IA conforme al GDPR: guida alla compliance 2026 per imprese
Quick Answer: cos’è un’IA conforme al GDPR?
Un’IA è conforme al GDPR quando tratta dati personali nel rispetto cumulato del GDPR (legalità, minimizzazione, trasparenza, sicurezza), del Codice Privacy italiano (D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018) e, dal 2024, del Regolamento europeo sull’IA (Regolamento IA). In pratica, sei requisiti:
- Una base giuridica identificata per ogni trattamento (consenso, legittimo interesse, esecuzione di un contratto, obbligo legale).
- Una minimizzazione effettiva: non inviare dati personali a un’IA generativa se un dato anonimizzato o aggregato è sufficiente.
- Una valutazione d’impatto (DPIA) documentata non appena un uso IA presenti un rischio elevato: HR, credit scoring, biometria, infrastruttura critica.
- Un inquadramento contrattuale solido con il fornitore del modello: DPA, lista dei sub-responsabili, luogo di hosting, condizioni di cancellazione.
- Una distinzione chiara tra strumenti consumer, strumenti enterprise e installazione sui propri server (»on-premise«).
- Una formazione dei team all’uso dell’IA, esigita dall’articolo 4 del Regolamento IA.
Non esiste »certificazione GDPR« di un modello — è l’uso che è conforme o no, non lo strumento preso isolatamente. Un Mistral Le Chat Enterprise utilizzato senza quadro può violare il GDPR; un ChatGPT Enterprise utilizzato con rigore può essere conforme. Il fattore determinante è la governance, non il marchio.
Perché questo tema, ora
Tre svolte tra il 2024 e il 2026 hanno reso operativa, non più teorica, la compliance IA-GDPR.
Svolta 1 — Il Regolamento IA è entrato in applicazione progressiva da febbraio 2025. Per la prima volta, l’IA non è più regolata unicamente dal GDPR (che si applica ai dati personali) ma anche da un regolamento specifico per i sistemi di IA. I due quadri si cumulano — nessuna opzione per fare l’uno senza l’altro. L’Italia ha designato l’AgID (Agenzia per l’Italia Digitale) e l’ACN (Agenzia per la Cybersicurezza Nazionale) come autorità di vigilanza per gli aspetti tecnico-operativi del Regolamento IA, in coordinamento con il Garante per la protezione dei dati personali per gli aspetti privacy.
Svolta 2 — Le sanzioni sono attive, e l’Italia è in prima linea. Il Garante italiano è stato tra le prime autorità europee ad agire contro i sistemi IA: provvedimento di limitazione provvisoria di ChatGPT a marzo 2023 (che ha portato OpenAI a modificare il proprio servizio in tutta Europa), poi sanzione di 15 milioni di euro a OpenAI a dicembre 2024 per assenza di base giuridica, mancanza di trasparenza e inesattezza dei contenuti generati. Sanzione di 5 milioni di euro a Replika ad aprile 2025 per mancata verifica dell’età e trattamento di dati di minori. Il Garante ha annunciato l’IA come priorità di controllo 2026, con focus su HR, biometria e marketing predittivo. Il rischio di sanzione si materializza — non domani, oggi.
Svolta 3 — Gli strumenti sono maturati, quindi anche le aspettative. Nel 2023, l’argomento »stiamo imparando, stiamo scoprendo« reggeva. Nel 2026, le offerte enterprise (ChatGPT Enterprise, Mistral Le Chat Enterprise, Claude per Imprese) esistono da abbastanza tempo per essere considerate uno standard. Non averle scelte, non avere la documentazione associata, non avere la policy e la formazione — è ormai un’inadempienza, non una scusa.
Il calcolo è cambiato: la compliance IA-GDPR non è più un tema »da guardare un giorno«, è un deliverable atteso in caso di controllo.
Il quadro giuridico: una stratificazione GDPR + Codice Privacy + Regolamento IA
La compliance di un sistema IA in Italia non rileva più di un solo testo. Tre quadri si sovrappongono e si articolano.
