DPIA per un progetto IA: guida pratica 2026 (GDPR + Regolamento IA)

Q: Cos'è esattamente una DPIA per un progetto IA?

Una DPIA (Data Protection Impact Assessment, in italiano «Valutazione d'Impatto sulla Protezione dei Dati») è l'analisi scritta e opponibile dei rischi che un trattamento di dati personali presenta per i diritti e le libertà delle persone interessate. Per un progetto IA, valuta cumulativamente quattro famiglie di rischi: rischi legati al modello (bias, allucinazioni, opacità, vulnerabilità), rischi legati ai dati (volume, sensibilità, fonti, liceità della raccolta), rischi di deployment (supervisione umana, trasparenza, mezzi di ricorso), rischi giuridici (trasferimenti extra-UE, periodi di conservazione, articolazione con il Regolamento IA). È un documento di inquadramento condiviso tra DPO e titolare del trattamento, validato internamente, opponibile in caso di ispezione del Garante.

Q: Quando la DPIA è obbligatoria per un progetto IA?

Per ogni trattamento IA suscettibile di generare un rischio elevato: profilazione su larga scala con decisione automatizzata (HR, scoring creditizio, attribuzione di prestazioni), sorveglianza sistematica (riconoscimento facciale, biometria comportamentale, videosorveglianza algoritmica), trattamento di dati particolari su larga scala (salute, biometria identificativa), decisioni automatizzate con effetto giuridico (articolo 22 GDPR), valutazione sistematica dei dipendenti (people analytics, productivity tracking), incrocio di dati da più fonti, IA su minori o categorie vulnerabili. Il Garante per la protezione dei dati personali pubblica la lista dei trattamenti obbligatoriamente soggetti a DPIA su gpdp.it, integrata dalle linee guida del Comitato europeo (EDPB).

Q: Quanto tempo richiede la redazione di una DPIA IA?

Per un progetto IA semplice a rischio moderato (estrazione documentale, classificazione di mail non sensibili): 2-4 giorni-uomo. Per un progetto a rischio elevato (scoring HR, biometria, IA su dati sanitari): 5-15 giorni-uomo distribuiti su 3-8 settimane, includendo la consultazione delle parti interessate, la validazione del DPO e gli aggiustamenti post-revisione. Una DPIA frettolosa vale meno di nessuna DPIA — può addirittura aggravare la situazione in caso di controllo ("sapevate, non avete fatto nulla").

Q: DPIA e Regolamento IA: cosa si cumula?

La DPIA è un obbligo GDPR (articolo 35). Per i sistemi IA classificati ad alto rischio dal Regolamento IA (HR, scoring, biometria, infrastrutture critiche, accesso all'istruzione), si aggiungono obblighi supplementari: sistema di gestione del rischio (articolo 9 Regolamento IA), qualità dei dati (articolo 10), documentazione tecnica (articolo 11), trasparenza verso gli utenti (articolo 13), supervisione umana (articolo 14), robustezza e accuratezza (articolo 15). In pratica, si redige una DPIA estesa unica che copre simultaneamente entrambi i quadri per evitare duplicazioni.

Q: La DPIA deve essere convalidata dal Garante?

No, salvo casi particolari. La DPIA è redatta e validata internamente dal DPO e dal titolare del trattamento. Deve essere sottoposta al Garante solo se sussiste un rischio residuo elevato dopo l'attuazione delle misure di mitigazione (articolo 36 GDPR — consultazione preventiva). In pratica, meno del 5 % delle DPIA giustifica una consultazione preventiva. Il resto rimane documentato internamente, a disposizione del Garante in caso di controllo.

Q: Come si articolano DPIA e registro dei trattamenti?

Il registro dei trattamenti elenca tutti i trattamenti dell'organizzazione (articolo 30 GDPR). La DPIA approfondisce l'analisi per i trattamenti a rischio elevato. Buona pratica: ogni DPIA realizzata fa riferimento al trattamento corrispondente nel registro (numero di scheda, versione), e viceversa, la scheda del registro indica se esiste una DPIA (con data, versione, responsabile). I due documenti si rimandano l'uno all'altro. Senza questa coerenza, il registro è considerato incompleto in caso di controllo.

Q: Bisogna fare una nuova DPIA a ogni aggiornamento del modello IA?

