Torna agli articoli
Carta IA in azienda: guida pratica 2026 (GDPR + AI Act)
IA Carta GDPR AI Act Conformità

Carta IA in azienda: guida pratica 2026 (GDPR + AI Act)

Hichem AMMAR-BOUDJELAL
Hichem AMMAR-BOUDJELALCEO & Cofondatore di DPLIANCE
· Aggiornato il 20 min di lettura

Quick Answer: cos’è una carta IA in azienda?

Una carta d’uso dell’IA in azienda è un documento corto, opponibile (l’organizzazione può avvalersene in caso di contenzioso con un collaboratore) e pedagogico. Inquadra l’utilizzo degli strumenti di IA generativa da parte dei collaboratori. Non sostituisce la politica IA globale dell’organizzazione — ne è il versante utilizzatore, tradotto in regole concrete del quotidiano.

Una carta efficace nel 2026 contiene almeno 8 sezioni:

  1. Perimetro — chi è coinvolto e su quali strumenti.
  2. Strumenti autorizzati — distinzione tra strumenti consumer, strumenti azienda e installazione locale («on-premise»).
  3. Dati autorizzati — tipologia chiara (pubblici, business, personali, sensibili).
  4. Verifica obbligatoria — regole di rilettura e validazione.
  5. Riservatezza — divieti espliciti (segreti, dati clienti, informazioni finanziarie non pubbliche).
  6. Proprietà intellettuale — regole sui contenuti generati e loro attribuzione.
  7. Segnalazione di incidente — procedura di escalation in caso di fuga o errore.
  8. Sanzioni e aggiornamento — carattere opponibile disciplinare e frequenza di revisione.

È il documento opponibile che materializza la conformità AI Act (articolo 4 — alfabetizzazione IA) e serve da prima diga GDPR in caso di ispezione del Garante. Senza carta, l’uso IA è subito, non pilotato.

Perché una carta d’uso IA è diventata indispensabile nel 2026

Tre cambiamenti cumulati rendono la carta IA non negoziabile per ogni organizzazione di più di 20 collaboratori.

Cambiamento regolamentare — l’AI Act impone l’alfabetizzazione IA. L’articolo 4 del regolamento (UE) 2024/1689, in applicazione da febbraio 2025, esige che le organizzazioni assicurino che le persone che utilizzano un sistema IA in ambito professionale dispongano di un «livello di alfabetizzazione sufficiente» — adattato al contesto d’uso e al tipo di sistema. La carta è lo strumento più semplice per materializzare questo obbligo: un documento firmato, datato, diffuso, che prova che l’organizzazione ha spiegato le regole agli utilizzatori.

Cambiamento d’uso — l’IA è ovunque, senza inquadramento. Le indagini 2025-2026 (McKinsey, BCG, Osservatori del Politecnico di Milano) convergono: 65-80% dei collaboratori white-collar in Italia usano ChatGPT o un equivalente almeno una volta a settimana. Ma la maggioranza di questo uso si fa via account personali, senza inquadramento, con dati che non dovrebbero partire verso un LLM consumer. Niente carta = niente limite = rischio permanente di fuga o errore.

Cambiamento giurisprudenziale — cadono le prime sanzioni. Il Garante per la protezione dei dati personali (Italia) ha sanzionato OpenAI a 15 milioni di euro a dicembre 2024 per assenza di inquadramento trasparente — la sanzione di riferimento europea. Il Garante ha annunciato pubblicamente l’IA come priorità di controllo 2026 e ha pubblicato orientamenti specifici sull’uso dei chatbot generativi al lavoro. Le giurisdizioni europee si aspettano oramai di vedere una carta IA in ogni organizzazione ispezionata — la sua assenza sarà trattata come una mancanza di governance, non come una semplice lacuna documentale.

Per il quadro giuridico completo, vedere la nostra guida IA e GDPR e la nostra guida DPIA per progetto IA.

