Avv. Antonino Ingoglia - Diritto IT e Privacy
Aziende2026-03-258 min read

GDPR e AI Act: Differenze e Obblighi per le Aziende

GDPR e AI Act si sovrappongono su dati e sicurezza ma hanno obblighi distinti. Differenze, punti di convergenza e strategie di compliance per le aziende.

Avv. Antonino Ingoglia

Ordine degli Avvocati di Sciacca n. 747 · Avvocato & Sviluppatore · IT Law

Qual è la differenza tra GDPR e AI Act per un'azienda italiana?

Il GDPR (Reg. UE 2016/679) regola il trattamento dei dati personali: chi li raccoglie, con quale base giuridica, per quanto tempo e con quali misure di sicurezza. L'AI Act (Reg. UE 2024/1689) regola i sistemi di intelligenza artificiale: classificazione del rischio, obblighi di trasparenza e documentazione tecnica. Le due normative si sovrappongono quando un sistema AI tratta dati personali: in questo caso si applicano entrambe simultaneamente e le autorità di vigilanza (Garante + ACN) possono agire in coordinamento.

Il GDPR (Regolamento UE 2016/679) e l'AI Act (Regolamento UE 2024/1689) sono due normative europee distinte ma profondamente interconnesse. Un'azienda che sviluppa o utilizza sistemi di intelligenza artificiale che trattano dati personali è soggetta a entrambi simultaneamente. Comprendere dove finisce uno e dove inizia l'altro - e dove si sovrappongono - è il presupposto per una compliance efficiente. Per una trattazione approfondita di ciascuna normativa, si vedano la guida completa al GDPR e la guida completa all'AI Act.

In sintesi: (1) Il GDPR tutela la segretezza dei dati anagrafici (Persone Fisiche); L'AI Act regolamenta l'intelligenza tecnica degli algoritmi e i loro rischi d'impiego societario. (2) La Legge n. 132/2025 ha chiarito il coordinamento tra le autorità in Italia: ACN vigila sulla tecnica, il Garante sui dati. (3) Le sanzioni del Garante (24 milioni di euro nel 2024) possono cumularsi a quelle dell'AI Act, rendendo la conformità integrata l'unica strategia professionale valida.

Fonti primarie: GDPR - EUR-Lex · AI Act - EUR-Lex · Legge 23 settembre 2025, n. 132

Quali sono le differenze legali assolute tra le finalità del GDPR e quelle dell'AI Act?

AspettoGDPR (Reg. UE 2016/679)AI Act (Reg. UE 2024/1689)
OggettoProtezione dei dati personali delle persone fisicheSistemi di intelligenza artificiale e i loro rischi
FinalitàTutelare privacy e diritti fondamentali nel trattamento dei datiGarantire sicurezza, trasparenza e rispetto dei diritti fondamentali nell'uso dell'AI
ApproccioBasato sulle categorie di dati e le basi giuridicheBasato sul livello di rischio del sistema AI
ApplicazioneA qualsiasi trattamento di dati personaliSolo ai sistemi AI che rientrano nella definizione del Regolamento
In vigoreDal 25 maggio 2018Dal 1° agosto 2024 (applicazione graduale fino al 2028)
Authority italianaGarante per la protezione dei dati personaliACN (Vigilanza) e AgID (Notifica)

In quali contesti tecnologici un'azienda deve rispettare contemporaneamente GDPR e AI Act?

Un sistema AI si sovrappone al GDPR ogni volta che tratta dati personali. In questi casi l'azienda deve rispettare entrambi i regolamenti in parallelo. I casi più comuni:

  • Screening CV con AI: l'AI Act classifica il sistema come ad alto rischio (Allegato III); il GDPR impone base giuridica, informativa e, probabilmente, la DPIA ex art. 35.
  • Chatbot di supporto: l'AI Act richiede disclosure all'utente (art. 50); il GDPR richiede informativa sul trattamento dei dati della conversazione.
  • Sistemi di riconoscimento biometrico: l'AI Act può vietarli (rischio inaccettabile) o classificarli ad alto rischio; il GDPR li qualifica come categorie particolari ex art. 9.
  • Profilazione comportamentale automatizzata: il GDPR prevede il diritto a non essere soggetti a decisioni automatizzate (art. 22); l'AI Act aggiunge obblighi di supervisione umana per i sistemi ad alto rischio.

