Lo stato delle cose #
Il panorama normativo europeo per l’AI è composto da due pilastri:
- GDPR (Reg. UE 2016/679): in vigore dal 2018, regola la protezione dei dati personali
- AI Act (Reg. UE 2024/1689): in vigore progressivamente dal 2025, regola i sistemi di intelligenza artificiale
Le due normative coesistono e si sovrappongono. Un’azienda che usa AI con dati personali deve rispettare entrambe. Sembra complicato, ma nella pratica la soluzione è più semplice di quanto pensi — se fai le scelte giuste.
Il problema reale non è la complessità normativa. È che il 77% dei dipendenti sta già usando AI (ChatGPT, Copilot, Gemini) senza che l’azienda abbia valutato le implicazioni GDPR. L’adozione è già avvenuta. La compliance no.
GDPR: i nodi critici con l’AI #
1. Trasferimento dati verso paesi terzi (il problema principale) #
Quando un dipendente usa ChatGPT, i dati inseriti viaggiano verso server negli Stati Uniti. Dopo l’invalidazione del Privacy Shield (sentenza Schrems II, 2020), il trasferimento di dati personali verso gli USA è problematico.
Il Data Privacy Framework (DPF) adottato nel 2023 offre una base legale, ma:
- Non tutti gli esperti lo considerano stabile (un “Schrems III” è probabile)
- Non copre tutti i casi d’uso aziendali
- Le clausole contrattuali standard (SCC) spesso non bastano da sole
La soluzione più sicura: eliminare il trasferimento alla radice, usando AI che gira nell’UE o on-premise.
2. Decisioni automatizzate (Art. 22 GDPR) #
L’art. 22 GDPR stabilisce che l’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida significativamente sulla sua persona.
In pratica: se l’AI prende decisioni che impattano le persone — valutazione del credito, selezione del personale, diagnostica medica, pricing personalizzato — servono garanzie specifiche:
- Supervisione umana: un essere umano deve poter intervenire nella decisione
- Diritto di contestazione: l’interessato deve poter contestare la decisione
- Spiegabilità: deve essere possibile spiegare come l’AI è arrivata alla decisione
3. Diritto di spiegazione #
Il GDPR (art. 13-15) richiede che l’interessato sia informato sull’esistenza di un processo decisionale automatizzato e riceva “informazioni significative sulla logica utilizzata”. Con modelli black-box come GPT-4, questo è un problema serio.
Con modelli open source on-premise, la tracciabilità è migliore: si conosce il modello, i dati di input, il prompt, e l’output. Con ORCA e MANTA, ogni interazione è registrata con audit trail completo.
4. Minimizzazione dei dati vs dati di training #
Il principio di minimizzazione (art. 5(1)(c) GDPR) impone di trattare solo i dati strettamente necessari per la finalità. Con servizi cloud come ChatGPT, i dati inseriti possono essere usati per addestrare versioni future del modello — un trattamento che va ben oltre la finalità originale.
Con AI privata, i dati vengono usati solo per la finalità specifica per cui il dipendente li ha inseriti. Nessun training secondario, nessun uso improprio.
5. Contratto con il responsabile del trattamento (DPA) #
Quando usi un servizio AI cloud, il fornitore (es. OpenAI) agisce come responsabile del trattamento (data processor). Serve un DPA conforme all’art. 28 GDPR che specifichi:
- Finalità e durata del trattamento
- Tipo di dati personali trattati
- Obblighi e diritti del titolare
- Misure di sicurezza tecniche e organizzative
- Gestione dei sub-processori
Con AI on-premise, non c’è data processor esterno. L’azienda è sia titolare che gestore del sistema. Meno complessità contrattuale, meno rischi.
AI Act: come si interseca con il GDPR #
L’AI Act non sostituisce il GDPR — lo affianca. Ecco i punti di intersezione più rilevanti per le aziende.
Livelli di rischio AI Act #
| Livello | Esempi | Obblighi |
|---|---|---|
| Rischio inaccettabile | Social scoring, manipolazione subliminale | Vietato |
| Alto rischio | Selezione personale, credito, diagnostica, sorveglianza biometrica | Valutazione conformità, documentazione, supervisione umana, trasparenza |
| Rischio limitato | Chatbot, deepfake | Obbligo di trasparenza (l’utente deve sapere che interagisce con AI) |
| Rischio minimo | Filtri spam, giochi AI | Nessun obbligo specifico |
Cosa cambia per le aziende nella pratica #
Obbligo di AI literacy (già in vigore da febbraio 2025): tutti i dipendenti che usano AI devono avere una formazione adeguata. Non basta dire “usate ChatGPT” — serve formazione strutturata su rischi, limiti e uso responsabile.
