Skip to content
ServiziSoluzioniBlogRisorseChi siamoContatti
ENFRIT
Parla con noi
Torna al blog
GDPRRegolamento sull'IAconformitàpmieuropa

GDPR e Regolamento sull'IA: checklist di conformità per le PMI europee

di Karven9 min di lettura
Disponibile anche in: English, Français
GDPR e Regolamento sull'IA: checklist di conformità per le PMI europee

Le aziende europee navigano il GDPR dal 2018. La maggior parte ha costruito un processo: un DPO, un insieme di policy, forse una formazione annuale. Quello che molte non hanno ancora fatto è riesaminare queste fondamenta alla luce dell'IA. Il Regolamento sull'IA cambia il quadro in modo significativo, e il 2026 è l'anno in cui la pressione della conformità diventa concreta. Se siete un direttore operativo o un CEO di un'azienda tra i 50 e i 500 dipendenti che implementa strumenti di IA, o anche solo li sta valutando, questo articolo è un riferimento operativo per capire cosa dovete verificare.

1. Perché il 2026 è l'anno decisivo

Il Regolamento sull'IA è entrato in vigore il 1° agosto 2024, ma i suoi obblighi si applicano per fasi. Il primo gruppo, ovvero i divieti sui sistemi di IA a rischio inaccettabile, è diventato applicabile il 2 febbraio 2025. Le sanzioni per tali violazioni sono già operative: fino a 35 milioni di euro o il 7% del fatturato annuo globale, a seconda di quale importo sia più elevato. Se la vostra azienda utilizza l'IA per il punteggio sociale, l'identificazione biometrica in tempo reale in spazi pubblici o tecniche manipolative subliminali, siete già nel campo di applicazione.

La prossima scadenza rilevante è il 2 agosto 2026, quando entra in vigore il quadro di conformità completo per i sistemi di IA ad alto rischio. Questo copre un'ampia gamma di applicazioni comuni nelle PMI: selezione del personale assistita dall'IA, valutazione delle performance dei dipendenti, scoring creditizio e assicurativo, e accesso a servizi essenziali. Le aziende che non avranno completato le proprie basi di conformità entro quella data dovranno rispondere alle autorità nazionali competenti di nuova nomina, che gli Stati membri erano tenuti a designare entro agosto 2025.

Parallelamente al Regolamento, l'applicazione del GDPR alle attività di trattamento connesse all'IA ha subito un'accelerazione. Nel settembre 2024, l'Autorità olandese per la protezione dei dati ha inflitto a Clearview AI una sanzione di 30,5 milioni di euro per il trattamento di dati biometrici senza una base giuridica legittima. La CNIL francese aveva comminato una sanzione di 20 milioni di euro alla stessa società due anni prima. Nel dicembre 2024, il Comitato europeo per la protezione dei dati (EDPB) ha pubblicato il Parere 28/2024, chiarendo che i modelli di IA addestrati su dati personali devono, nella maggior parte dei casi, essere considerati soggetti al GDPR. Un'affermazione con implicazioni dirette per qualsiasi azienda che utilizzi o sviluppi sistemi di IA che trattano dati di dipendenti, clienti o potenziali clienti.

La convergenza di questi due regimi, un'applicazione del GDPR sempre più matura e una nuova normativa specifica per l'IA con sanzioni concrete, fa del 2026 l'anno in cui le PMI devono passare dalla consapevolezza all'azione.

2. Due quadri normativi, un solo problema

È utile chiarire cosa copre ciascuna normativa, perché vengono spesso confuse.

Il GDPR disciplina il trattamento dei dati personali. Si applica ogni volta che il vostro sistema di IA entra in contatto con dati relativi a persone fisiche identificate o identificabili. Questo vale per la maggior parte dei casi d'uso operativi dell'IA: analisi della clientela, pianificazione delle risorse umane, chatbot che conservano la cronologia delle conversazioni, rilevamento delle frodi, analisi del sentiment sui feedback dei clienti. Il GDPR richiede una base giuridica per il trattamento, trasparenza nei confronti degli interessati, limitazione delle finalità e misure di sicurezza adeguate. Quando l'IA è coinvolta, aggiunge obblighi specifici in materia di decisioni automatizzate (articolo 22) e Valutazioni d'Impatto sulla Protezione dei Dati (articolo 35).