Il GDPR (Regolamento (UE) 2016/679) rimane il fondamento per ogni trattamento di dati personali, compreso in un sistema IA. Tutti gli obblighi classici si applicano: base giuridica, minimizzazione, esattezza, limitazione del periodo di conservazione, sicurezza, trasparenza, diritti degli interessati (accesso, rettifica, opposizione, cancellazione, portabilità). L’IA non è un regime derogatorio — è un caso applicativo del GDPR con specificità tecniche.
Il Codice Privacy italiano (D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018) integra il GDPR in Italia. Articoli rilevanti per l’IA: articolo 2-quaterdecies (decisioni automatizzate nei rapporti contrattuali pubblici), articolo 132 (conservazione dei dati di traffico), articolo 110-bis (riutilizzo dei dati per finalità statistiche e di ricerca scientifica). Il Garante per la protezione dei dati personali è l’autorità di controllo, dotata di poteri ispettivi, prescrittivi e sanzionatori particolarmente attivi.
Il Regolamento IA (Regolamento (UE) 2024/1689) è entrato in applicazione progressiva da febbraio 2025. Classifica i sistemi di IA in quattro categorie di rischio (inaccettabile, alto, limitato, minimo), impone obblighi specifici a fornitori e deployer, e introduce l’obbligo di alfabetizzazione IA per le organizzazioni. Le sanzioni possono raggiungere 35 milioni di euro o il 7% del fatturato mondiale per le pratiche vietate.
Lo Statuto dei Lavoratori (Legge 300/1970) — peculiarità italiana cruciale per l’IA in HR. L’articolo 4 vieta l’uso di strumenti audiovisivi e di altre apparecchiature per il controllo a distanza dell’attività dei lavoratori, salvo accordo collettivo con le rappresentanze sindacali (RSU/RSA) o, in mancanza, autorizzazione dell’Ispettorato Nazionale del Lavoro (INL). Si applica direttamente a ogni IA che svolga monitoraggio, valutazione delle performance, screening dei dipendenti.
L’articolazione pratica: GDPR e Codice Privacy fissano cosa si può fare con i dati personali, il Regolamento IA fissa le esigenze specifiche dei sistemi IA, lo Statuto dei Lavoratori inquadra le applicazioni HR. Tutti si applicano simultaneamente — nessuna gerarchia che esoneri da un testo.
Il Garante e l’AgID
A differenza di Spagna o Germania, in Italia l’autorità di controllo privacy è centralizzata: il Garante per la protezione dei dati personali copre l’intero territorio nazionale. È una delle autorità più attive d’Europa, con un track record di provvedimenti pionieristici sull’IA (ChatGPT 2023, OpenAI 2024, Replika 2025, casi di scraping, biometria, marketing predittivo).
L’AgID e l’ACN completano il dispositivo per gli aspetti di sicurezza e cybersicurezza, in particolare per le pubbliche amministrazioni e gli operatori di servizi essenziali (NIS2). Per il Regolamento IA, l’Italia ha attribuito ai due enti competenze tecnico-operative, che coordineranno con il Garante per gli aspetti dati personali.
Quattro rischi maggiori dei dati personali nelle IA generative
Prima delle best practice, occorre comprendere i rischi concreti. Quattro si distaccano.
1. La fuga per addestramento
Le IA consumer (ChatGPT gratuito o Plus, Claude gratuito, Gemini consumer) usano di default le conversazioni per migliorare i loro modelli. Un dato personale inviato in una domanda (»prompt«) può quindi ritrovarsi integrato al modello, teoricamente estraibile da altri utilizzatori tramite tecniche di attacco (»jailbreak«, »model inversion«).
Conseguenza GDPR: trasferimento e trattamento non controllato di dati personali, senza base giuridica né quadro contrattuale. Rischio di sanzione immediato in caso di ispezione del Garante.
Mitigazione: vietare formalmente tramite policy d’uso, fornire un’alternativa enterprise ufficiale.
2. La conservazione indebita
Anche sulle offerte enterprise (ChatGPT Team/Enterprise, Mistral Le Chat Enterprise), i dati scambiati sono conservati sui server del fornitore per durate variabili (30 giorni di default presso OpenAI, durate negoziabili per Mistral). Questa conservazione deve essere:
- Documentata nel Registro dei trattamenti
- Coerente con la durata di conservazione prevista dal GDPR
- Coperta da un contratto di responsabile del trattamento (DPA) firmato ai sensi dell’articolo 28 GDPR
In mancanza, è un’inadempienza all’articolo 5.1.e del GDPR (limitazione della conservazione).
