extra-UE, ma richiedono comunque la sottoscrizione di un DPA con il provider di infrastruttura.

Come verificare se il tuo provider AI ha un DPA adeguato

  1. Cerca sul sito del provider la pagina "Data Processing Addendum" o "DPA" (di solito nella sezione legal/trust)
  2. Verifica che sia in vigore la versione applicabile al tuo tier (free / business / enterprise — spesso la versione consumer non offre DPA)
  3. Controlla la clausola sull'uso dei dati per addestramento: per uso business deve essere esplicitamente esclusa, oppure opt-in
  4. Verifica i sub-responsabili dichiarati e le region di hosting
  5. Documenta nel tuo registro dei trattamenti (art. 30 GDPR) il riferimento al DPA sottoscritto
Attenzione: le versioni consumer/free di molti provider AI (es. ChatGPT free) non sono coperte da DPA business. Usare la versione consumer per dati personali aziendali può configurare un trattamento illecito. Per uso business serve sempre la versione enterprise o API con DPA firmato.

DPIA: quando è obbligatoria

DPIA (Data Protection Impact Assessment): valutazione d'impatto sulla protezione dei dati, prevista dall'art. 35 GDPR. È una procedura documentata che analizza i rischi di un trattamento di dati personali e identifica le misure per mitigarli. Va condotta prima dell'inizio del trattamento.

Quando è obbligatoria in ambito AI

L'art. 35.3 GDPR e le linee guida del WP29 (oggi EDPB) identificano i casi in cui la DPIA è sempre dovuta. Per i sistemi AI le ipotesi più rilevanti sono:

  • Profilazione sistematica di persone fisiche con produzione di effetti significativi (es. lead scoring che determina priorità commerciale, valutazione automatica di rischio)
  • Trattamento su larga scala di dati particolari (art. 9): salute, biometria, opinioni politiche, dati giudiziari (art. 10)
  • Monitoraggio sistematico di aree accessibili al pubblico o di comportamenti online (anche in contesti lavorativi)
  • Decisioni automatizzate con effetti giuridici significativi sulle persone (art. 22 GDPR): es. rifiuto automatico di un servizio, scoring creditizio
  • Uso innovativo di tecnologie i cui rischi non sono ancora consolidati (es. nuovi modelli di AI generativa applicati a contesti sensibili)

Quando NON è obbligatoria

Tipicamente la DPIA non è obbligatoria nei seguenti casi (sempre con valutazione di contesto):

  • Chatbot FAQ senza profilazione e con dati personali minimi (solo nome e contatti)
  • Automazioni di pagamento tra aziende che non implicano valutazione di persone fisiche
  • Sistemi AI applicati a documenti puramente aziendali senza riferimenti personali
  • Trattamenti di routine già coperti da analisi precedenti analoghe

Come fare una DPIA: 4 step semplificati

La DPIA è un processo articolato. In linea generale prevede quattro fasi:

1
Descrizione sistematica del trattamento

Mappare finalità, dati trattati, categorie di interessati, attori coinvolti (titolare, responsabile, sub-responsabili), flussi di dati, tecnologia utilizzata.

2
Valutazione di necessità e proporzionalità

Verificare che il trattamento sia effettivamente necessario per la finalità e che non esistano alternative meno invasive. Documentare la base giuridica scelta e le informative agli interessati.

3
Valutazione dei rischi per gli interessati

Identificare rischi (perdita confidenzialità, integrità, disponibilità; discriminazione algoritmica; impatti su diritti). Valutare probabilità e gravità di ciascuno.

4
Misure di mitigazione

Definire le contromisure tecniche e organizzative per ridurre i rischi: pseudonimizzazione, minimizzazione, cifratura, controlli di accesso, human-in-the-loop nelle decisioni, audit trail, processi di revisione periodica.

Disclaimer: la DPIA richiede competenza tecnico-legale specifica. È opportuno coinvolgere il DPO o un consulente privacy. Le linee guida 248/2017 del WP29 (poi EDPB) e i provvedimenti del Garante Privacy forniscono framework di riferimento. Per trattamenti complessi, la DPIA può richiedere settimane di lavoro e la consultazione preventiva del Garante se il rischio residuo resta alto.

Chatbot AI e GDPR: checklist operativa

Per un chatbot AI conforme al GDPR, ci sono dieci punti da verificare. La checklist è pensata per le PMI italiane che usano chatbot di customer service, lead generation o assistenza prodotto.

1
L

'

2
M

o

3
D

o

4
S

o

5
N

o

6
D

e

7
I

m

8
S

e

9
S

e

10
I

Nota: questa checklist è orientativa. Per chatbot in settori regolati (sanità, finanza, pubblica amministrazione) si applicano requisiti aggiuntivi. Verifica sempre con il proprio DPO o consulente legale.

AI Act e GDPR: differenze e sovrapposizioni

Capire come si distinguono i due regolamenti aiuta a non duplicare gli adempimenti e a non lasciare aree scoperte. La tabella seguente sintetizza i principali punti di confronto:

Aspetto GDPR AI Act
Focus Protezione dei dati personali Sicurezza dei sistemi AI
Quando si applica Sempre, se ci sono dati personali Solo a sistemi AI classificati per livello di rischio
Obbligo principale Basi giuridiche, trasparenza, diritti degli interessati Conformità per livello di rischio (vietato / alto / limitato / minimo)
Soggetti obbligati Titolari e responsabili del trattamento Provider, deployer, importatori, distributori di sistemi AI
Sanzioni massime Fino a 20M€ o 4% fatturato globale Fino a 35M€ o 7% fatturato globale (sistemi vietati)
Organo di controllo (Italia) Garante per la Protezione dei Dati Personali Autorità AI nazionali (in definizione)
Entrata in vigore 25 maggio 2018 1° agosto 2024 (scadenze progressive 2025-2027)