Il Regolamento sull'IA disciplina i sistemi di IA in base al livello di rischio, indipendentemente dal fatto che vengano trattati dati personali. La sua preoccupazione principale è il potenziale danno che un sistema di IA può causare a persone fisiche, a diritti fondamentali e alla sicurezza. Il Regolamento impone requisiti sia ai fornitori (chi sviluppa o immette sul mercato sistemi di IA) sia agli deployer (chi utilizza sistemi di IA in un contesto professionale). Se la vostra azienda acquista uno strumento di IA e lo implementa internamente, per le risorse umane, la finanza o il servizio clienti, siete un deployer e avete degli obblighi.

La sovrapposizione è sostanziale. La maggior parte delle implementazioni di IA nelle PMI coinvolge dati personali e comporta almeno un certo livello di rischio ai sensi del Regolamento. Uno strumento di screening per le candidature, ad esempio, è ad alto rischio ai sensi del Regolamento (Annex III, categoria occupazione) e tratta categorie particolari o dati personali sensibili ai sensi del GDPR. Non è possibile affrontare l'uno senza l'altro.

Le linee guida della CNIL del 2025 sull'IA e sulla conformità al GDPR, che si basano sul Parere EDPB 28/2024, chiariscono che quando si implementa l'IA che tratta dati personali, le aziende devono condurre una DPIA, definire una base giuridica prima dell'addestramento o dell'implementazione e incorporare la minimizzazione dei dati nel progetto. Non si tratta di nuovi obblighi, ma l'IA amplifica le conseguenze di un approccio errato.

3. I livelli di rischio del Regolamento: una guida in parole semplici

Il Regolamento classifica i sistemi di IA in quattro livelli di rischio. Capire quale livello si applica al vostro caso d'uso è il primo passo pratico in qualsiasi progetto di conformità.

Rischio inaccettabile: vietato. Si tratta di applicazioni di IA che l'UE ha vietato del tutto perché il potenziale danno è considerato incompatibile con i diritti fondamentali. Includono sistemi di IA che manipolano le persone in modo subliminale, sfruttano vulnerabilità legate all'età o alla disabilità, eseguono l'identificazione biometrica remota in tempo reale in spazi pubblici (con rare eccezioni) e il punteggio sociale da parte di autorità pubbliche. Per la maggior parte delle PMI, nessuno di questi scenari è rilevante, ma vale la pena verificare che i vostri strumenti di IA non includano queste funzionalità nel loro prodotto più ampio.

Alto rischio: obblighi di conformità completi. È qui che si concentra la maggior parte della sostanza del Regolamento, ed è qui che le PMI hanno più probabilità di rientrare nel campo di applicazione. I sistemi ad alto rischio includono l'IA utilizzata in:

  • Selezione del personale e risorse umane: strumenti di screening dei CV, sistemi di classificazione dei candidati, monitoraggio delle performance, raccomandazioni di promozione
  • Credito e assicurazioni: valutazioni del merito creditizio, scoring del rischio, sottoscrizione assicurativa
  • Istruzione: valutazione degli esami, assessment degli studenti, previsione dell'abbandono scolastico
  • Accesso a servizi essenziali: screening dell'idoneità per prestazioni sociali, servizi pubblici

Se la vostra azienda utilizza uno strumento di IA per uno qualsiasi di questi scopi, i requisiti completi del Regolamento si applicano a partire dal 2 agosto 2026: valutazioni di conformità, documentazione tecnica, meccanismi di supervisione umana, registrazione delle attività e iscrizione nel database UE.

Rischio limitato: solo obblighi di trasparenza. I sistemi di IA che interagiscono con persone fisiche, come chatbot, contenuti generati dall'IA e strumenti deepfake, devono dichiarare di essere IA. Se avete implementato un chatbot per i clienti, dovete assicurarvi che si identifichi come IA.

Rischio minimo: nessun obbligo specifico. La grande maggioranza degli strumenti di IA rientra in questa categoria: filtri antispam, motori di raccomandazione, automazione di base. Non sono richiesti passaggi specifici di conformità al Regolamento, anche se il GDPR si applica comunque se vengono trattati dati personali.

4. Checklist di audit pratica

Esaminate ogni punto in modo metodico. Non tutti si applicheranno alla vostra azienda, ma ciascuno dovrebbe essere valutato consapevolmente anziché ignorato.