3. Il trasferimento extra-UE
Gli LLM ospitati negli Stati Uniti (OpenAI, Anthropic, Google) trattano di default i dati oltreoceano. Il Data Privacy Framework (DPF) legalizza tecnicamente questo trasferimento da luglio 2023, ma rimane contestato giuridicamente. Un’organizzazione italiana che fonda la sua strategia IA sul solo DPF si espone a un Schrems III che potrebbe invalidare questi flussi. Il Garante ha emesso nel 2024-2025 diverse linee guida che ricordano la necessità di transfer impact assessment e misure supplementari, in coerenza con la posizione storica italiana di vigilanza sui trasferimenti.
Mitigazione: scegliere un attore europeo (Mistral) o una soluzione on-premise elimina puramente e semplicemente questo rischio, anziché mitigarlo contrattualmente. Vedi la nostra guida IA sovrana.
4. L’inesattezza algoritmica
Le IA generative »allucinano« — producono affermazioni plausibili ma false, senza segnalare l’incertezza. Quando queste affermazioni riguardano una persona identificabile (un candidato erroneamente valutato come inadatto, un cliente descritto con elementi inventati), è un’inadempienza diretta all’articolo 5.1.d del GDPR (esattezza). L’autorità italiana Garante ha sanzionato OpenAI su questo fondamento nel 2024 — caso che ha fatto giurisprudenza in tutta Europa.
Mitigazione: politica di verifica sistematica sui contenuti riguardanti persone identificabili prima dell’uso effettivo.
DPIA: quando è obbligatoria per un uso IA?
La DPIA è obbligatoria per ogni trattamento »suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche« (articolo 35 GDPR). Per un uso IA, il Garante e l’EDPB hanno precisato i casi in cui è sistematicamente richiesta. Il Garante pubblica un proprio elenco dei tipi di trattamento che richiedono DPIA (provvedimento 11 ottobre 2018), allineato all’EDPB ma con specificità italiane.
DPIA obbligatoria per i seguenti usi IA:
- Profilazione su larga scala che comporti una decisione (credit scoring, scoring assicurativo, attribuzione di prestazioni sociali)
- Sorveglianza sistematica in zona aperta al pubblico (riconoscimento facciale, biometria comportamentale)
- Trattamento di dati sensibili ai sensi dell’articolo 9 GDPR (salute, opinioni politiche, origini, orientamento sessuale, biometria identificativa) su larga scala
- Decisioni automatizzate aventi effetto giuridico o riguardanti significativamente la persona (articolo 22 GDPR)
- Valutazione sistematica di dipendenti tramite un sistema IA (HR, produttività, people analytics) — particolarmente sensibile data l’interazione con lo Statuto dei Lavoratori
- Incrocio di dati provenienti da diverse fonti per costruire un profilo
DPIA non obbligatoria ma raccomandata per gli usi:
- Redazione assistita su dati aziendali (note interne, progetti, verbali di riunione)
- Sintesi documentale su documenti non personali
- Traduzione automatica di contenuti pubblicati
- Generazione di contenuti marketing
Criteri di valutazione caso per caso: il Garante raccomanda di tenere conto del volume di dati, della sensibilità, del carattere vulnerabile delle persone (minori, dipendenti, pazienti), della natura innovativa del trattamento, e del grado di automazione.
La DPIA deve essere effettuata prima dell’attuazione, conservata in un registro, e aggiornata a ogni evoluzione sostanziale. Vedi la nostra guida DPIA per progetto IA per la metodologia completa.
Statuto dei Lavoratori e relazioni industriali: la specificità italiana
Dove il GDPR fissa un quadro unificato, il diritto del lavoro italiano aggiunge un livello di protezione che inquadra strettamente l’IA in HR.