Non a ogni aggiornamento, ma a ogni evoluzione sostanziale. Un aggiornamento minore del modello (Mistral 3 → Mistral 3.1, GPT-4o → GPT-4o-mini ad esempio) non giustifica una nuova DPIA. Tuttavia, queste evoluzioni impongono una revisione documentata: cambio di fornitore (Mistral → OpenAI o viceversa), aggiunta di una nuova fonte di dati, cambio di caso d'uso, cambio di modalità di deployment (SaaS → on-premise), passaggio da un modello generico a uno fine-tuned, ampliamento del perimetro degli utenti.

Q: Quali sono le trappole classiche di una DPIA IA?

Tre trappole ricorrenti. Una, la sottovalutazione dei rischi specifici dell'IA — bias, allucinazioni, opacità — che non emergono in una DPIA generica. Due, la dimenticanza dei trasferimenti extra-UE quando il progetto utilizza un LLM SaaS statunitense: DPF, US Cloud Act, transfer impact assessment devono essere documentati. Tre, l'assenza di un piano di follow-up — una DPIA è un documento vivente che deve essere rivisto periodicamente e a ogni evoluzione sostanziale. Una DPIA congelata alla data di messa in servizio perde valore in sei mesi.

Risposta rapida: cos’è una DPIA per un progetto IA?

Una DPIA (Data Protection Impact Assessment, ovvero Valutazione d’Impatto sulla Protezione dei Dati) è uno studio scritto e opponibile, obbligatorio prima di avviare determinati trattamenti a rischio, che descrive ciò che l’organizzazione farà con i dati personali e le misure messe in atto per limitare i pericoli per le persone interessate.

Per un progetto IA nel 2026, valuta cumulativamente:

Rischi legati al modello: bias di addestramento, allucinazioni (risposte inventate), opacità dell’algoritmo, vulnerabilità di sicurezza.
Rischi legati ai dati: volume, sensibilità (GDPR articolo 9 — salute, opinioni politiche, biometria), provenienza, liceità della raccolta.
Rischi di deployment: supervisione umana, trasparenza verso le persone, mezzi di ricorso.
Rischi giuridici: trasferimenti extra-UE (DPF, US Cloud Act), periodi di conservazione, articolazione con il Regolamento IA.

Quando è obbligatoria? Per ogni trattamento IA ad alto rischio: profilazione con decisione automatizzata (HR, scoring creditizio), sorveglianza sistematica, dati particolari su larga scala, decisioni con effetto giuridico, valutazione di dipendenti. Si veda la lista del Garante dei trattamenti obbligatoriamente soggetti a DPIA.

Quanto tempo? 2-4 giorni-uomo per un progetto IA semplice. 5-15 giorni-uomo distribuiti su 3-8 settimane per un progetto a rischio elevato.

Articolazione con il Regolamento IA: la DPIA copre il GDPR (articolo 35). Per i sistemi IA classificati ad alto rischio dal Regolamento IA, si aggiungono obblighi supplementari. In pratica, si redige spesso una DPIA estesa unica che copre entrambi i quadri.

La DPIA non è una formalità amministrativa. È lo strumento che porta un progetto IA dal modo «lanciamo e vediamo» al modo «abbiamo documentato i rischi e le misure corrispondenti». In un’ispezione del Garante o un controllo Regolamento IA, è il primo documento atteso.

Perché la DPIA IA è diventata centrale nel 2026

Tre svolte hanno reso la DPIA imprescindibile per ogni progetto IA serio.

Svolta 1 — Il Garante ha chiarito gli usi IA ad alto rischio. Tra il 2024 e il 2025, il Garante per la protezione dei dati personali (GPDP) ha pubblicato diverse raccomandazioni settoriali (HR, sanità, istruzione, finanza) che precisano i casi in cui la DPIA è sistematicamente richiesta. Le linee guida sull’IA del 2024 e il Provvedimento n. 467/2024 sui sistemi IA generativi forniscono il riferimento metodologico nazionale. Prima del 2024, il dubbio sussisteva su molti casi. Nel 2026, la lista è chiara e opponibile.

Svolta 2 — Il Regolamento IA è entrato in applicazione progressiva. Il Regolamento (UE) 2024/1689 introduce obblighi specifici per i sistemi IA classificati ad alto rischio. Molti di questi obblighi si sovrappongono alla DPIA GDPR: gestione del rischio, documentazione, trasparenza, supervisione umana. L’Italia ha designato AgID e Garante come autorità competenti per la sorveglianza del Regolamento IA, con un approccio coordinato. Una DPIA ben redatta copre ora una parte significativa degli obblighi del Regolamento IA.