Le 8 sezioni di una carta IA efficace

1. Perimetro di applicazione

Chi è coinvolto, su quali strumenti, in quale ambito. Una carta ambigua sul perimetro è inopponibile. Da precisare:

  • Quali popolazioni: tutti i dipendenti (a tempo indeterminato, determinato, somministrati ex D.lgs. 81/2015), prestatori esterni, tirocinanti, apprendisti, freelance con accesso al SI
  • Quali strumenti: LLM conversazionali (ChatGPT, Claude, Gemini, Mistral), assistenti integrati (Copilot, Notion AI, Gemini for Workspace), generatori di immagini (DALL-E, Midjourney), strumenti di trascrizione (Whisper, Otter), agenti IA interni
  • In quale ambito: uso professionale sugli strumenti messi a disposizione dall’azienda — la carta non copre generalmente l’uso strettamente personale su account privato fuori dall’orario di lavoro

2. Strumenti autorizzati e livelli d’uso

Distinzione critica da trasmettere. Una tabella nella carta vale più di un paragrafo.

CategoriaStrumenti tipiciDati autorizzati
ConsumerChatGPT.com, Claude.ai, Gemini gratuito, Mistral Le Chat ProNessun dato professionale non pubblico
Aziendale (DPA)ChatGPT Team / Enterprise, Claude per Aziende, Mistral Le Chat Enterprise, Microsoft Copilot con licenza appropriataDati business, certi dati personali con pseudonimizzazione
On-premise / sovranaMistral on-prem (vLLM), Llama 3 self-hosted, infrastruttura internaDati sensibili, segreti, M&A, HR nominativo, sanità (FSE)

Le condizioni d’uso consumer non coprono l’uso commerciale conforme. Questa distinzione deve essere esplicita con esempi — niente «secondo il contesto».

Vedere la nostra guida LLM locale in azienda per il versante on-premise.

3. Dati autorizzati — la tipologia centrale

Il cuore operativo della carta. Quattro categorie, da illustrare concretamente.

Tipo di datoEsempiStrumenti autorizzati
PubblicoContenuto già pubblicato, comunicazione esterna, doc pubblicoTutti
Business non sensibileNote interne, bozze, progetti non confidenziali, codice non proprietarioStrumenti azienda (DPA)
PersonaleClienti, dipendenti, prospect, partner identificabiliStrumenti azienda con DPA + pseudonimizzazione se pertinente. DPIA se trattamento a rischio
Sensibile / strategicoSalute, biometria, segreto professionale, segreto industriale, M&A, contenzioso, finanziario non pubblicoSolo on-premise

Dare esempi concreti per ogni categoria. Una tipologia astratta è inutilizzabile nel quotidiano.

4. Regole di verifica obbligatoria

L’IA allucina — produce affermazioni plausibili ma false senza segnale di dubbio. La carta deve imporre:

  • Verifica sistematica delle cifre, date, riferimenti giuridici, citazioni, biografie prima di ogni uso esterno
  • Incrocio di fonti sui temi sensibili (giuridico, medico, finanziario)
  • Menzione «contenuto generato con assistenza IA» sulle comunicazioni esterne quando pertinente (coerente con l’articolo 50 AI Act sulla trasparenza)
  • Niente decisione automatizzata senza revisione umana su ogni tema con effetto giuridico o impatto significativo (articolo 22 GDPR)

5. Riservatezza — divieti espliciti

La sezione che previene le fughe più gravi. Lista esplicita di ciò che non deve mai essere copiato in un prompt, anche nelle versioni azienda:

  • Segreto professionale (avvocato, medico, commercialista — art. 622 c.p.)
  • Dati clienti identificabili senza pseudonimizzazione
  • Password, chiavi API, credenziali
  • Documenti contrassegnati come riservati o strategici
  • Comunicazioni M&A, accordi di riservatezza, contenziosi in corso
  • Informazioni finanziarie non pubbliche (risultati prima della pubblicazione, proiezioni — attenzione obblighi MAR e TUF per società quotate)
  • Informazioni HR nominative (valutazioni, retribuzioni, situazioni individuali)

Più la lista è esplicita e illustrata, più è applicabile.