Articolo 4 dello Statuto dei Lavoratori (legge 300/1970), come modificato dal Jobs Act (D.Lgs. 151/2015): vieta l’uso di impianti audiovisivi e di altre apparecchiature dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori, salvo:
- accordo collettivo con le rappresentanze sindacali aziendali (RSA) o unitarie (RSU);
- in mancanza di accordo, autorizzazione dell’Ispettorato Nazionale del Lavoro (INL).
Si applica direttamente a ogni IA che svolga monitoraggio del rendimento, screening di CV, valutazione automatizzata, gestione dei carichi di lavoro algoritmica.
Articolo 8 dello Statuto dei Lavoratori: divieto di indagini sulle opinioni politiche, religiose, sindacali e sui fatti non rilevanti ai fini della valutazione dell’attitudine professionale. Una IA di screening che inferisse questi attributi (anche indirettamente) sarebbe in violazione.
D.Lgs. 104/2022 (decreto trasparenza), in attuazione della direttiva UE 2019/1152: impone al datore di lavoro di informare il lavoratore sull’uso di sistemi decisionali o di monitoraggio automatizzati che incidano sull’assunzione, sulla gestione del rapporto, sull’adempimento delle obbligazioni contrattuali. Informativa scritta, dettagliata, prima dell’inizio del rapporto o dell’attivazione del sistema. Si applica a ogni IA in HR, non solo a piattaforme digitali.
In pratica: prima di ogni progetto IA che tocchi le HR in Italia, attivare il dialogo con RSU/RSA, negoziare un accordo sindacale ex articolo 4 Statuto (perimetro, dati, durata, diritti dei lavoratori, supervisione umana), redigere l’informativa decreto trasparenza, allegare la DPIA. Senza queste tappe, il sistema è attaccabile davanti al Tribunale del Lavoro e al Garante. Il Garante e l’INL coordinano sempre più i controlli su questi temi.
7 best practice di compliance IA-GDPR
Sette pratiche concrete che distinguono un’organizzazione preparata da un’organizzazione a rischio.
1. Policy d’uso IA opponibile. Documento breve (3-5 pagine) che precisi: quali strumenti sono autorizzati, su quali tipi di dati, con quali obblighi (verifica, tracciabilità, segnalazione di incidente). Diffusa a tutti i collaboratori, integrata al regolamento aziendale o all’accordo sindacale. Senza policy, impossibile provare un approccio di compliance in caso di ispezione del Garante. Vedi la nostra guida policy IA in azienda.
2. Mappatura degli usi IA nel Registro dei trattamenti. Ogni caso d’uso IA che tratti dati personali deve figurare come trattamento a parte, con: finalità, base giuridica, dati trattati, responsabile, durate, destinatari, trasferimenti extra-UE, misure di sicurezza.
3. DPA firmato con il fornitore del modello. Per OpenAI, Anthropic, Google: DPA standard ma da validare con i loro sub-responsabili ulteriori. Per Mistral: DPA disponibile nativamente. Per i modelli aperti distribuiti internamente: nessun DPA con un editor perché non c’è responsabile che tratti il dato — ma l’host e l’eventuale MSP (Managed Service Provider) devono firmare un DPA conforme all’articolo 28 GDPR.
4. Pseudonimizzazione sistematica prima dell’invio. Ogni volta che è possibile, sopprimere o sostituire nomi, identificativi, contatti prima di inviare un testo a un LLM. Una buona IA non ha bisogno di sapere chi è interessato per redigere un verbale o una sintesi. Vedi la nostra guida anonimizzazione e NER tramite IA.
5. Supervisione umana sulle decisioni automatizzate. L’articolo 22 GDPR vieta, salvo eccezioni, le decisioni »basate unicamente su un trattamento automatizzato«. Per ogni caso d’uso in cui l’IA produca una raccomandazione con effetto giuridico o significativo, prevedere una revisione umana documentata.
6. Informativa trasparente delle persone. Articoli 13/14 GDPR e D.Lgs. 104/2022 per i lavoratori: informare del ricorso a un sistema IA, della logica sottostante, e delle conseguenze possibili. Questa informazione deve essere aggiunta alle informative privacy esistenti.
7. Tracciabilità dei prompt e dei risultati. Conservare, per gli usi sensibili, un giornale dei prompt inviati e degli output ricevuti, con timestamp e utilizzatore. Indispensabile in caso di ispezione del Garante o richiesta dell’interessato.