  1. Elencate ogni sistema di IA in uso. Includete gli strumenti di terze parti integrati nei software che già utilizzate: funzionalità di IA all'interno del vostro CRM, della piattaforma HR, dello strumento email o dello stack di analytics. Non si può gestire ciò che non si conosce. Questa fase di inventario richiede tipicamente da due a quattro giorni con gli stakeholder giusti presenti.
  2. Classificate ogni sistema per livello di rischio ai sensi del Regolamento. Per ogni strumento nell'elenco, chiedetevi: compare nell'Annex III del Regolamento? Le categorie sono: occupazione, credito, istruzione, servizi essenziali, biometria, infrastrutture critiche, forze dell'ordine, migrazione e giustizia. In caso affermativo, trattarlo come ad alto rischio fino a prova contraria.
  3. Verificate il vostro ruolo: fornitore o deployer? La maggior parte delle PMI è deployer, ovvero utilizza strumenti di IA sviluppati da altri. I vostri obblighi come deployer differiscono da quelli di un fornitore, ma per i sistemi ad alto rischio rimangono sostanziali. Conoscete la distinzione prima di iniziare a redigere le policy.
  4. Verificate l'esistenza di una base giuridica ai sensi del GDPR per ogni attività di trattamento con IA. L'interesse legittimo richiede un test di bilanciamento. Il consenso deve essere specifico, informato e revocabile. "È previsto dal contratto" non è sempre sufficiente. Dove la base è poco chiara, trattarla come una lacuna.
  5. Aggiornate il Registro delle Attività di Trattamento. Il vostro RoPA dovrebbe riflettere il trattamento specifico dell'IA: categorie di dati coinvolti, periodi di conservazione, responsabili del trattamento terzi e se vengono prese decisioni automatizzate. La maggior parte dei RoPA redatti prima del 2024 non cattura adeguatamente questi aspetti.
  6. Conducete una DPIA per il trattamento ad alto rischio o sensibile. Qualsiasi trattamento con IA che comporti probabilmente un alto rischio per le persone fisiche richiede una Valutazione d'Impatto sulla Protezione dei Dati. Per i sistemi di IA ad alto rischio ai sensi del Regolamento, la DPIA è effettivamente obbligatoria indipendentemente dalla scala.
  7. Verificate i contratti con i fornitori. Per ogni fornitore di IA che tratta dati personali per vostro conto, confermate che sia in vigore un DPA e analizzate la catena dei sub-responsabili. Per i sistemi di IA ad alto rischio, richiedete la documentazione tecnica e le prove della valutazione di conformità. Se un fornitore non è in grado di fornirle, non è conforme come provider: il che rappresenta un rischio per voi come deployer.
  8. Verificate gli obblighi di trasparenza verso i dipendenti. Se l'IA viene utilizzata in decisioni che riguardano i dipendenti, come la valutazione delle performance, la pianificazione dei turni o il monitoraggio, le vostre informative sulla privacy ai sensi degli articoli 13/14 devono indicarlo esplicitamente. Diverse giurisdizioni UE richiedono inoltre la consultazione dei consigli di rappresentanza dei lavoratori prima di introdurre strumenti di IA che incidano sulle condizioni di lavoro.
  9. Confermate la capacità di supervisione umana. Per ogni sistema di IA ad alto rischio, verificate che qualcuno nella vostra organizzazione possa mettere in pausa, ignorare o interrompere le uscite del sistema. Se il fornitore non offre questa capacità, si tratta di una lacuna di conformità.
  10. Documentate le decisioni di classificazione. Se avete stabilito che un sistema non è ad alto rischio, scrivete il perché. I regolatori esamineranno questo ragionamento se dovesse sorgere un'azione di enforcement. Un memorandum di una pagina con l'analisi è molto meglio di niente.

5. Calendario di implementazione: a ritroso dal 2 agosto 2026

Cinque mesi non sono molti se si parte da zero. Ecco come appare un calendario realistico, lavorando a ritroso dalla scadenza.

Da oggi ad aprile 2026: Completate l'inventario dell'IA e la classificazione dei rischi. Conducete la due diligence sui fornitori per qualsiasi sistema che riguardi le categorie dell'Annex III. Identificate le lacune nella vostra documentazione GDPR: RoPA obsoleti, DPA mancanti, informative sulla privacy antecedenti alle vostre implementazioni di IA. Commissionate eventuali DPIA richieste. Questa fase è il lavoro fondamentale. Tutto il resto dipende da essa.