6. Proprietà intellettuale

Tre temi da chiarire:

  • Contenuti generati appartenenti all’azienda — chiarimento che gli output prodotti nell’ambito professionale sono di proprietà dell’azienda, non dell’utente individuale (cf. art. 12 bis legge 633/1941 sul diritto d’autore per le opere create con IA)
  • Rischio di contraffazione — un contenuto generato può riprodurre sostanzialmente un’opera protetta presente nei dati di addestramento; obbligo di rileggere e adattare
  • Citazione delle fonti quando il contenuto generato si basa su una ricerca IA (Perplexity, ChatGPT con ricerca web, Gemini Search) — verificare le fonti e citarle

7. Segnalazione di incidente

Procedura chiara per ciò che può succedere:

  • Fuga involontaria (invio per errore di dati sensibili a un LLM consumer)
  • Allucinazione passata in produzione (informazione falsa diffusa a un cliente o internamente)
  • Sospetto di pregiudizio o discriminazione in una decisione automatizzata
  • Incidente di sicurezza (account compromesso, accesso non autorizzato)

Da precisare: chi contattare (DPO, CISO, responsabile IA), in quale termine (24-72 h secondo gravità — art. 33 GDPR 72h per notifica al Garante), con quali elementi (prompt, output, contesto).

8. Sanzioni e aggiornamento

Opponibilità disciplinare — menzione che il mancato rispetto può comportare sanzione a titolo del codice disciplinare aziendale. Senza ciò, la carta non ha portata giuridica reale. In Italia, l’integrazione nel codice disciplinare con affissione ex art. 7 Statuto Lavoratori (o pubblicazione equivalente) è la condizione di validità della sanzione disciplinare.

Ciclo di revisione — annuale come minimo, più rapidamente se l’ecosistema IA evolve sostanzialmente. Data della versione attuale visibile.

Specificità IT: Statuto dei Lavoratori art. 4, RSU/RSA e accordo sindacale

L’Italia presenta una peculiarità maggiore in Europa: l’articolo 4 dello Statuto dei Lavoratori (legge 300/1970, novellato dal Jobs Act — D.lgs. 151/2015 e D.lgs. 185/2016) impone una procedura specifica per l’introduzione di strumenti dai quali deriva anche la possibilità di controllo a distanza dell’attività dei lavoratori.

Quando si applica l’art. 4 SL agli strumenti IA?

L’articolo 4, comma 1, recita:

«Gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali. In alternativa (…) la sede territoriale dell’Ispettorato nazionale del lavoro.»

Il comma 2 esonera però gli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e gli strumenti di registrazione degli accessi e delle presenze.

Applicazione concreta agli strumenti IA:

  • ChatGPT, Claude, Gemini Enterprise utilizzati per produrre il lavoro (redazione, sintesi, codice): ricadono sotto il comma 2 — strumenti di lavoro. Non richiedono accordo sindacale a priori, ma devono essere oggetto di regolamento informativo ai sensi dell’art. 4 c. 3 e l’uso di eventuali log per fini disciplinari richiede informazione preventiva.
  • Strumenti IA che monitorano la produttività (suggerimenti basati su tempi, ranking interni, IA che valuta gli output dei dipendenti): ricadono sotto il comma 1 — accordo RSU/RSA o autorizzazione ITL obbligatori.
  • IA per screening CV o decisioni HR: doppio quadro — art. 4 SL + art. 22 GDPR. L’accordo sindacale è caldamente raccomandato e in pratica esigito dalle giurisprudenze emergenti del Tribunale del Lavoro nel 2024-2025.

Procedura di accordo con RSU/RSA

In presenza di RSU (Rappresentanza Sindacale Unitaria) o RSA (Rappresentanza Sindacale Aziendale), l’accordo collettivo di sito deve essere negoziato e firmato. L’accordo tipicamente include:

  • Lista degli strumenti IA con possibilità di controllo a distanza
  • Finalità dell’uso (organizzative, produttive, sicurezza)
  • Modalità di raccolta e conservazione dei log
  • Durata di conservazione (proporzionata)
  • Diritto di accesso dei lavoratori ai propri log
  • Divieto di utilizzo dei log per finalità diverse senza nuovo accordo

In assenza di RSU/RSA o in caso di disaccordo, l’azienda può richiedere autorizzazione preventiva all’Ispettorato Territoriale del Lavoro (ITL). La procedura ITL richiede tipicamente 30-60 giorni e produce un’autorizzazione vincolante.