Cloud pubblico vs on-premise: la matrice di decisione
Una delle scelte più strutturanti in compliance IA è la modalità di distribuzione. Tre opzioni, tre livelli di esposizione al rischio.
| Criterio | LLM consumer (ChatGPT/Claude/Gemini gratuiti) | LLM SaaS enterprise (ChatGPT Enterprise, Mistral Le Chat) | LLM on-premise (Mistral, Llama, Qwen su infra interna) |
|---|---|---|---|
| Dati usati per addestramento | Sì (default) | No (DPA) | No |
| DPA disponibile | No | Sì | Non applicabile |
| Hosting | Stati Uniti principalmente | UE (Mistral) o scelta regionale (OpenAI) | Interno o cloud sovrano |
| Rischio DPF / Cloud Act | Molto elevato | Moderato (UE) a elevato (USA) | Nullo |
| Adatto a dati personali non sensibili | ❌ | ✅ con DPA | ✅ |
| Adatto a dati sensibili (salute, biometria) | ❌ | ⚠️ DPIA richiesta + cloud sovrano (qualifica AgID/ACN) | ✅ raccomandato |
| Costo di distribuzione | Basso | Medio (15-60 €/utilizzatore/mese) | Elevato iniziale (hardware + integrazione) |
| Reversibilità | Bassa | Media | Totale |
Regola semplice: consumer unicamente per usi totalmente non personali (redazione marketing, traduzione pubblica, prototipazione). SaaS enterprise per la maggior parte degli usi business. On-premise non appena i dati trattati sono sensibili, soggetti a un segreto professionale, o la criticità di servizio lo esiga. Per pubbliche amministrazioni italiane e operatori di servizi essenziali (NIS2): verificare la qualificazione AgID/ACN del livello cloud (Polo Strategico Nazionale, qualificazione QC1-QC4).
Vedi la nostra guida LLM locale in azienda per il dettaglio della distribuzione on-premise.
Sanzioni e giurisprudenza recente
Diversi casi illustrano come le autorità italiane ed europee applicano il quadro IA-GDPR. L’Italia, tramite il Garante, è una giurisdizione particolarmente attiva.
Garante — OpenAI / ChatGPT, marzo 2023. Provvedimento di limitazione provvisoria di ChatGPT in Italia, primo nel mondo. ChatGPT ridiventato accessibile dopo che OpenAI ha implementato modifiche richieste (informativa, opt-out, verifica età). Decisione che ha fatto scuola e portato l’EDPB a creare una task force ChatGPT.
Garante — OpenAI, dicembre 2024: 15 milioni di euro. Sanzione significativa per: assenza di base giuridica per il trattamento dei dati di addestramento, mancanza di trasparenza sulla raccolta dei dati, difetto di verifica dell’età, inesattezza dei contenuti generati su persone identificabili (allucinazioni che ledono la reputazione). Caso citato in tutta Europa come standard di rigore.
Garante — Replika, aprile 2025: 5 milioni di euro. Sanzione a Luka Inc. (sviluppatore del chatbot Replika) per assenza di base giuridica per il trattamento di dati di minori, mancata implementazione di meccanismi di verifica dell’età, assenza di DPIA. Conferma la linea del Garante: l’IA conversazionale generale non è esente dagli obblighi GDPR.
Garante — Foodinho (Glovo), 2021-2024. Sanzione (poi confermata e rafforzata) a Foodinho per gestione algoritmica dei rider senza informativa, senza supervisione umana, senza diritti di accesso al funzionamento dell’algoritmo. Caso pionieristico che ha precedente l’estensione del decreto trasparenza a tutta l’IA in HR.
Garante — Trento (Comune), 2024. Sanzione al Comune di Trento per uso di sistemi di IA (riconoscimento facciale, analisi predittiva) nello spazio pubblico senza DPIA adeguata, senza base giuridica chiara, senza informativa. Avvertimento al settore pubblico italiano sull’uso ingenuo dell’IA.