Svolta 3 — Le sanzioni sono attive. Il Garante italiano ha sanzionato OpenAI per 15 milioni di euro nel dicembre 2024 per mancata DPIA documentata, e Replika per 5 milioni di euro nel 2024 per analoga violazione. Più ampiamente, il Garante ha imposto sanzioni IA-correlate per oltre 30 milioni di euro nel periodo 2023-2025. Il Garante ha annunciato nel 2026 che l’IA è una priorità di controllo. Una DPIA assente o mal fatta espone oggi a un rischio concreto — non teorico.

In concreto: non fare la DPIA su un progetto IA a rischio nel 2026 significa esporsi a una violazione diretta dell’articolo 35 GDPR, a una non conformità Regolamento IA e a un rischio sanzionatorio che si materializza. Il calcolo è cambiato.

Gli 8 casi in cui la DPIA IA è obbligatoria

Secondo la lista Garante e le raccomandazioni EDPB. Se il vostro progetto rientra in uno di questi casi, la DPIA non è opzionale — è attesa.

#	Caso d’uso	Esempi concreti
1	Profilazione su larga scala con decisione automatizzata di effetto significativo	Scoring creditizio, attribuzione di prestazioni sociali, scoring assicurativo, scoring paziente
2	Sorveglianza sistematica in zona accessibile al pubblico	Riconoscimento facciale, biometria comportamentale, videosorveglianza algoritmica
3	Trattamento di dati particolari (articolo 9 GDPR) su larga scala	Salute, opinioni politiche, origine, biometria identificativa, orientamento sessuale, religione
4	Decisioni automatizzate con effetto giuridico (articolo 22)	Rifiuto di assunzione, concessione/rifiuto di credito, accesso a un servizio pubblico
5	Valutazione sistematica dei dipendenti tramite sistema IA	People analytics, productivity tracking, scoring HR (artt. 4 e 8 Statuto dei Lavoratori)
6	Incrocio di dati da più fonti per costruire un profilo	Marketing comportamentale arricchito, scoring paziente arricchito
7	Matching biometrico	Riconoscimento facciale, impronta vocale
8	IA su minori o categorie vulnerabili	Sanitario (SSN), sociale, educativo

Per gli usi IA al di fuori di questa lista, la DPIA rimane raccomandata ma non formalmente obbligatoria. Regola pratica: se esitate, fatela. Una DPIA leggera vale più di nessuna DPIA, e documentarla anche quando non è obbligatoria vi protegge in caso di evoluzione successiva del progetto.

La metodologia Garante in 5 passi

Il Garante ha strutturato la metodologia DPIA in 5 passi che ogni progetto IA può seguire, allineata alle linee guida WP248 (EDPB endorsed). Ogni passo produce un deliverable preciso che si integra nel documento finale.

Passo 1 — Descrizione dettagliata del trattamento

Si tratta di porre il quadro fattuale, senza interpretazione giuridica in questa fase.

Finalità precisa (formulazione operativa, non giuridica — ad esempio: «accelerare la pre-registrazione contabile delle fatture fornitori»)
Dati trattati (tipologia, sensibilità, fonti)
Ciclo di vita del dato (raccolta → trattamento → conservazione → cancellazione)
Architettura tecnica (LLM utilizzato, hosting, responsabili del trattamento)
Persone interessate (categorie, volumi, eventuali vulnerabilità)

Passo 2 — Valutazione della necessità e proporzionalità

È il passo che il Garante esamina prioritariamente. Condiziona la liceità di tutto il resto.

Il trattamento è necessario alla finalità? Esiste un’alternativa meno intrusiva?
I dati trattati sono minimi (principio di minimizzazione)?
Il periodo di conservazione è proporzionato?
I diritti delle persone interessate sono rispettati (informazione, accesso, opposizione, rettifica, cancellazione, portabilità)?

Passo 3 — Identificazione dei rischi

Per un progetto IA in particolare, il Garante si aspetta che distinguiate i rischi GDPR classici e i rischi propri dell’IA.

Rischio di accesso illegittimo ai dati (cybersecurity, data breach notificabili ex articolo 33)
Rischio di modifica non autorizzata (integrità, manipolazione del modello, prompt injection)
Rischio di perdita (backup, reversibilità del fornitore)
Rischio algoritmico (bias, allucinazioni, discriminazione indiretta) — specifico IA
Rischio di trasparenza insufficiente (l’utente non comprende la decisione) — rafforzato dal Regolamento IA

Passo 4 — Misure per trattare i rischi

A ogni rischio identificato, una o più misure concrete. No «staremo attenti» — misure verificabili.