Conseguenza: niente accordo o autorizzazione = strumento non utilizzabile

Sanzione: la violazione dell’art. 4 SL è sanzionata dall’art. 38 SL — ammenda da 154 a 1549 euro o, nei casi più gravi, arresto fino a un anno. Inoltre, i log raccolti senza rispetto dell’art. 4 SL sono inutilizzabili in giudizio (Cassazione, principio costante) — sia in materia disciplinare sia in caso di contenzioso del lavoro. Sanzione collaterale: il Garante può sanzionare la violazione del coordinamento art. 4 SL / GDPR, come ha fatto in più occasioni nel 2024-2025.

Buona pratica: integrare la carta IA nell’accordo aziendale

La carta IA deve essere allegata all’accordo aziendale ex art. 4 SL firmato con la RSU. Ciò produce due effetti:

  1. Conformità art. 4 SL garantita per gli strumenti coperti.
  2. La carta acquisisce valore di accordo collettivo aziendale — opponibilità disciplinare massima ai sensi dell’art. 7 SL.

Carta vs politica IA vs guida d’uso: come articolare?

Tre documenti complementari, da non confondere.

DocumentoPubblicoFormatoLunghezzaFrequenza aggiornamento
Politica IADirezione, governanceStrategico10-20 pagineAnnuale
Carta d’usoTutti collaboratoriOpponibile, firmabile3-5 pagineAnnuale o +
Guida d’usoTutti collaboratoriPedagogica, esempi20-50 pagineContinua

La politica IA aziendale è il documento strategico di governance.

La carta d’uso IA è il documento opponibile utilizzatore. Traduce la politica in regole concrete per i collaboratori. Leggibile in 10 minuti, firmabile.

La guida d’uso IA è il documento pedagogico (cf. formazione IA in azienda). Formazione continua, non normativa.

Una organizzazione matura dispone delle tre. Una organizzazione che parte può iniziare con la carta (la più urgente giuridicamente) e completare in seguito.

Schema di articolazione

[Politica IA]                    ──► governance, strategia, comitato IA


[Accordo aziendale art. 4 SL]    ──► RSU/RSA o autorizzazione ITL


[Carta d'uso]                    ──► regole opponibili del quotidiano


[Guida d'uso / Formazione]       ──► come fare concretamente


[Pratica sul campo] ◄──── ritorno di incidente, revisione annuale

Dispiegamento: consultazione, firma, aggiornamento

Cinque tappe perché una carta viva oltre il PDF.

Tappa 1 — Consultazione preliminare (4-6 settimane). Coinvolgere DPO, CISO, legale, HR, IT e i reparti principali. Tassativo: aprire il negoziato con la RSU/RSA per gli strumenti suscettibili di controllo a distanza. Una carta redatta dal solo DPO senza concertazione è ignorata dagli operativi.

Tappa 2 — Validazione e opponibilità. La carta deve essere allegata al codice disciplinare aziendale (con affissione ex art. 7 SL) o all’accordo aziendale ex art. 4 SL. Senza ancoraggio formale, la sua opponibilità è debole.

Tappa 3 — Firma. Diffusione a tutti i collaboratori coinvolti con ricevuta di lettura. Per le organizzazioni ad alto rischio, firma elettronica via strumento di gestione documentale. Tracciabilità conservata per ispezione.

Tappa 4 — Formazione associata. La carta non sostituisce la formazione. L’accompagna. Un dispiegamento riuscito include un modulo corto (30-60 min) che esplicita la carta con esempi concreti. Vedere la nostra guida formazione IA in azienda. Nota: l’articolo 4 dell’AI Act fa della formazione un obbligo.

Tappa 5 — Revisione periodica. Annuale come minimo. Più frequentemente se:

  • Nuovo strumento IA dispiegato
  • Evoluzione regolamentare maggiore (fase successiva AI Act, giurisprudenza Cassazione su IA al lavoro)
  • Incidente interno che ha rivelato una lacuna

A ogni revisione: numero di versione, data, riassunto delle modifiche, nuova diffusione. In Italia, in caso di cambiamento sostanziale: nuovo accordo con la RSU se incide sulle modalità di controllo.

