GDPR e AI Act: Differenze e Obblighi per le Aziende
GDPR e AI Act si sovrappongono su dati e sicurezza ma hanno obblighi distinti. Differenze, punti di convergenza e strategie di compliance per le aziende.
Ordine degli Avvocati di Sciacca n. 747 · Avvocato & Sviluppatore · IT Law
Qual è la differenza tra GDPR e AI Act per un'azienda italiana?
Il GDPR (Reg. UE 2016/679) regola il trattamento dei dati personali: chi li raccoglie, con quale base giuridica, per quanto tempo e con quali misure di sicurezza. L'AI Act (Reg. UE 2024/1689) regola i sistemi di intelligenza artificiale: classificazione del rischio, obblighi di trasparenza e documentazione tecnica. Le due normative si sovrappongono quando un sistema AI tratta dati personali: in questo caso si applicano entrambe simultaneamente e le autorità di vigilanza (Garante + ACN) possono agire in coordinamento.
Il GDPR (Regolamento UE 2016/679) e l'AI Act (Regolamento UE 2024/1689) sono due normative europee distinte ma profondamente interconnesse. Un'azienda che sviluppa o utilizza sistemi di intelligenza artificiale che trattano dati personali è soggetta a entrambi simultaneamente. Comprendere dove finisce uno e dove inizia l'altro - e dove si sovrappongono - è il presupposto per una compliance efficiente. Per una trattazione approfondita di ciascuna normativa, si vedano la guida completa al GDPR e la guida completa all'AI Act.
In sintesi: (1) Il GDPR tutela la segretezza dei dati anagrafici (Persone Fisiche); L'AI Act regolamenta l'intelligenza tecnica degli algoritmi e i loro rischi d'impiego societario. (2) La Legge n. 132/2025 ha chiarito il coordinamento tra le autorità in Italia: ACN vigila sulla tecnica, il Garante sui dati. (3) Le sanzioni del Garante (24 milioni di euro nel 2024) possono cumularsi a quelle dell'AI Act, rendendo la conformità integrata l'unica strategia professionale valida.
Fonti primarie: GDPR - EUR-Lex · AI Act - EUR-Lex · Legge 23 settembre 2025, n. 132
Quali sono le differenze legali assolute tra le finalità del GDPR e quelle dell'AI Act?
| Aspetto | GDPR (Reg. UE 2016/679) | AI Act (Reg. UE 2024/1689) |
|---|---|---|
| Oggetto | Protezione dei dati personali delle persone fisiche | Sistemi di intelligenza artificiale e i loro rischi |
| Finalità | Tutelare privacy e diritti fondamentali nel trattamento dei dati | Garantire sicurezza, trasparenza e rispetto dei diritti fondamentali nell'uso dell'AI |
| Approccio | Basato sulle categorie di dati e le basi giuridiche | Basato sul livello di rischio del sistema AI |
| Applicazione | A qualsiasi trattamento di dati personali | Solo ai sistemi AI che rientrano nella definizione del Regolamento |
| In vigore | Dal 25 maggio 2018 | Dal 1° agosto 2024 (applicazione graduale fino al 2028) |
| Authority italiana | Garante per la protezione dei dati personali | ACN (Vigilanza) e AgID (Notifica) |
In quali contesti tecnologici un'azienda deve rispettare contemporaneamente GDPR e AI Act?
Un sistema AI richiede entrambe le compliance ogni volta che tratta dati personali (e la stragrande maggioranza lo fa). Esempi: chatbot che legge profili utente; motore di raccomandazione con dati comportamentali; sistema di selezione candidati con CV. In questi scenari il doppio regime è realtà operativa, non eccezione.
Quali obblighi normativi sono esclusivi del GDPR e non sono toccati dal Regolamento AI?
Gli obblighi esclusivi GDPR includono: diritto di accesso/rettifica/cancellazione, diritto di recesso, consenso per raccolta dati, Data Protection Officer se obbligatorio, notifica data breach entro 72h. Questi valgono a prescindere che dietro ci sia IA o logica tradizionale — sono protezioni sulla gestione del dato in sé.
Quali obblighi tecnici di conformità sono introdotti per la prima volta dall'AI Act?
L'AI Act introduce obblighi tecnici nuovi: testing su bias e robustezza, documentazione di design e training data, log dei decision-making, trasparenza verso utenti finali. Il GDPR non richiedeva nulla di tutto ciò — sono requisiti esclusivamente AI Act, applicati dal 1º agosto 2026 ai sistemi ad alto rischio e sopra.
Su quali fronti operativi GDPR e AI Act creano sovrapposizioni e oneri doppi?
DPIA e FRIA sono valutazioni parallele ma non interscambiabili: DPIA misura rischio dati, FRIA misura rischio diritti fondamentali dell'IA. Una startup con credit-scoring deve fare entrambe come documenti separati con stakeholder diversi (privacy officer vs compliance officer). Lo sforzo si duplica, ma sono obblighi indipendenti fino a agosto 2026.
