GDPR e AI Act: Differenze, Sovrapposizioni e Obblighi per le Aziende
GDPR e AI Act non si escludono: si sovrappongono su dati, sicurezza e trasparenza. Guida alle differenze, agli obblighi distinti e ai punti di integrazione per le aziende italiane.
Il GDPR (Regolamento UE 2016/679) e l'AI Act (Regolamento UE 2024/1689) sono due normative europee distinte ma profondamente interconnesse. Un'azienda che sviluppa o utilizza sistemi di intelligenza artificiale che trattano dati personali è soggetta a entrambi simultaneamente. Comprendere dove finisce uno e dove inizia l'altro — e dove si sovrappongono — è il presupposto per una compliance efficiente.
Fonti primarie: GDPR — EUR-Lex · AI Act — EUR-Lex
Differenze Fondamentali: Oggetto e Finalità
| Aspetto | GDPR (Reg. UE 2016/679) | AI Act (Reg. UE 2024/1689) |
|---|---|---|
| Oggetto | Protezione dei dati personali delle persone fisiche | Sistemi di intelligenza artificiale e i loro rischi |
| Finalità | Tutelare privacy e diritti fondamentali nel trattamento dei dati | Garantire sicurezza, trasparenza e rispetto dei diritti fondamentali nell'uso dell'AI |
| Approccio | Basato sulle categorie di dati e le basi giuridiche | Basato sul livello di rischio del sistema AI |
| Applicazione | A qualsiasi trattamento di dati personali | Solo ai sistemi AI che rientrano nella definizione del Regolamento |
| In vigore | Dal 25 maggio 2018 | Dal 1° agosto 2024 (applicazione graduale fino al 2028) |
| Autorità italiana | Garante per la protezione dei dati personali | Agenzia per la Cybersicurezza Nazionale (ACN) |
Quando Si Applicano Entrambi
Un sistema AI si sovrappone al GDPR ogni volta che tratta dati personali. In questi casi l'azienda deve rispettare entrambi i regolamenti in parallelo. I casi più comuni:
- Screening CV con AI: l'AI Act classifica il sistema come ad alto rischio (Allegato III); il GDPR impone base giuridica, informativa e, probabilmente, la DPIA ex art. 35.
- Chatbot di supporto: l'AI Act richiede disclosure all'utente (art. 50); il GDPR richiede informativa sul trattamento dei dati della conversazione.
- Sistemi di riconoscimento biometrico: l'AI Act può vietarli (rischio inaccettabile) o classificarli ad alto rischio; il GDPR li qualifica come categorie particolari ex art. 9.
- Profilazione comportamentale automatizzata: il GDPR prevede il diritto a non essere soggetti a decisioni automatizzate (art. 22); l'AI Act aggiunge obblighi di supervisione umana per i sistemi ad alto rischio.
Obblighi Esclusivi GDPR (Non Coperti dall'AI Act)
Questi obblighi derivano esclusivamente dal GDPR e si applicano indipendentemente dall'uso di AI:
- Informativa privacy agli interessati (artt. 13-14)
- Registro delle attività di trattamento (art. 30)
- Notifica data breach al Garante entro 72 ore (art. 33)
- Data Processing Agreement con i responsabili del trattamento (art. 28)
- Nomina del DPO ove obbligatoria (art. 37)
- Gestione dei diritti degli interessati: accesso, rettifica, cancellazione, portabilità (artt. 15-22)
Obblighi Esclusivi AI Act (Non Coperti dal GDPR)
Questi obblighi si aggiungono al GDPR per chi sviluppa o usa sistemi AI:
- Classificazione del sistema AI per livello di rischio
- Documentazione tecnica del sistema AI prima della commercializzazione (art. 11)
- Registrazione nel database EU dei sistemi ad alto rischio (art. 49)
- Disclosure all'utente sull'interazione con AI e su contenuti generati artificialmente (art. 50)
- Supervisione umana sui sistemi ad alto rischio (art. 14)
- Valutazione dell'impatto sui diritti fondamentali (FRIA) per deployer di sistemi ad alto rischio in contesti pubblici (art. 27)
- Rispetto dei divieti assoluti per i sistemi a rischio inaccettabile (art. 5, in vigore dal 2 febbraio 2025)
Dove GDPR e AI Act Si Sovrappongono
DPIA e FRIA: valutazioni di impatto distinte ma integrabili
Il GDPR impone la DPIA (art. 35) per trattamenti ad alto rischio per i dati personali. L'AI Act impone la FRIA (art. 27) per i deployer di sistemi ad alto rischio che operano in contesti istituzionali o di pubblica utilità. L'art. 27, par. 4 dell'AI Act prevede esplicitamente la possibilità di integrare FRIA e DPIA in un unico documento, evitando duplicazioni.