Errori tipici che rendono la carta inoperante

Sei errori ricorrenti — ciascuno basta a svuotare la carta del suo valore.

Errore 1 — Troppo generale. «Usate l’IA in modo responsabile» non dice niente. Una carta utile è precisa al punto da essere opponibile concretamente a un comportamento.

Errore 2 — Troppo restrittiva senza alternativa. Vietare ChatGPT senza alternativa non funziona — l’uso continua come shadow IT. Sempre proporre un’alternativa ufficiale (account ChatGPT Enterprise, accesso Mistral Le Chat Enterprise, ecc.).

Errore 3 — Senza aggiornamento. Una carta redatta nel 2024 e mai toccata è obsoleta. L’ecosistema evolve troppo rapidamente. Ciclo annuale minimo.

Errore 4 — Senza formazione associata. Una carta senza formazione resta un documento non letto.

Errore 5 — Non opponibile. Una carta non integrata nel codice disciplinare con affissione ex art. 7 SL non ha portata disciplinare.

Errore 6 — Senza accordo RSU/RSA o autorizzazione ITL. Errore specifico IT: dispiegamento di strumenti IA suscettibili di controllo a distanza senza accordo sindacale o autorizzazione ITL ex art. 4 SL. Conseguenze: sanzione penale leggera, log inutilizzabili in disciplinare, sanzione del Garante per violazione GDPR/SL.

Errore 7 — Copia-incollata da modello generico.

Modello minimo v1 — da dove iniziare

Per le organizzazioni che vogliono partire rapidamente, un modello minimo in una pagina può servire da v1, da arricchire poi. Struttura suggerita:

1. Perimetro: applicabile a tutti i dipendenti e prestatori di [Organizzazione].

2. Strumenti autorizzati:
   - Su dati business: [lista degli strumenti azienda approvati]
   - Su dati sensibili: [strumento on-premise o divieto salvo autorizzazione]
   - Strumenti consumer: vietati su dati professionali.

3. Regole d'uso:
   - Niente dati clienti identificabili su strumenti non approvati
   - Verifica obbligatoria di cifre, date e riferimenti
   - Niente decisione automatizzata senza revisione umana
   - Riservatezza: mai copiare segreti, password, M&A, HR nominativo

4. In caso di incidente:
   - Contatto: [DPO + indirizzo]
   - Termine: 24 ore per fuga sospettata (72 h notifica al Garante)

5. Aggiornamento: versione 1.0 — [data]. Revisione annuale.

Letto e accettato: [firma]

[Allegato: Accordo art. 4 Statuto Lavoratori firmato con la RSU il (data)
oppure autorizzazione ITL n. (riferimento)]

Questo modello minimo è giuridicamente operativo — prova l’esistenza di un inquadramento, che è l’esigenza AI Act. Per gli strumenti suscettibili di controllo a distanza occorre obbligatoriamente l’accordo o l’autorizzazione ITL.

Sanzioni per assenza di carta / formazione IA

Rischi concreti in Italia 2026:

  • AI Act art. 99: fino a 15 milioni di euro o 3% del fatturato mondiale per violazione dell’art. 4 (alfabetizzazione IA).
  • GDPR art. 83: fino a 20 milioni di euro o 4% del fatturato mondiale. Il Garante ha sanzionato OpenAI a 15 milioni di euro nel dicembre 2024 — il riferimento europeo.
  • Statuto Lavoratori art. 38: ammenda 154-1549 euro o arresto fino a 1 anno per violazione art. 4 SL.
  • Inutilizzabilità dei log: in caso di contenzioso del lavoro, i log raccolti senza accordo sono inutilizzabili — perdita totale del valore probatorio.
  • Sanzione disciplinare nulla: una sanzione fondata su una carta non affissa ex art. 7 SL è dichiarata nulla dal Tribunale del Lavoro.

La logica economica è univoca: una carta più accordo costano 8-12 settimane di progetto; l’assenza costa ordini di grandezza in più in rischio sanzionatorio e caos operativo.