Maggio 2026: Per i sistemi ad alto rischio, iniziate a implementare o a confermare i meccanismi di supervisione umana. Collaborate con i fornitori per ottenere o verificare le prove della valutazione di conformità e la documentazione tecnica. Se un fornitore non riesce a fornire quanto richiesto dal Regolamento ai provider, avrete circa 90 giorni per trovare un'alternativa o documentare un piano di rimedio.

Giugno 2026: Formate il personale responsabile dell'operatività dei sistemi di IA ad alto rischio. L'articolo 4 del Regolamento richiede che i deployer adottino misure ragionevoli per garantire l'alfabetizzazione in materia di IA. Documentate chi ha ricevuto la formazione, su quali sistemi e quando. Questa documentazione è ciò che mostrerete ai regolatori in caso di richiesta.

Luglio 2026: Completate il vostro registro dell'IA, ovvero il registro centrale di tutti i sistemi di IA in uso, la loro classificazione, le vostre responsabilità come deployer e lo stato di conformità. Confermate che la registrazione delle attività sia abilitata sui sistemi ad alto rischio come richiesto. Verificate che eventuali registrazioni nel database UE richieste siano in corso con i vostri fornitori.

2 agosto 2026: Gli obblighi di conformità completi per i sistemi di IA ad alto rischio sono applicabili. Le aziende con programmi di conformità documentati e proporzionati si trovano in una posizione fondamentalmente diversa rispetto a quelle che non hanno fatto nulla. Non serve la perfezione. Serve la prova di un impegno genuino.

6. Come può aiutare Karven

Karven lavora con le PMI europee sulla strategia e l'implementazione dell'IA. In pratica, questo significa aiutarvi a condurre l'inventario dell'IA e la classificazione dei rischi, identificare quali implementazioni attuali o pianificate richiedono effettivamente un'azione, e costruire le pratiche documentali che rendono gestibile un confronto con i regolatori. Significa anche aiutarvi a valutare i fornitori prima di firmare, ponendo le domande giuste su valutazioni di conformità, DPA e capacità di logging, anziché scoprire le lacune sei mesi dopo l'avvio di un progetto.

Parlate con noi su karven.ai/contact se volete un secondo parere sulla vostra situazione attuale o un aiuto per definire il perimetro del progetto prima che il tempo stringa.

Le aziende che affronteranno agosto 2026 con maggiore serenità non sono quelle con i budget legali più grandi. Sono quelle che hanno avviato l'inventario a marzo.

Fonti citate

  • Regolamento sull'IA — Testo ufficiale: Regolamento (UE) 2024/1689, pubblicato nella Gazzetta ufficiale dell'Unione europea, 12 luglio 2024
  • Calendario di implementazione del Regolamento: artificialintelligenceact.eu/implementation-timeline/ (Future of Life Institute)
  • Annex III del Regolamento (Sistemi ad alto rischio): artificialintelligenceact.eu/annex/3/
  • Parere EDPB 28/2024 sugli aspetti della protezione dei dati nei modelli di IA: edpb.europa.eu, 18 dicembre 2024
  • Linee guida CNIL sull'IA e il GDPR: cnil.fr/en/ai-cnil-finalises-its-recommendations-development-artificial-intelligence-systems (2025)
  • Sanzione dell'Autorità olandese per la protezione dei dati a Clearview AI: 30,5 milioni di euro, settembre 2024
  • Sanzione della CNIL a Clearview AI: 20 milioni di euro, 2022
  • Struttura delle sanzioni del Regolamento: articoli 99-101, Regolamento (UE) 2024/1689

Articoli correlati

Come scegliere un agente IA per la tua azienda (senza sprecare sei mesi)
agenti-iaimplementazioneframework-decisionalepmieuropa

Come scegliere un agente IA per la tua azienda (senza sprecare sei mesi)

La maggior parte delle aziende sceglie l'agente IA sbagliato e poi passa mesi a ricostruire tutto. Il framework che le PMI europee usano per scegliere un agente che funziona davvero.

6 min di lettura
Scadenza agosto 2026 del Regolamento sull'IA: cosa devono fare ora le PMI
Regolamento sull'IAscadenza conformitàagosto 2026pmiregolamentazione

Scadenza agosto 2026 del Regolamento sull'IA: cosa devono fare ora le PMI

La scadenza del 2 agosto 2026 del Regolamento sull'IA per i sistemi ad alto rischio si avvicina. Ecco cosa devono preparare le aziende di medie dimensioni.

6 min di lettura

Pronti a fare il prossimo passo?

Descrivete la vostra situazione e vi diremo onestamente cosa l'IA può fare per voi.

Contattaci