Quali obblighi normativi sono esclusivi del GDPR e non sono toccati dal Regolamento AI?

Questi obblighi derivano esclusivamente dal GDPR e si applicano indipendentemente dall'uso di AI:

  • Informativa privacy agli interessati (artt. 13-14)
  • Registro delle attività di trattamento (art. 30)
  • Notifica data breach al Garante entro 72 ore (art. 33)
  • Data Processing Agreement con i responsabili del trattamento (art. 28)
  • Nomina del DPO ove obbligatoria (art. 37)
  • Gestione dei diritti degli interessati: accesso, rettifica, cancellazione, portabilità (artt. 15-22)

Quali obblighi tecnici di conformità sono introdotti per la prima volta dall'AI Act?

Questi obblighi si aggiungono al GDPR per chi sviluppa o usa sistemi AI:

  • Classificazione del sistema AI per livello di rischio
  • Documentazione tecnica del sistema AI prima della commercializzazione (art. 11)
  • Registrazione nel database EU dei sistemi ad alto rischio (art. 49)
  • Disclosure all'utente sull'interazione con AI e su contenuti generati artificialmente (art. 50)
  • Supervisione umana sui sistemi ad alto rischio (art. 14)
  • Valutazione dell'impatto sui diritti fondamentali (FRIA) per deployer di sistemi ad alto rischio in contesti pubblici (art. 27)
  • Rispetto dei divieti assoluti per i sistemi a rischio inaccettabile (art. 5, in vigore dal 2 febbraio 2025)

Su quali fronti operativi GDPR e AI Act creano sovrapposizioni e oneri doppi?

DPIA e FRIA: valutazioni di impatto distinte ma integrabili

Il GDPR impone la DPIA (art. 35) per trattamenti ad alto rischio per i dati personali. L'AI Act impone la FRIA (art. 27) per i deployer di sistemi ad alto rischio che operano in contesti istituzionali o di pubblica utilità. L'art. 27, par. 4 dell'AI Act prevede esplicitamente la possibilità di integrare FRIA e DPIA in un unico documento, evitando duplicazioni.

Sicurezza dei sistemi

Il GDPR impone misure di sicurezza adeguate per i dati personali (art. 32). L'AI Act impone robustezza, accuratezza e cybersicurezza per i sistemi ad alto rischio (art. 15). Per i sistemi AI che trattano dati personali, entrambi gli obblighi si applicano cumulativamente: la sicurezza del sistema AI è anche sicurezza dei dati.

Trasparenza verso gli utenti

Il GDPR richiede informativa chiara sulle finalità del trattamento. L'AI Act richiede disclosure sull'uso di AI e, per certi sistemi, una spiegazione delle logiche del sistema (art. 13). Nei sistemi AI che trattano dati personali, le due informative devono essere coordinate e coerenti.

Dati di addestramento

L'AI Act impone requisiti di qualità e governance sui dati di addestramento per i sistemi ad alto rischio (art. 10). Il GDPR si applica se i dati di addestramento includono dati personali: in questo caso servono base giuridica, minimizzazione e adeguate misure di sicurezza. Le due normative si applicano in parallelo.

Quali sono le differenze sanzionatorie tra l'Art. 83 del GDPR e la Legge Sull'AI in Italia?

NormativaViolazione graveViolazione minoreAutorità
GDPRFino a 20 M€ o 4% fatturatoFino a 10 M€ o 2% fatturatoGarante Privacy
AI ActFino a 35 M€ o 7% fatturato (pratiche vietate)Fino a 15 M€ o 3% fatturato (alto rischio)ACN (Italia)

Le sanzioni sono indipendenti: una stessa condotta può essere sanzionata sia dal Garante Privacy (per la violazione GDPR) sia dall'ACN (per la violazione AI Act). Non si escludono a vicenda.

