Salta al contenuto
Nodale
Prenota call
Guide generali 7 aprile 2026 9 min

GDPR e AI: guida pratica per imprenditori (senza linguaggio da avvocati)

Cosa devi davvero sapere sul GDPR quando implementi strumenti AI in azienda. Base legale, DPA, training su dati, obblighi concreti.

Redazione

Il 90% dei contenuti “GDPR e AI” che girano online sono di due tipi: allarmistici (per venderti una consulenza) o evasivi (per non prendersi responsabilità). Qui proviamo a essere concreti, ma ricordando che una consulenza legale personalizzata per il tuo caso specifico resta necessaria prima di deployare sistemi che trattano dati sensibili.

Il GDPR si applica davvero ai sistemi AI?

Sì. Non esiste un’eccezione AI nel GDPR. Se il tuo sistema AI tratta dati personali di soggetti europei (nome, email, telefono, comportamento, e anche solo IP), si applica interamente.

La buona notizia è che l’AI Act europeo (in vigore dal 2024-2026 per varie categorie) non sostituisce il GDPR ma si somma. Per la maggior parte delle implementazioni nelle PMI italiane — chatbot, agenti email, estrazione dati — siete sotto il solo GDPR. L’AI Act impatta principalmente sistemi ad alto rischio (sanità, giustizia, scoring crediti, recruiting automatizzato) e modelli general-purpose di grandi dimensioni. Se usate AI per rispondere a email o gestire un centralino, non siete in quei casi.

Qual è la base legale per trattare dati tramite AI?

Il GDPR chiede sempre una base legale tra quelle previste all’articolo 6. Le più usate per implementazioni AI aziendali:

Consenso (art. 6.1.a)

Il soggetto dà esplicito consenso al trattamento. Esempi: iscrizione newsletter, check-box su form web, accettazione cookie.

Quando ha senso: per comunicazioni marketing, profilazione, uso di dati oltre il necessario per il servizio.

Quando NON basta: se il consenso è condizione per ricevere il servizio (consenso non libero), non vale. Un form “accetta per poter fare il preventivo” non è consenso valido.

Esecuzione contratto (art. 6.1.b)

Il trattamento è necessario per eseguire un contratto già firmato o per misure precontrattuali su richiesta dell’interessato.

Quando ha senso: chatbot che elabora una richiesta di ordine, sistema che invia conferma prenotazione, agente email che risponde a richieste post-vendita di clienti attivi.

Interesse legittimo (art. 6.1.f)

Il trattamento è necessario per un interesse legittimo aziendale non prevalente sui diritti del soggetto.

Quando ha senso: outbound B2B mirato a professionisti su ruoli rilevanti (lead generation), analisi interne per migliorare servizio, prevenzione frodi.

Importante: serve documentazione scritta della valutazione (LIA — Legitimate Interest Assessment). Non è formale ma deve esistere in caso di ispezione del Garante.

Obbligo legale (art. 6.1.c)

Trattamento imposto da una legge (fiscale, contabile, antiriciclaggio, ecc.). Poco rilevante per l’AI in sé, ma può coprire trattamenti collegati (es. conservazione fatture estratte da AI è obbligo legale).

Dove devono girare i modelli AI che uso?

Questa è la domanda che viene fatta più spesso, e la risposta dipende dal tipo di dati:

Dati non sensibili, aggregati, non identificativi

Si possono trattare con modelli cloud di qualsiasi provider (OpenAI, Anthropic, Google, Mistral) a patto che:

  1. Ci sia un Data Processing Agreement (DPA) firmato con il provider. Tutti i provider seri lo offrono gratis: OpenAI, Anthropic, Google Cloud Vertex, Azure hanno DPA standard scaricabili.

  2. Il provider dichiari per iscritto che i dati non vengono usati per addestrare modelli pubblici. Tutti i piani business/enterprise dei principali provider hanno questa clausola; quelli consumer spesso no.

  3. Ci sia base legale valida per il trattamento originario (vedi sopra).

Dati identificativi e significativi (email clienti, CV, cartelle cliniche, documenti legali)

Preferibilmente su infrastruttura europea. Opzioni:

  • Modelli cloud con hosting EU dichiarato: OpenAI (Azure OpenAI in EU), Anthropic (Amazon Bedrock EU, vincolato), Google Vertex AI (EU regions), Mistral (EU native).
  • Modelli self-hosted in EU: Llama, Mistral, Qwen open weights su tuo server EU. Controllo totale, costo più alto, qualità leggermente inferiore ai migliori cloud.

Dati ad altissima sensibilità (dati sanitari, minori, dati giudiziari)

Self-hosted obbligatorio, audit continuo, valutazione impatto (DPIA) formale. Qui consulenza legale specialistica è non negoziabile, non ci si improvvisa.