Sicurezza dei sistemi
Il GDPR impone misure di sicurezza adeguate per i dati personali (art. 32). L'AI Act impone robustezza, accuratezza e cybersicurezza per i sistemi ad alto rischio (art. 15). Per i sistemi AI che trattano dati personali, entrambi gli obblighi si applicano cumulativamente: la sicurezza del sistema AI è anche sicurezza dei dati.
Trasparenza verso gli utenti
Il GDPR richiede informativa chiara sulle finalità del trattamento. L'AI Act richiede disclosure sull'uso di AI e, per certi sistemi, una spiegazione delle logiche del sistema (art. 13). Nei sistemi AI che trattano dati personali, le due informative devono essere coordinate e coerenti.
Dati di addestramento
L'AI Act impone requisiti di qualità e governance sui dati di addestramento per i sistemi ad alto rischio (art. 10). Il GDPR si applica se i dati di addestramento includono dati personali: in questo caso servono base giuridica, minimizzazione e adeguate misure di sicurezza. Le due normative si applicano in parallelo.
Sanzioni: Importi e Autorità Competenti
| Normativa | Violazione grave | Violazione minore | Autorità |
|---|---|---|---|
| GDPR | Fino a 20 M€ o 4% fatturato | Fino a 10 M€ o 2% fatturato | Garante Privacy |
| AI Act | Fino a 35 M€ o 7% fatturato (pratiche vietate) | Fino a 15 M€ o 3% fatturato (alto rischio) | ACN (Italia) |
Le sanzioni sono indipendenti: una stessa condotta può essere sanzionata sia dal Garante Privacy (per la violazione GDPR) sia dall'ACN (per la violazione AI Act). Non si escludono a vicenda.
Roadmap Pratica per le Aziende
Le aziende che sviluppano o integrano sistemi AI devono affrontare la compliance in modo coordinato:
- Censire i sistemi AI — Identificare quali sistemi AI sono in uso, in sviluppo o pianificati.
- Classificare il rischio AI Act — Determinare la categoria di rischio di ciascun sistema (inaccettabile, alto, limitato, minimo).
- Mappare i dati personali — Verificare se il sistema tratta dati personali e quali obblighi GDPR aggiuntivi si applicano.
- Integrare DPIA e FRIA — Per i sistemi ad alto rischio che trattano dati personali, condurre una valutazione integrata.
- Aggiornare contratti e DPA — Assicurarsi che i contratti con i fornitori AI includano clausole AI Act oltre alle clausole GDPR standard (DPA ex art. 28).
- Formare il personale — L'AI Act impone obblighi di formazione sull'AI literacy (art. 4); il GDPR impone la formazione sulla protezione dei dati.
Domande Frequenti
Il GDPR si applica all'addestramento di modelli AI?
Sì, se i dati di addestramento includono dati personali. Serve una base giuridica per il trattamento (art. 6 GDPR), e se i dati appartengono a categorie particolari (es. dati sanitari) è necessaria anche una delle deroghe dell'art. 9. La minimizzazione e la pseudonimizzazione dei dati di addestramento riducono sia il rischio GDPR sia i rischi di sicurezza previsti dall'AI Act.
Un'azienda che usa solo API di terzi (es. OpenAI, Claude) è soggetta all'AI Act?
Come deployer, sì. Il deployer deve verificare che il fornitore del modello abbia rispettato gli obblighi del provider, garantire la supervisione umana per i casi ad alto rischio, e — in certi contesti — condurre la FRIA. Non si può "scaricare" la responsabilità sul provider semplicemente usando le sue API.
La DPIA GDPR può sostituire la FRIA dell'AI Act?
Possono essere integrate in un unico documento (art. 27, par. 4 AI Act), ma non si sostituiscono: la DPIA si concentra sui rischi per i dati personali, la FRIA deve coprire l'impatto su tutti i diritti fondamentali della Carta UE, inclusi quelli non correlati alla privacy (dignità, non discriminazione, equità). Un documento integrato deve coprire entrambi gli ambiti.
Chi è l'autorità competente per l'AI Act in Italia?
L'Agenzia per la Cybersicurezza Nazionale (ACN) è designata come autorità di sorveglianza del mercato per l'AI Act in Italia (D.Lgs. di recepimento in corso). Il Garante Privacy rimane competente per le violazioni GDPR, anche quando riguardano sistemi AI.