Obblighi per sistemi ad alto rischio (agosto 2026): se la tua azienda usa AI per decisioni significative (HR, credito, sanità), scattano obblighi pesanti di documentazione, testing, monitoraggio e supervisione umana.
Trasparenza: i clienti e gli utenti devono sapere quando interagiscono con un sistema AI o quando un contenuto è generato da AI.
L’effetto combinato GDPR + AI Act #
Un’azienda che usa ChatGPT per analizzare CV di candidati deve rispettare contemporaneamente:
- GDPR: base legale per il trattamento, DPIA, informativa agli interessati, diritto di spiegazione, DPA con OpenAI
- AI Act: documentazione del sistema, valutazione del rischio, supervisione umana, audit trail, formazione del personale
Con AI privata on-premise, molti di questi obblighi si semplificano drasticamente perché i dati non lasciano il perimetro aziendale e il controllo è totale.
Checklist pratica di compliance (10 punti) #
Ecco cosa deve fare concretamente la tua azienda per usare l’AI in modo conforme a GDPR e AI Act.
1. Mappatura dell’uso AI #
Identifica tutti i sistemi AI usati in azienda — incluso lo shadow AI (ChatGPT usato dai dipendenti con account personali). Non puoi proteggere ciò che non conosci.
2. Classificazione del rischio #
Per ogni sistema AI, classifica il livello di rischio secondo l’AI Act. La maggior parte degli usi aziendali ricade nel “rischio limitato” (chatbot, analisi documenti) o “rischio minimo” (filtri, ricerca).
3. Base legale per il trattamento #
Identifica la base legale GDPR per ogni trattamento di dati personali tramite AI. Le più comuni: consenso, interesse legittimo, esecuzione contrattuale.
4. DPIA (se necessaria) #
Se l’AI tratta dati personali su larga scala, profila individui, o prende decisioni automatizzate significative, esegui una DPIA (art. 35 GDPR).
5. Informativa agli interessati #
Aggiorna l’informativa privacy per includere l’uso di sistemi AI, specificando finalità, logica del trattamento, e diritto di contestazione.
6. DPA con i fornitori #
Se usi AI cloud, verifica di avere un DPA conforme all’art. 28 GDPR con ogni fornitore. Verifica i sub-processori e le clausole sul trasferimento dati extra-UE.
7. Supervisione umana #
Per ogni uso AI che impatta le persone, definisci un processo di supervisione umana: chi rivede l’output dell’AI prima che diventi decisione finale?
8. AI literacy #
Forma tutti i dipendenti che usano AI — dai rischi del shadow AI alle best practice di uso responsabile. Documenta la formazione.
9. Audit trail #
Implementa un sistema di logging per tutte le interazioni con l’AI. Chi ha chiesto cosa, quando, quale risposta ha ottenuto, quale decisione è stata presa.
10. Revisione periodica #
Pianifica revisioni semestrali della compliance AI: nuovi usi, nuove normative, nuovi rischi. Il panorama evolve rapidamente.
Come l’AI privata semplifica la compliance #
Usare AI privata on-premise o su cloud EU non elimina tutti gli obblighi — devi comunque fare formazione, documentazione, supervisione umana. Ma elimina i problemi più grandi e costosi:
| Problema | Con AI pubblica (ChatGPT) | Con AI privata (PRISMA) |
|---|---|---|
| Trasferimento dati extra-UE | Critico (USA) | Eliminato |
| DPA e sub-processori | Complesso, poco controllo | Non necessario (on-premise) |
| Dati usati per training | Rischio concreto | Impossibile |
| Audit trail | Dipende dal fornitore | Completo e sotto il tuo controllo |
| Data breach | Superficie di attacco ampia | Perimetro controllato |
| Spiegabilità | Black box | Modello noto, prompt tracciati |
| Costo compliance | Alto (consulenti, audit esterni) | Più basso (meno rischi da gestire) |
PRISMA di HTX integra la compliance by design:
- ORCA: ogni conversazione è registrata, i dati restano on-premise, la supervisione umana è integrata nel workflow
- MANTA: ogni query SQL generata è tracciata e verificabile, con log completo di input e output
- KOI: compliance sanitaria massima, audit trail clinico, validazione medica integrata
Miti da sfatare #
“Se uso la versione Enterprise di ChatGPT, sono conforme al GDPR” #
Non automaticamente. La versione Enterprise ha un DPA più robusto e OpenAI dichiara di non usare i dati per il training, ma i dati transitano comunque su server negli USA. Il rischio di trasferimento dati extra-UE resta.