Tecniche: cifratura, pseudonimizzazione, controllo degli accessi, logging
Organizzative: codice di condotta, formazione, supervisione umana, procedura di incidente
Contrattuali: nomina a responsabile del trattamento solida (articolo 28 GDPR), clausole di reversibilità, impegno di sovranità
Specifiche IA: test di bias, documentazione modello, supervisione su decisioni sensibili, meccanismo di feedback utente

Passo 5 — Validazione e follow-up

La DPIA è un documento vivente, non un deliverable di messa in servizio.

Approvazione DPO + titolare del trattamento
Consultazione delle persone interessate (articolo 35.9 GDPR) se pertinente
Consultazione preventiva al Garante se rischio residuo elevato (articolo 36)
Piano di revisione: minimo ogni 2 anni, o a ogni evoluzione sostanziale (cambio fornitore, nuova fonte dati, ampliamento perimetro)

Schema semplificato del ciclo DPIA

[Inquadramento progetto IA]
         │
         ▼
[Passo 1 — Descrizione] ──► registro dei trattamenti
         │
         ▼
[Passo 2 — Necessità / proporzionalità]
         │
         ▼
[Passo 3 — Rischi] ──► rischi GDPR + rischi IA specifici
         │
         ▼
[Passo 4 — Misure] ──► tecniche / organizzative / contrattuali
         │
         ▼
[Passo 5 — Validazione] ──► DPO + titolare del trattamento
         │
         ▼
[Rischio residuo elevato?] ──Sì──► consultazione preventiva Garante (art. 36)
         │ No
         ▼
[Messa in servizio]
         │
         ▼
[Monitoraggio continuo] ◄──── evoluzione sostanziale?
                          ──► revisione DPIA

Modello di struttura di una DPIA IA

Per risparmiare tempo, ecco il sommario di una DPIA IA ben strutturata che si trova nel 2026 nelle organizzazioni italiane mature.

1. Identificazione del trattamento
   1.1. Finalità e descrizione
   1.2. Titolare del trattamento e DPO
   1.3. Responsabili del trattamento (fornitore LLM, hosting, integratore)
   1.4. Caso d'uso e utenti

2. Dati trattati
   2.1. Tipologia e sensibilità
   2.2. Fonti e basi giuridiche
   2.3. Persone interessate e volumi
   2.4. Periodi di conservazione

3. Architettura IA
   3.1. Modello utilizzato (provenienza, licenza, performance)
   3.2. Dati di addestramento (in caso di fine-tuning)
   3.3. Hosting e localizzazione
   3.4. Supervisione umana prevista
   3.5. Performance e accuratezza attese

4. Valutazione di necessità e proporzionalità

5. Analisi dei rischi
   5.1. Rischi GDPR classici (articolo 32)
   5.2. Rischi specifici IA (bias, allucinazioni, opacità)
   5.3. Rischi di trasferimento (DPF, US Cloud Act)
   5.4. Rischi per i diritti delle persone

6. Misure di trattamento dei rischi
   6.1. Tecniche
   6.2. Organizzative
   6.3. Contrattuali (nomina responsabili)
   6.4. Specifiche IA

7. Rischi residui e accettabilità

8. Piano di follow-up e revisione

9. Allegati (nomina responsabili, schema architettura, piano di continuità)

Si veda la nostra guida IA conforme GDPR per il quadro completo, e la nostra guida IA sovrana per il versante sovranità.

L’articolazione DPIA + Regolamento IA nel 2026

Il Regolamento IA introduce per i sistemi IA ad alto rischio un insieme di obblighi che si sovrappongono parzialmente alla DPIA GDPR. Anziché produrre due documenti ridondanti, la pratica raccomandata è la DPIA estesa.

Tabella di articolazione

Obbligo	Fonte	Coperto da DPIA estesa
Valutazione d’impatto	GDPR art. 35	✓
Sistema di gestione del rischio	Reg. IA art. 9	✓
Qualità dei dati	Reg. IA art. 10	✓
Documentazione tecnica	Reg. IA art. 11	✓ (allegato)
Trasparenza utenti	Reg. IA art. 13	✓
Supervisione umana	Reg. IA art. 14	✓
Accuratezza, robustezza, cybersecurity	Reg. IA art. 15	✓
Informazione persone interessate	GDPR art. 13-14	Riferito
Sicurezza del trattamento	GDPR art. 32	✓
Tenuta del registro	GDPR art. 30	Riferito

Questo approccio evita la produzione di due documenti ridondanti e facilita la coerenza tra quadri. La Commissione europea e l’EDPB preparano una guida di articolazione per il 2026 — confermerà la pratica ma non la modificherà nel principio. AgID e Garante stanno coordinando il proprio approccio in tal senso a livello nazionale.