EDPB — opinione 28/2024. L’EDPB ha pubblicato a dicembre 2024 un’opinione sui modelli di IA e i dati personali, che chiarisce: (1) un modello IA può trattare dati personali anche dopo l’addestramento (i pesi possono contenere informazioni identificabili); (2) la base giuridica deve essere apprezzata per l’addestramento, l’inferenza e l’output; (3) il legittimo interesse non è un assegno in bianco — esige un test in tre fasi documentato.
Il messaggio comune di queste decisioni: le autorità italiane ed europee accettano l’innovazione IA, ma esigono un approccio di compliance documentato e dimostrabile. La buona fede senza documentazione non protegge in ispezione.
Ciò che rifiutiamo di promettere
Tre antipattern ricorrenti che evitiamo presso DPLIANCE quando inquadriamo una soluzione IA per un’organizzazione cliente.
»Risolveremo tutto firmando ChatGPT Enterprise.« Falso. Il contratto non basta. Servono anche: la policy d’uso opponibile, la formazione degli utilizzatori (articolo 4 Regolamento IA), l’iscrizione al Registro dei trattamenti, la DPIA se applicabile, la procedura di incidente, la pseudonimizzazione a monte sugli usi sensibili, l’accordo sindacale ex articolo 4 Statuto se contesto HR. Senza questi mattoni, il contratto da solo è una carta che non regge in caso di controllo.
»Possiamo inviare tutti i dati aziendali al LLM, è sicuro.« Falso. Su SaaS, i dati lasciano il vostro perimetro — anche con DPA, anche con »zero retention«. Il buon riflesso: minimizzare. Pseudonimizzare a monte quando possibile. Scegliere il giusto livello di strumento secondo la sensibilità (cloud sovrano per dati personali seri, on-premise per dati sensibili).
»DPLIANCE farà la mia compliance GDPR.« No. DPLIANCE è un editore di software. Progettiamo soluzioni IA su misura che si integrano nel quadro GDPR definito dal vostro DPO. Produciamo la documentazione tecnica (architettura, scelta del modello, hosting, misure di sicurezza) che il vostro DPO può integrare nella sua DPIA e nel suo Registro. Il DPO rimane padrone della compliance; gli forniamo la materia affidabile. Per una messa in conformità GDPR completa (audit, Registro, DPIA), è un altro mestiere.
FAQ
Si può usare ChatGPT in azienda senza rischio GDPR?
Sì, a determinate condizioni. La versione Team o Enterprise (con DPA, disattivazione dell’addestramento sulle conversazioni, controllo dell’account da parte dell’organizzazione) è utilizzabile su dati aziendali non sensibili. La versione gratuita o Plus (account personale) non è mai conforme per trattare dati personali in un contesto professionale. Per dati sensibili (salute, segreto professionale, HR nominativo), nemmeno la versione Enterprise è sufficiente: on-premise o alternativa sovrana raccomandate.
Mistral è automaticamente conforme al GDPR?
No — nessuno strumento è automaticamente conforme. Mistral Le Chat Enterprise propone un quadro GDPR nativo (hosting UE presso Scaleway, DPA, nessun addestramento sulle conversazioni) che facilita considerevolmente la compliance — elimina in particolare il rischio DPF/Cloud Act. Ma lo strumento da solo non fa la compliance: servono una policy d’uso opponibile, un Registro dei trattamenti aggiornato, il rispetto delle regole di minimizzazione, una DPIA per gli usi ad alto rischio e la formazione degli utilizzatori. Mistral è un buon punto di partenza, non una risposta completa.
Bisogna fare una DPIA per usare un LLM internamente?
Non sistematicamente. La DPIA è richiesta per i trattamenti ad alto rischio ai sensi dell’articolo 35 GDPR e dell’elenco del Garante. Un uso generico (redazione, sintesi, traduzione) su dati aziendali pseudonimizzati non la richiede. Un uso HR, scoring, sorveglianza dei dipendenti, trattamento di dati sanitari identificativi, o decisione automatizzata con effetto giuridico: sì, DPIA obbligatoria e preventiva. Vedi la nostra guida DPIA per progetto IA.
Le conversazioni inviate a un LLM sono considerate dati personali?