“Il GDPR vieta l’uso dell’AI in azienda” #
Falso. Il GDPR non menziona nemmeno l’AI. Regola il trattamento dei dati personali, con qualsiasi mezzo. L’AI è perfettamente legale se usata nel rispetto dei principi GDPR.
“Le sanzioni riguardano solo le grandi aziende” #
Il Garante italiano ha sanzionato aziende di tutte le dimensioni. La multa a OpenAI è di 15 milioni di euro, ma anche PMI hanno ricevuto sanzioni significative per violazioni GDPR non legate all’AI.
“Basta il consenso dei dipendenti per usare ChatGPT” #
Il consenso nel rapporto di lavoro è problematico perché non è “liberamente prestato” (c’è uno squilibrio di potere). Meglio basarsi sull’interesse legittimo, ma serve comunque una DPIA e misure tecniche adeguate.
“L’AI privata è troppo costosa per essere conforme” #
È vero il contrario. Il costo della compliance con AI pubblica (consulenti legali, audit, DPA, rischio sanzioni) supera spesso il costo dell’AI privata. Con PRISMA, la compliance è integrata nel prezzo.
Prossimi passi #
- Fai l’Assessment gratuito — Include una valutazione della compliance AI della tua azienda
- Leggi la guida AI Act — Approfondisci gli obblighi specifici
- Scopri ORCA — Il ChatGPT privato GDPR-compliant
- Contattaci — Parliamo della tua compliance AI
HTX — Human Technology eXcellence. AI privata per imprese europee. Trieste, Italia.
FAQ
ChatGPT è conforme al GDPR?
No, non nella configurazione standard. ChatGPT trasferisce dati ai server di OpenAI negli USA, dove sono soggetti al CLOUD Act americano. Anche la versione Enterprise presenta criticità sul trasferimento dati extra-UE. L'Italia ha già multato OpenAI per 15 milioni di euro per violazioni GDPR.
Cosa rischio se i miei dipendenti usano ChatGPT con dati aziendali?
Come titolare del trattamento, la tua azienda è responsabile anche per l'uso non autorizzato di AI da parte dei dipendenti (shadow AI). Le sanzioni GDPR arrivano fino al 4% del fatturato annuo. In più, rischi violazione del segreto professionale e danni reputazionali.
L'AI Act sostituisce il GDPR?
No, i due regolamenti coesistono e si sovrappongono. Il GDPR regola la protezione dei dati personali, l'AI Act regola i sistemi di intelligenza artificiale. Un'azienda che usa AI deve rispettare entrambi. L'AI privata on-premise semplifica la conformità a entrambi contemporaneamente.
Devo fare una DPIA per usare l'AI in azienda?
Dipende. Se l'AI tratta dati personali su larga scala, profila individui, o prende decisioni automatizzate che impattano le persone, una DPIA (Data Protection Impact Assessment) è obbligatoria ai sensi dell'art. 35 GDPR. Per l'AI privata on-premise il rischio è tipicamente più basso.
Come posso usare l'AI rispettando l'art. 22 GDPR sulle decisioni automatizzate?
L'art. 22 vieta le decisioni completamente automatizzate con effetti significativi sulle persone. La chiave è garantire la supervisione umana: l'AI suggerisce, l'umano decide. Con ORCA e MANTA di HTX, questo principio è integrato nel design del sistema.
I modelli open source sono più sicuri per il GDPR?
I modelli open source on-premise eliminano alla radice il problema del trasferimento dati a terzi, che è il rischio GDPR principale con servizi cloud come ChatGPT. Non c'è data processor esterno, non c'è trasferimento extra-UE, i dati non vengono usati per training. È la configurazione più GDPR-friendly possibile.