Casi concreti: tre progetti IA, tre DPIA differenti

Caso 1 — Pre-registrazione contabile tramite IA (rischio moderato)

Progetto: estrazione automatica delle informazioni di fatture fornitori (importo, fornitore, data, righe) prima della validazione contabile umana. Dati interessati: nominativi fornitori, importi, talvolta nominativi dipendenti su note spese. Volume: 5.000 fatture/mese.

Livello di rischio DPIA: moderato (nessuna decisione automatizzata con effetto giuridico, nessun dato particolare su larga scala, supervisione umana sistematica).

Misure chiave da documentare: confidence per campo con soglia di intervento umano, tracciabilità delle modifiche, scelta di un fornitore LLM sovrano (Mistral) per fatture contenenti dati personali, conservazione limitata dei prompt.

Carico DPIA: 3-5 giorni-uomo. Si veda la nostra guida automazione fatture con IA.

Caso 2 — Smistamento intelligente delle email di supporto (rischio moderato a elevato)

Progetto: classificazione e instradamento automatico delle email in arrivo verso i team competenti. Dati interessati: indirizzi email, contenuto dei messaggi (potenzialmente dati personali, talvolta particolari a seconda del settore). Volume: 50.000 email/mese.

Livello di rischio DPIA: moderato a elevato a seconda del settore (sanità, legale = elevato; e-commerce generalista = moderato).

Misure chiave da documentare: pseudonimizzazione dei destinatari a monte se analisi statistica, isolamento dei contenuti sensibili prima dell’invio a un LLM SaaS, supervisione umana sulle classificazioni a bassa confidenza, informazione delle persone interessate nell’informativa privacy.

Carico DPIA: 5-8 giorni-uomo. Si veda la nostra guida smistamento mail con IA.

Caso 3 — Sistema di scoring HR (rischio elevato)

Progetto: ausilio alla pre-selezione di CV tramite IA. Dati interessati: CV completi, dati di carriera, talvolta dati particolari inferiti (età, origine probabile). Volume: 10.000 candidature/anno.

Livello di rischio DPIA: elevato. Profilazione + decisione con effetto significativo sulla persona + dati potenzialmente particolari + articolo 22 GDPR potenzialmente applicabile + rischio discriminazione indiretta ex Codice Pari Opportunità + rispetto dell’art. 4 dello Statuto dei Lavoratori sui controlli a distanza.

Misure chiave da documentare: divieto di qualsiasi decisione automatizzata finale (human-in-the-loop obbligatorio), test di bias documentati e ripetuti, informazione preventiva dei candidati, diritto di opposizione, consultazione preventiva al Garante probabile in caso di rischio residuo elevato. Coinvolgimento delle rappresentanze sindacali (RSU) raccomandato.

Carico DPIA: 12-20 giorni-uomo distribuiti su 6-10 settimane.

Caso particolare: DPIA per uso Mistral / ChatGPT in azienda

L’uso generalizzato di LLM SaaS (Mistral Le Chat Enterprise, ChatGPT Enterprise) in azienda pone questioni specifiche, particolarmente rilevanti dopo il provvedimento del Garante che ha temporaneamente bloccato ChatGPT in Italia nel 2023.

DPIA richiesta per:

Uso IA su dati personali su larga scala (>1.000 utenti o >10.000 persone interessate/mese)
Uso che include dati particolari (salute, HR nominativo, legale)
Uso con decisioni automatizzate con effetto giuridico

DPIA non obbligatoria per:

Uso individuale limitato di redazione su dati di business non sensibili
Uso di sintesi documentale su documenti non personali

Particolarità da documentare specificamente:

Scelta sovrana (Mistral vs ChatGPT) — si veda la nostra guida IA sovrana e il nostro confronto Mistral vs ChatGPT
Articolazione con il codice di condotta IA in azienda
Trasferimenti extra-UE (DPF) se fornitore statunitense
Allucinazioni e misure di verifica
Conservazione di prompt e completion da parte del fornitore

Ciò che ci rifiutiamo di promettere

Tre antipattern ricorrenti che osserviamo sulle DPIA IA e che evitiamo in DPLIANCE quando inquadriamo un progetto IA su misura.