Sovrapposizioni pratiche

Nella maggior parte dei progetti AI aziendali entrambi i regolamenti si applicano. Esempio operativo per un chatbot di customer service:

  • GDPR: base giuridica (esecuzione del contratto), informativa privacy aggiornata, DPA con provider LLM, retention policy, gestione diritti interessati
  • AI Act: disclosure all'utente che sta interagendo con un sistema AI (art. 50), audit trail delle interazioni, verifica che il sistema non rientri nei sistemi vietati (art. 5) o ad alto rischio (Allegato III)

Allineare gli adempimenti dei due regolamenti riduce la duplicazione: l'informativa privacy GDPR può ospitare anche la disclosure AI Act; la DPIA può includere la valutazione di rischio AI Act; il registro dei trattamenti può mappare anche i sistemi AI utilizzati.

Per un approfondimento operativo sull'AI Act vedi la checklist AI Act per aziende italiane 2026 e la guida completa all'AI Act.

Domande Frequenti

Usare ChatGPT in azienda viola il GDPR?

No, usare ChatGPT in azienda non viola automaticamente il GDPR, ma richiede attenzione. Se inserisci dati personali (nomi clienti, email, contenuti di comunicazioni) nei prompt, stai effettuando un trattamento di dati personali. In linea generale serve: una base giuridica corretta, un Data Processing Agreement con OpenAI (versione business/enterprise) e l'aggiornamento dell'informativa privacy. La versione consumer di ChatGPT non è adatta al trattamento di dati personali aziendali. È opportuno verificare con il proprio DPO.

Devo fare una DPIA per il mio chatbot AI?

Dipende dal tipo di chatbot. La DPIA è obbligatoria per trattamenti ad alto rischio: profilazione sistematica, larga scala di dati sensibili, decisioni automatizzate con effetti significativi. Un chatbot FAQ senza profilazione tipicamente non richiede DPIA; un chatbot che fa lead scoring automatico, prenotazioni sanitarie o decisioni di accesso sì. La prassi consolidata prevede di documentare comunque la valutazione, anche quando si conclude che la DPIA non è richiesta.

È obbligatorio un DPA con OpenAI o Anthropic?

Sì, quando un'azienda utilizza un LLM esterno come responsabile del trattamento è obbligatorio firmare un Data Processing Agreement (art. 28 GDPR). OpenAI, Anthropic e Google offrono DPA standard per i clienti business ed enterprise. Verifica che il DPA copra: finalità, misure di sicurezza, sub-responsabili, retention, cancellazione su richiesta e trasferimenti extra-UE.

Come gestire le richieste di cancellazione per dati trattati da AI?

Il diritto all'oblio (art. 17 GDPR) si applica anche ai dati trattati da sistemi AI. In pratica devi poter: cancellare le conversazioni del chatbot riferite a un utente, propagare la richiesta al provider LLM, eliminare eventuali embedding o dati derivati conservati per RAG o memory. Verifica nel DPA del provider che i tuoi dati non siano usati per training, altrimenti la cancellazione diventa molto più complessa.

Qual è la differenza tra GDPR e AI Act per un'azienda italiana?

Il GDPR protegge le persone fisiche dai rischi del trattamento dei loro dati personali e si applica sempre quando ci sono dati personali in gioco. L'AI Act regola la progettazione e l'uso dei sistemi AI per livello di rischio, indipendentemente dalla presenza di dati personali. Per la maggior parte delle PMI italiane entrambi si applicano contemporaneamente: il GDPR sui dati trattati dal sistema AI, l'AI Act sul sistema AI in sé. Non sono alternativi ma complementari.

Posso conservare le chat del chatbot AI?

Sì, ma con limiti. Il principio di minimizzazione e limitazione della conservazione (art. 5 GDPR) richiede di definire una retention proporzionata alla finalità. La prassi consolidata prevede 12 mesi per audit trail, periodi più brevi (3-6 mesi) se la finalità è solo operativa. Devi informare l'utente nell'informativa privacy, prevedere cancellazione su richiesta e cancellazione automatica a fine retention.

Quali basi giuridiche sono più adatte per i sistemi AI aziendali?

Le più frequenti sono: esecuzione del contratto per chatbot di customer service o automazioni legate al servizio, legittimo interesse per lead scoring o personalizzazione con bilanciamento documentato, consenso per marketing AI-driven e profilazione. Per dati particolari (sanitari, biometrici) servono basi rafforzate dell'art. 9. La scelta della base è specifica del caso e va documentata.

Hai dubbi su come implementare AI in modo compliant?

Chiamata conoscitiva di 30 minuti: descrivi il tuo progetto AI, analizziamo insieme gli aspetti GDPR e AI Act applicabili, valutiamo i provider e le architetture adeguate alla tua situazione. Nessun impegno, nessuna carta richiesta.

Prenota la chiamata conoscitiva (30 min)

Fonti e riferimenti

  • Regolamento UE 2016/679 (GDPR) — testo ufficiale su EUR-Lex
  • Regolamento UE 2024/1689 (AI Act) — testo ufficiale su EUR-Lex
  • Sito ufficiale del Garante per la Protezione dei Dati Personali (gpdp.it) — provvedimenti, linee guida e FAQ in italiano
  • European Data Protection Board (edpb.europa.eu) — linee guida armonizzate a livello UE

Nota: questa guida fornisce orientamento generale e non sostituisce consulenza legale specifica. Per la valutazione del trattamento concreto della tua azienda è opportuno verificare con il proprio DPO o consulente legale.

Parliamone
Scrivici su WhatsApp