Cosa rifiutiamo di promettere

Tre antipattern ricorrenti che evitiamo in DPLIANCE quando lavoriamo con un’organizzazione cliente sui suoi casi d’uso IA.

«Vi forniremo una carta chiavi in mano universale.» No. Una carta universale è inapplicabile. Ogni organizzazione ha un settore, dati, strumenti, una cultura interna. Un modello generico serve da punto di partenza — non basta a produrre una carta robusta. La redazione seria passa per una consultazione interna (DPO, CISO, legale, HR, reparti, RSU/RSA tassativamente in Italia), quindi diverse settimane.

«La carta risolverà lo shadow IT.» No. Una carta senza alternativa ufficiale non fa che spingere lo shadow IT più discreto. Regola pratica: prima di mettere in campo una carta che vieta, fornire l’alternativa autorizzata.

«Carta firmata e fatto.» No. La carta non è un amuleto. Funziona solo combinata con: la formazione, la documentazione degli strumenti autorizzati, un punto di contatto identificato per gli incidenti, un ciclo di revisione annuale. In Italia in più: accordo art. 4 SL valido. Senza questi complementi, la carta è un documento giuridico inerte.

DPLIANCE è editore di software. Quando concepiamo una soluzione IA su misura per un’organizzazione, ci allineiamo con la sua carta d’uso esistente: scelta di modello compatibile (Mistral, on-premise), livello di supervisione, logging, alimentazione dei registri. Il DPO e il CISO restano padroni della carta; noi la operazionalizziamo.

FAQ

Una carta IA è obbligatoria nel 2026?

Non è letteralmente obbligatoria — non esiste nel 2026 una norma che dica «ogni impresa italiana deve avere una carta IA». Tuttavia l’articolo 4 dell’AI Act impone l’alfabetizzazione IA degli utilizzatori, il GDPR impone documentare i trattamenti e informare gli interessati, e l’articolo 4 dello Statuto dei Lavoratori (legge 300/1970, novellata dal Jobs Act) impone una procedura specifica per l’introduzione di strumenti di lavoro che possono comportare controllo a distanza dei lavoratori — accordo con RSU/RSA o autorizzazione dell’Ispettorato Territoriale del Lavoro. La carta IA è lo strumento più semplice, opponibile e meno costoso per dimostrare queste tre conformità in modo coerente. Senza carta, in caso di ispezione del Garante o controllo AI Act, l’organizzazione dovrà produrre prove alternative — più difficile, disperse e molto meno credibili.

La carta IA si applica ai prestatori esterni?

Sì, a condizione di iscriverla nei contratti di prestazione. Una carta che copre solo i dipendenti lascia un buco per i subappaltatori, somministrati, freelance e tirocinanti. Deve essere allegata ai contratti fornitori e alle convenzioni di tirocinio. In ispezione, il Garante esamina il perimetro esatto degli impegni; un buco contrattuale sui prestatori è una contestazione classica.

Quanto tempo serve per redigere una carta IA in Italia?

Per un modello minimo v1 (1 pagina operativa, opponibile, firmabile): 2-3 giorni-uomo — redazione, revisione legale, validazione da DPO e CISO. Per una carta completa concertata con accordo RSU ai sensi dell’art. 4 Statuto Lavoratori (o autorizzazione ITL in mancanza di accordo) e dispiegamento con formazione: 8-12 settimane di ciclo — più lungo che in altri paesi UE, perché l’accordo sindacale ex art. 4 SL non può essere bypassato per gli strumenti di lavoro suscettibili di controllo a distanza. Regola pratica: dispiegare un v1 minimo rapidamente, arricchirlo nei 6-12 mesi successivi.

Bisogna far firmare la carta ai collaboratori?

Sì, fortemente raccomandato. Una carta firmata individualmente (o con ricevuta di lettura elettronica tracciata) è nettamente più opponibile di una carta solo diffusa per email o intranet. In caso di incidente grave (fuga, uso scorretto), la firma individuale prova che l’utilizzatore è stato informato delle regole. Senza questa tracciabilità, la carta perde il suo valore disciplinare. Importante: in Italia, l’integrazione nel codice disciplinare aziendale (con affissione ex art. 7 Statuto Lavoratori) e nel CCNL applicabile dà l’ancoraggio disciplinare più forte.

