L'intelligenza artificiale in azienda non è solo una scelta tecnologica: è una scelta normativa. Il quadro europeo si è arricchito negli ultimi anni di regole specifiche che si sommano a quelle preesistenti, e ignorarle non è un'opzione.
In questa guida vediamo cosa dice davvero la normativa europea sull'AI in azienda, in modo concreto e operativo. Senza giri di parole legali, focalizzato su quello che devi fare prima di lanciare.
Le tre fonti normative chiave
Quando porti AI in azienda devi rispettare contemporaneamente tre regolamenti europei:
1. GDPR (Regolamento UE 2016/679)
In vigore dal 2018, è la base. Si applica a qualsiasi trattamento di dati personali di residenti UE. Per l'AI vale tutto quello che vale per qualsiasi sistema software, con qualche specificità: profilazione automatica, decisioni basate solo su algoritmo, diritto all'esplicazione delle decisioni.
2. AI Act (Regolamento UE 2024)
Specifico per l'intelligenza artificiale. Classifica i sistemi AI per livello di rischio: inaccettabile (vietati), alto rischio (regolamentati pesantemente), rischio limitato (obblighi di trasparenza), minimo (liberi).
Per la maggior parte delle aziende italiane che usano AI per casi d'uso comuni (assistente clienti, analisi dati, automazione documentale), si rientra nel rischio limitato o minimo. Ma serve verificare caso per caso.
3. Direttive di settore
Sanità, finanza, lavoro, pubblica amministrazione: ogni settore ha regole aggiuntive che si sovrappongono. L'AI in un sistema clinico ha vincoli diversi dell'AI in un sistema di marketing.
I 6 punti operativi che riguardano tutti
A prescindere dal settore, sei aspetti vanno gestiti per qualsiasi progetto AI in azienda:
1. Base giuridica del trattamento
Per processare dati personali con AI serve una base giuridica chiara: consenso esplicito, esecuzione contrattuale, obbligo legale, interesse legittimo. Non si processa "perché serve": serve la motivazione formale.
2. Minimizzazione dei dati
Si passa al modello AI solo quello che serve per l'output desiderato. Non "tutto quello che potrebbe servire". Più dati invii, più rischio gestisci.
3. Trasparenza con gli utenti
L'utente deve sapere che sta interagendo con un sistema AI o che i suoi dati vengono processati con AI. La trasparenza è un obbligo, non una cortesia.
4. Diritto di intervento umano
Per decisioni significative (es. affidare un prestito, valutare un curriculum), l'utente ha diritto a chiedere intervento umano e a contestare la decisione automatica. Va previsto da subito nel design del sistema.
5. Trasferimento extra-UE
Se il provider AI ha server fuori dall'Europa, serve uno strumento di trasferimento valido: clausole contrattuali standard, decisioni di adeguatezza, codici di condotta. Senza, è violazione.
6. Documentazione
Registro trattamenti aggiornato, valutazione di impatto (DPIA) per sistemi a rischio, accordo di trattamento con il provider AI, informativa per l'utente. La documentazione è la prima cosa che il Garante chiede in caso di controllo.
Tabella sintetica per livello di rischio
| Livello AI Act | Esempi tipici | Cosa devi fare |
|---|---|---|
| Inaccettabile | Social scoring, manipolazione comportamentale | Non puoi farlo (vietato) |
| Alto rischio | Selezione personale, sistemi clinici, infrastrutture critiche | Conformità tecnica + audit + registrazione |
| Limitato | Chatbot pubblici, deepfake, sistemi di raccomandazione | Trasparenza + informativa specifica |
| Minimo | Filtri spam, assistenti interni, ottimizzazione processi | Conformità GDPR generale |
La maggior parte dei progetti AI aziendali italiani rientra in "limitato" o "minimo". Ma classificarli correttamente è il primo passo, e va fatto con consapevolezza.
Errori normativi più frequenti che vediamo
Tre situazioni che rincontriamo spesso negli audit:
1. Provider scelto senza valutare il trasferimento dati
L'azienda sceglie un provider AI per qualità tecnica, ma non verifica dove vivono fisicamente i dati. Risultato: trasferimento extra-UE non documentato, violazione GDPR latente.
2. Nessuna informativa specifica per l'AI
L'informativa privacy generica non basta. Quando un sistema AI processa dati personali, l'utente deve essere informato in modo specifico: quale sistema, per quale finalità, quali dati, dove vanno.
3. Mancanza di valutazione di impatto
Per progetti che processano dati su larga scala, sensibili o particolari, la DPIA non è opzionale: è obbligatoria. Eppure viene saltata regolarmente "per non rallentare il progetto". Il Garante non condivide questa fretta.
Cosa serve davvero in pratica
Prima di lanciare un progetto AI in azienda:
- Classificazione del rischio (AI Act)
- Valutazione di impatto privacy (DPIA) se necessaria
- Selezione provider con verifica trasferimento dati
- Aggiornamento registro trattamenti
- Aggiornamento informativa privacy + comunicazione utenti
- Definizione meccanismi di intervento umano
- Test del workflow di esercizio del diritto all'oblio
- Documentazione tecnica del sistema
Sembra molto, ma per progetti standard si fa in 1-3 settimane di lavoro coordinato tra tecnico e legale.
Stai per implementare AI in azienda? Verifica la conformità normativa
Eseguiamo un audit GDPR + AI Act dedicato al tuo progetto specifico, con team che combina competenza tecnica e legale. Report di conformità + piano di intervento.
Richiedi un audit privacy AIConclusione
Il quadro normativo europeo sull'AI è più strutturato di quanto si percepisca. Le sanzioni esistono, vengono comminate, e si sommano a quelle GDPR già pesanti. Ma la conformità è raggiungibile: non con interventi miracolosi, ma con metodo applicato dall'inizio del progetto.
La conformità progettata fin dall'inizio costa una frazione di quella imposta dopo un controllo. Investire nella verifica preventiva è la decisione più razionale per qualsiasi azienda che porti AI nei propri processi.
Domande frequenti
Servizi correlati
I servizi di cui parla questo articolo
Privacy, GDPR e WCAG
Audit privacy, adeguamento GDPR, cookie banner conformi 2025, DPIA, registro trattamenti e accessibilità WCAG 2.1 AA. Consulenza + implementazione tecnica.
Scopri il servizio →AI Completa end-to-end
Completiamo end-to-end il tuo progetto AI: refactor codice ChatGPT/Claude/Cursor, sicurezza, database, hosting, CI/CD, deploy e supporto continuativo.
Scopri il servizio →