«Faremo la DPIA dopo, una volta in produzione.» No. Una DPIA è per natura preventiva al trattamento (articolo 35 GDPR). Farla dopo è giuridicamente più debole e operativamente controproducente — gli arbitraggi sono già stati presi, si documenta solo ciò che è già installato.

«Copiamo la DPIA del vicino.» Una DPIA non è un template da duplicare. Dipende dal trattamento preciso, dai dati, dal contesto, dalla scelta architettonica. Una DPIA generica si riconosce da dieci chilometri e perde il suo valore in caso di controllo. Meglio una DPIA breve ma propria del vostro progetto che una lunga copiata altrove.

«La DPIA è affare del DPO, non del team tecnico.» Falso. Una DPIA si redige in più persone: il DPO orchestra, ma il titolare del trattamento (business), il team tecnico (architettura, scelta del modello, sicurezza), il servizio legale (nomina responsabili, trasferimenti) e il CISO (misure di sicurezza) contribuiscono. Una DPIA scritta dal solo DPO senza input degli altri stakeholder manca sempre di sostanza tecnica.

DPLIANCE è un editor di software. Quando progettiamo una soluzione IA su misura, produciamo la documentazione tecnica che il vostro DPO può integrare nella sua DPIA: architettura dettagliata, scelta del modello, hosting, misure di sicurezza, supervisione umana prevista. Il DPO resta padrone della DPIA; gli forniamo materia affidabile.

FAQ

Cos’è esattamente una DPIA per un progetto IA?

Una DPIA (Data Protection Impact Assessment) è l’analisi scritta e opponibile dei rischi che un trattamento di dati personali presenta per i diritti e le libertà delle persone interessate. È un documento di inquadramento condiviso tra DPO e titolare, validato internamente, opponibile in caso di ispezione del Garante.

Quando la DPIA è obbligatoria per un progetto IA?

Per ogni trattamento IA ad alto rischio: profilazione su larga scala, sorveglianza sistematica, dati particolari su larga scala, decisioni automatizzate con effetto giuridico, valutazione di dipendenti, incrocio di dati, IA su minori o categorie vulnerabili.

Quanto tempo richiede la redazione di una DPIA IA?

2-4 giorni-uomo per un progetto semplice. 5-15 giorni-uomo distribuiti su 3-8 settimane per un progetto a rischio elevato.

DPIA e Regolamento IA: cosa si cumula?

La DPIA è un obbligo GDPR. Per i sistemi IA ad alto rischio secondo il Regolamento IA, si aggiungono obblighi supplementari. In pratica, si redige una DPIA estesa unica.

La DPIA deve essere convalidata dal Garante?

No, salvo casi particolari. È validata internamente. Deve essere sottoposta al Garante solo se sussiste un rischio residuo elevato (articolo 36 GDPR).

Come si articolano DPIA e registro dei trattamenti?

Il registro elenca tutti i trattamenti. La DPIA approfondisce l’analisi per i trattamenti a rischio elevato. I due documenti si rimandano l’uno all’altro.

Bisogna fare una nuova DPIA a ogni aggiornamento del modello?

Non a ogni aggiornamento, ma a ogni evoluzione sostanziale: cambio fornitore, nuova fonte dati, cambio caso d’uso, cambio modalità deployment, fine-tuning, ampliamento perimetro.

Quali sono le trappole classiche di una DPIA IA?

Tre trappole. Sottovalutazione dei rischi specifici IA. Dimenticanza dei trasferimenti extra-UE. Assenza di piano di follow-up.

Fonti: Regolamento (UE) 2016/679 (GDPR), in particolare articoli 35 e 36; Regolamento (UE) 2024/1689 (Regolamento IA), in particolare articoli 9-15; Garante per la protezione dei dati personali (gpdp.it) — linee guida DPIA, Provvedimento n. 467/2024 sui sistemi IA generativi, decisioni OpenAI e Replika 2024; AgID — autorità coordinata per il Regolamento IA; EDPB, opinione 28/2024 sui modelli IA e GDPR.

Per inquadrare un progetto IA nella vostra organizzazione — scelta architetturale, modello sovrano o locale, integrazione nel sistema informativo, documentazione tecnica per la DPIA del vostro DPO — si veda la nostra guida IA conforme GDPR, la nostra guida IA sovrana, o contattateci tramite le nostre soluzioni IA su misura.