Cosa deve esserci nell’informativa privacy?

Aggiornare l’informativa privacy è uno degli step che più frequentemente viene dimenticato nell’implementazione AI. Deve contenere chiaramente:

  1. Che usi sistemi AI per determinate elaborazioni (chatbot, analisi email, estrazione dati).
  2. Quali tipi di dati sono elaborati da AI (il chatbot legge la conversazione, l’agente email legge il contenuto delle email, ecc.).
  3. Dove sono ospitati i modelli (EU/USA/misto) e quali provider sono coinvolti.
  4. Se c’è profilazione automatizzata che produce effetti giuridici (es. scoring leads che determina se contattarti o no — GDPR art. 22 chiede azione specifica).
  5. Come esercitare i diritti (accesso, rettifica, cancellazione, opposizione al trattamento automatizzato).

Non serve essere lunghi; serve essere specifici. Un’informativa di 3 paragrafi chiari vale di più di 4 pagine di boilerplate copiate.

Ci sono obblighi aggiuntivi rispetto a senza-AI?

Tre cose specifiche per sistemi AI che molti sottovalutano.

1. Diritto all’intervento umano (art. 22)

Se una decisione basata esclusivamente su AI produce effetti significativi sul soggetto (es. “la tua richiesta è respinta automaticamente”), il soggetto ha diritto a chiedere revisione umana. Concretamente: anche se l’agente email rifiuta una richiesta di reso, se l’utente non è d’accordo deve poter chiedere di parlare con una persona.

Come adempiere: in ogni risposta automatica importante, includere un disclaimer tipo “Questa risposta è generata da un sistema automatizzato. Se non sei d’accordo, rispondi a questa email chiedendo di parlare con un operatore.”

2. Minimizzazione dei dati

Il sistema AI deve ricevere solo i dati strettamente necessari. Non mandare l’intero database clienti a un LLM per ogni query quando puoi mandarne solo uno. Sembra ovvio ma è il 60% degli errori che vediamo.

Come adempiere: chiedere al fornitore AI di documentare cosa viene effettivamente inviato. Testare con log di traffico. Minimizzare all’essenziale per la funzionalità.

3. Valutazione d’impatto (DPIA)

Serve una DPIA formale se:

  • Processi dati su larga scala
  • Usi AI per decisioni automatizzate con effetti significativi
  • Tratti dati sensibili (salute, religione, orientamento, ecc.)
  • Fai monitoraggio sistematico di comportamenti (dipendenti, clienti fisici)

In pratica: se il tuo uso è un chatbot FAQ e un agente email per B2B, DPIA formale di solito non serve. Se stai facendo monitoraggio dipendenti, scoring lead fino a decidere se contattare o no, o analisi di sentiment cliente in automatico, sì.

Checklist GDPR per un progetto AI tipico

Da stampare e appendere in ufficio:

  • Identificata base legale per ogni trattamento (art. 6)
  • DPA firmato con provider AI (Anthropic, OpenAI, etc.) o con noi se siamo noi il provider
  • Provider AI dichiara “no training su tuoi dati”
  • Hosting modelli verificato (EU o fornitore con garanzie SCC)
  • Informativa privacy aggiornata con menzione AI
  • Meccanismo “parlo con una persona” disponibile in ogni touchpoint
  • Minimizzazione dati verificata (cosa viene davvero mandato al modello)
  • DPIA se rientri nei casi previsti
  • Registro trattamenti aggiornato (art. 30)
  • Nominato responsabile protezione dati (DPO) se obbligatorio per le tue dimensioni/settore

Nove punti su dieci si risolvono con 4-6 ore di lavoro di un avvocato GDPR competente. Costo tipico: 1.500-3.500€. Se il tuo provider AI ti dice “non serve”, cambia provider.

Disclaimer

Questo articolo è informativo, non costituisce consulenza legale. Prima di implementare sistemi AI che trattano dati personali significativi, fatti assistere da un avvocato specializzato in protezione dati. Gli errori GDPR costano fino a 20 milioni di euro o 4% del fatturato annuo (il maggiore dei due): un’ora di consulenza preventiva vale più di mille consulenze post-problema.

Se vuoi capire come implementiamo questi presidi nei progetti, prenota una call. Ti mostriamo i DPA che firmiamo con i provider, dove ospitiamo i modelli, come documentiamo la minimizzazione.

Articoli correlati
Vuoi parlare del tuo caso?

In 30 minuti capiamo se possiamo aiutarti.

Vediamo se anche nel tuo contesto si possono ottenere risultati simili a quelli di questo articolo.

Prenota la call

Senza impegno