Sì, non appena contengono un dato che permetta di identificare direttamente o indirettamente una persona. Ciò include un nome, ma anche un contesto sufficientemente preciso (»il direttore commerciale che ha lasciato ACME a marzo 2025«), una combinazione rara di attributi, o riferimenti interni. In pratica, gran parte dei prompt professionali manipola dati personali senza che gli utilizzatori ne abbiano coscienza — da qui l’importanza della policy d’uso e della formazione.
Il DPF (Data Privacy Framework) mette in sicurezza l’uso di un LLM statunitense?
Il DPF rende tecnicamente lecito il trasferimento UE-USA verso un fornitore certificato — ad aprile 2026, OpenAI, Anthropic, Google e Microsoft ne sono membri. Ma il DPF resta contestato giuridicamente (ricorso Latombe davanti alla CGUE) e diverse autorità europee (Garante, BfDI tedesca) raccomandano misure aggiuntive (transfer impact assessment, pseudonimizzazione a monte, cifratura end-to-end) nonostante la sua adozione. Per un uso IA strategico, non dipendere unicamente dal DPF è più prudente.
Cosa impone il Regolamento IA per la formazione delle squadre?
L’articolo 4 del Regolamento IA esige che le organizzazioni si assicurino che le persone che usano un sistema di IA in ambito professionale dispongano di un »livello di alfabetizzazione sufficiente«, adattato al contesto d’uso e al tipo di sistema. Questo obbligo è entrato in vigore a febbraio 2025 per la maggior parte dei sistemi. La traduzione pratica: una policy d’uso, una formazione associata (workshop di almeno 30-60 minuti per utilizzatore), un modulo di aggiornamento annuale.
Cosa fare se una persona chiede la cancellazione dei suoi dati usati da un LLM?
Se il dato è in un sistema SaaS con retention configurabile (ChatGPT Enterprise, Mistral Le Chat Enterprise), la cancellazione è generalmente operabile via API amministratore o supporto del fornitore, nei termini GDPR (un mese). Se il dato ha contribuito all’addestramento di un modello, la cancellazione in senso stretto è tecnicamente impossibile. L’EDPB tollera misure alternative (filtraggio dell’output, retraining periodico) a condizione di dimostrarne l’efficacia documentata.
L’IA generativa può essere usata per il trattamento HR (CV, valutazione)?
Sì, a condizioni stringenti. L’articolo 22 GDPR vieta, salvo eccezioni, le decisioni »basate unicamente su un trattamento automatizzato« che producano effetti giuridici o riguardino significativamente la persona. In Italia si aggiunge lo Statuto dei Lavoratori (articolo 4) e il D.Lgs. 104/2022, che impongono accordo sindacale o autorizzazione INL e informativa decreto trasparenza. In pratica: l’IA può aiutare alla cernita, ma la decisione finale deve restare umana e documentata. DPIA obbligatoria, test di bias documentati, informativa preventiva al candidato, diritto di opposizione, ricorso umano, e accordo con le RSU/RSA. Senza queste tutele, l’uso è manifestamente non conforme.
Fonti: Regolamento (UE) 2016/679 (GDPR); D.Lgs. 196/2003 (Codice Privacy) come modificato dal D.Lgs. 101/2018; Regolamento (UE) 2024/1689 (Regolamento IA), in particolare articoli 4, 9, 35; Legge 300/1970 (Statuto dei Lavoratori); D.Lgs. 104/2022 (decreto trasparenza); Garante per la protezione dei dati personali, provvedimenti ChatGPT 2023 e 2024, Replika 2025, Foodinho 2021-2024, Trento 2024 (gpdp.it); EDPB, opinione 28/2024 sui modelli di IA e GDPR; CGUE, sentenza Schrems II, 16 luglio 2020 (C-311/18); Commissione europea, decisione di adeguatezza Data Privacy Framework, 10 luglio 2023.
Per inquadrare la compliance di un progetto IA nella vostra organizzazione — scelta dell’architettura, modello sovrano o locale, integrazione al SI, documentazione tecnica per la DPIA — vedi la nostra guida DPIA per progetto IA, la nostra guida IA sovrana, la nostra guida policy IA in azienda, o contattateci tramite le nostre soluzioni IA su misura.