La carta deve essere identica per tutte le funzioni?

Il tronco comune (divieti di riservatezza, strumenti autorizzati per tipo di dato, procedura di segnalazione, sanzioni, aggiornamento) deve essere uniforme per assicurare opponibilità e coerenza. Le regole specifiche possono variare tramite allegati di reparto: HR (vigilanza sull’art. 22 GDPR e non-discriminazione nello screening CV), finanza (restrizioni M&A e informazioni privilegiate rinforzate ai sensi del TUF), R&D (regole sul codice sorgente e PI), legale (segreto professionale), sanità (FSE, segreto medico). Una carta senza allegati di reparto è troppo generica; una carta senza tronco comune è ingestibile.

Chi redige la carta IA?

Nella pratica, il DPO e il CISO co-conducono la redazione. Il legale valida. HR co-firma per l’opponibilità a titolo del codice disciplinare. I principali reparti (commerciale, operazioni, R&D, supporto) sono consultati. La direzione generale avalla formalmente il documento. La RSU/RSA è coinvolta tassativamente per gli strumenti suscettibili di controllo a distanza ex art. 4 Statuto Lavoratori. Nessuno di questi attori da solo può produrre una carta robusta — lavoro incrociato su 8-12 settimane.

Con quale frequenza rivedere la carta IA?

Annuale come minimo. Più rapidamente se: nuovo strumento IA dispiegato, evoluzione regolamentare maggiore (fase successiva AI Act, giurisprudenza Cassazione o CGUE sull’IA al lavoro), incidente interno che ha rivelato una lacuna, o estensione sostanziale dei casi d’uso. Una carta che non è evoluta da 18 mesi è quasi sempre obsoleta — l’ecosistema IA si muove troppo rapidamente (nuovi modelli, nuovi fornitori, nuove regolamentazioni settoriali). In caso di cambiamento sostanziale che incide sulle modalità di controllo, è necessario un nuovo accordo con la RSU.

Una carta redatta nel 2024 è ancora valida?

Da verificare. L’AI Act è entrato in applicazione progressiva da febbraio 2025, con fasi successive nel 2025-2027. Gli orientamenti del Garante settoriali sono stati pubblicati nel 2024-2025 (uso di chatbot, decisione automatizzata, ChatGPT). I principali fornitori LLM (Mistral, OpenAI, Anthropic) hanno fatto evolvere le loro offerte aziendali e i loro DPA. Una carta del 2024 deve come minimo essere riesaminata e aggiornata su quattro punti: riferimenti AI Act aggiornati, lista degli strumenti autorizzati, clausole fornitori, procedura di segnalazione.

Fonti: Regolamento (UE) 2024/1689 (AI Act), in particolare articolo 4 sull’alfabetizzazione IA e articolo 50 sulla trasparenza; Regolamento (UE) 2016/679 (GDPR), in particolare articoli 5, 22, 32, 35; D.lgs. 196/2003 (Codice Privacy come integrato dal D.lgs. 101/2018); Legge 300/1970 (Statuto dei Lavoratori), in particolare articoli 4 e 7, come novellati dal D.lgs. 151/2015 e D.lgs. 185/2016; D.lgs. 81/2015 sulla disciplina dei contratti di lavoro; Garante per la protezione dei dati personali — orientamenti su IA e GDPR (gpdp.it); Cassazione, principi consolidati sull’inutilizzabilità dei log raccolti in violazione dell’art. 4 SL; EDPB, opinione 28/2024 sui modelli di IA e il GDPR; giurisprudenza Garante (Italia) — decisioni OpenAI 2023 e 2024.

Per inquadrare la redazione e il dispiegamento di una carta IA nella sua organizzazione — articolazione con la sua politica IA, scelta di strumenti allineati, formazione associata, accordo sindacale — vedere la nostra guida IA e GDPR, la nostra guida formazione IA in azienda, la nostra guida IA sovrana, o contattateci tramite le nostre soluzioni IA su misura.

Scriveteci

contact@dpliance.com
Contattateci