Roadmap Pratica per le Aziende

Le aziende che sviluppano o integrano sistemi AI devono affrontare la compliance in modo coordinato:

  1. Censire i sistemi AI - Identificare quali sistemi AI sono in uso, in sviluppo o pianificati.
  2. Classificare il rischio AI Act - Determinare la categoria di rischio di ciascun sistema (inaccettabile, alto, limitato, minimo).
  3. Mappare i dati personali - Verificare se il sistema tratta dati personali e quali obblighi GDPR aggiuntivi si applicano.
  4. Integrare DPIA e FRIA - Per i sistemi ad alto rischio che trattano dati personali, condurre una valutazione integrata.
  5. Aggiornare contratti e DPA - Assicurarsi che i contratti con i fornitori AI includano clausole AI Act oltre alle clausole GDPR standard (DPA ex art. 28).
  6. Formare il personale - L'AI Act impone obblighi di formazione sull'AI literacy (art. 4); il GDPR impone la formazione sulla protezione dei dati.

Per assistenza nella classificazione del rischio e nella compliance AI Act, si veda il servizio di consulenza AI Act.

Domande Frequenti (FAQ)

Il GDPR si applica all'addestramento di modelli AI con dati pubblici? Sì. La visibilità online di un dato non lo rende "di dominio pubblico" ai fini del GDPR. Estrarre dati (web scraping) per addestrare modelli AI richiede una base giuridica valida e l'informativa agli interessati (Art. 14 GDPR), come ribadito dal Garante nella Relazione 2024.

Un'azienda italiana che usa solo API di terzi (es. OpenAI) è esente? No. Come deployer, l'azienda è responsabile dell'uso del sistema. Deve garantire l'alfabetizzazione AI del personale (Art. 4), verificare che il fornitore sia conforme e, se il sistema è ad alto rischio (es. selezione HR), condurre la FRIA (Art. 27).

La DPIA GDPR e la FRIA AI Act possono essere lo stesso documento? L'Art. 27, par. 4 dell'AI Act consente esplicitamente l'integrazione. Un unico "Risk Assessment" aziendale può coprire sia l'impatto sui dati personali sia quello sui diritti fondamentali in senso lato. L'importante è che l'analisi sia documentata e consultata in caso di ispezione di ACN o Garante.

Chi coordina i controlli tra Garante Privacy e ACN in Italia? La Legge 132/2025 stabilisce un protocollo di cooperazione. L'ACN trasmette al Garante le informazioni riguardanti trattamenti di dati personali emersi durante le ispezioni AI. Le due autorità possono condurre ispezioni congiunte, specialmente su sistemi ad alto rischio utilizzati in ambiti sensibili.

I modelli Open Source sono esonerati da entrambi i regolamenti? Il GDPR si applica sempre se ci sono dati personali. L'AI Act prevede esenzioni parziali sulla documentazione tecnica verso le autorità per i modelli GPAI con licenza libera e aperta, ma non esonera dai divieti sulle pratiche inaccettabili né dagli obblighi di trasparenza sul copyright.

Condividi:
Avv. Antonino Ingoglia

Autore

Avvocato iscritto all'Ordine di Sciacca (n. 747), specializzato in diritto delle tecnologie e privacy. Prima dell'attività forense ha sviluppato applicazioni web e architetture cloud, competenza che porta nell'analisi tecnico-giuridica di prodotti digitali, SaaS e sistemi AI. Assiste aziende e startup nell'adeguamento a GDPR, AI Act, NIS2 e DORA.

Profilo completo e competenze
Nota Informativa: I contenuti di questo articolo hanno finalità puramente divulgative e informative. Non costituiscono parere legale né instaurano un rapporto professionale. Ogni caso concreto richiede una valutazione specifica da parte di un professionista abilitato per delineare l'esatto perimetro legislativo e sanzionatorio.

Articoli correlati ed Approfondimenti

AziendeAI Act Digital Omnibus 2026: Le Nuove Scadenze e Perché il Rinvio È una Trappola14 min readAziendeTermini e Condizioni: Guida Completa per Siti Web e E-commerce25 min readAziendeTermini e Condizioni E-commerce: Guida 202628 min read
Torna alla raccolta
SUPPORTO

Serve assistenza per il tuo caso?

Prenota un colloquio in videochiamata da tutta Italia. Analizzeremo la situazione assieme e definiremo i passi operativi in totale riservatezza strategica.

Prenota Consulenza