DPIA e FRIA: valutazioni di impatto distinte ma integrabili
L'art. 27, par. 4 dell'AI Act prevede esplicitamente la possibilità di integrare FRIA e DPIA in un unico documento, evitando duplicazioni.
Sicurezza dei sistemi
Il GDPR impone misure di sicurezza adeguate per i dati personali (art. 32). L'AI Act impone robustezza, accuratezza e cybersicurezza per i sistemi ad alto rischio (art. 15). Per i sistemi AI che trattano dati personali, entrambi gli obblighi si applicano cumulativamente: la sicurezza del sistema AI è anche sicurezza dei dati.
Trasparenza verso gli utenti
Il GDPR richiede informativa chiara sulle finalità del trattamento. L'AI Act richiede disclosure sull'uso di AI e, per certi sistemi, una spiegazione delle logiche del sistema (art. 13). Nei sistemi AI che trattano dati personali, le due informative devono essere coordinate e coerenti.
Dati di addestramento
L'AI Act impone requisiti di qualità e governance sui dati di addestramento per i sistemi ad alto rischio (art. 10). Il GDPR si applica se i dati di addestramento includono dati personali: in questo caso servono base giuridica, minimizzazione e adeguate misure di sicurezza. Le due normative si applicano in parallelo.
Quali sono le differenze sanzionatorie tra l'Art. 83 del GDPR e la Legge Sull'AI in Italia?
| Normativa | Violazione grave | Violazione minore | Autorità |
|---|---|---|---|
| GDPR | Fino a 20 M€ o 4% fatturato | Fino a 10 M€ o 2% fatturato | Garante Privacy |
| AI Act | Fino a 35 M€ o 7% fatturato (pratiche vietate) | Fino a 15 M€ o 3% fatturato (alto rischio) | ACN (Italia) |
Le sanzioni sono indipendenti e cumulabili: una stessa violazione (es. bias non dichiarato) può costare sia una multa GDPR dal Garante (fino a €20M/4% fatturato) che una multa AI Act da ACN (fino a €35M/7% fatturato). Il doppio regime sanzionatorio è realtà legale — non esistono sconti per sovrapposizione.
Roadmap Pratica per le Aziende
Le aziende devono coordinare compliance in 3 fasi: 1) Audit GDPR + AI Act gap (entro 3 mesi); 2) Privacy by Design + Technical Documentation (entro 6 mesi); 3) DPIA + FRIA + Testing (entro 2 agosto 2026). Il punto chiave: non trattare le due compliance come silos — una sola governance integrata riduce duplicazioni.
Per assistenza nella classificazione del rischio e nella compliance AI Act, si veda il servizio di consulenza AI Act.
Domande Frequenti (FAQ)
Il GDPR si applica all'addestramento di modelli AI con dati pubblici? Sì. La visibilità online di un dato non lo rende "di dominio pubblico" ai fini del GDPR. Estrarre dati (web scraping) per addestrare modelli AI richiede una base giuridica valida e l'informativa agli interessati (Art. 14 GDPR), come ribadito dal Garante nella Relazione 2024.
Un'azienda italiana che usa solo API di terzi (es. OpenAI) è esente? No. Come deployer, l'azienda è responsabile dell'uso del sistema. Deve garantire l'alfabetizzazione AI del personale (Art. 4), verificare che il fornitore sia conforme e, se il sistema è ad alto rischio (es. selezione HR), condurre la FRIA (Art. 27).
La DPIA GDPR e la FRIA AI Act possono essere lo stesso documento? L'Art. 27, par. 4 dell'AI Act consente esplicitamente l'integrazione. Un unico "Risk Assessment" aziendale può coprire sia l'impatto sui dati personali sia quello sui diritti fondamentali in senso lato. L'importante è che l'analisi sia documentata e consultata in caso di ispezione di ACN o Garante.
Chi coordina i controlli tra Garante Privacy e ACN in Italia? La Legge 132/2025 stabilisce un protocollo di cooperazione. L'ACN trasmette al Garante le informazioni riguardanti trattamenti di dati personali emersi durante le ispezioni AI. Le due autorità possono condurre ispezioni congiunte, specialmente su sistemi ad alto rischio utilizzati in ambiti sensibili.
I modelli Open Source sono esonerati da entrambi i regolamenti? Il GDPR si applica sempre se ci sono dati personali. L'AI Act prevede esenzioni parziali sulla documentazione tecnica verso le autorità per i modelli GPAI con licenza libera e aperta, ma non esonera dai divieti sulle pratiche inaccettabili né dagli obblighi di trasparenza sul copyright.
Autore
Avvocato iscritto all'Ordine di Sciacca (n. 747), esperto in diritto delle tecnologie e privacy. Prima dell'attività forense ha sviluppato applicazioni web e architetture cloud, competenza che porta nell'analisi tecnico-giuridica di prodotti digitali, SaaS e sistemi AI. Assiste aziende e startup nell'adeguamento a GDPR, AI Act, NIS2 e DORA.
Profilo completo e competenze