Governance AI aziendale: perché AI Act e GDPR si applicano insieme

La governance AI aziendale riguarda ogni azienda che usa, o sta valutando di usare, strumenti di intelligenza artificiale nei propri processi. Se rientri in questa categoria, questo articolo è scritto per te.

AI Act e GDPR non sono due normative separate da gestire in momenti diversi. Si applicano insieme, sullo stesso processo, nello stesso momento. Ignorarlo espone la tua organizzazione a rischi normativi, reputazionali e contrattuali, concreti. In questo articolo ti forniamo una guida operativa che ti spiega dove si sovrappongono le due normative, quali sono i nodi pratici più critici e cosa puoi fare subito.

Usare l’AI senza governance: il rischio che molte aziende non vedono

Adottare un sistema AI senza una governance strutturata non è una lacuna tecnica. È un rischio che cresce ogni giorno in cui il sistema è attivo senza controllo.

Considera questa situazione. Il responsabile IT presenta al board un nuovo strumento AI: sintetizza documenti, classifica email, analizza contratti, estrae dati dalle buste paga in pochi secondi. Il fornitore è certificato ISO 27001. Il contratto viene firmato.

Sei mesi dopo, l’azienda riceve una richiesta di accesso agli atti da parte dell’autorità di controllo. Non perché il sistema abbia fallito. Ma perché nessuno aveva risposto a domande molto più semplici:

• Chi tratta quei dati, e a quale titolo?
• Su quale base giuridica avviene il trattamento?
• I dati dei dipendenti raggiungono subfornitori fuori dall’UE?
• Esiste un contratto in regola con il fornitore?
• È stata fatta una valutazione del rischio prima di attivare il sistema?

La domanda giusta da porsi prima di firmare

Per anni, davanti a un nuovo software, la domanda era una sola: funziona?

Oggi però non basta. Le domande che contano sono altre:

• È conforme?
• È governato?
• Siamo in grado di dimostrarlo?

La governance AI aziendale non è la fase finale di un progetto tecnologico. È la condizione che lo rende sostenibile.

Cosa prevede l’AI Act per le aziende che adottano sistemi di AI

L’AI Act è un Regolamento UE direttamente applicabile in tutti gli Stati membri, senza necessità di recepimento nazionale. Si applica ai sistemi di intelligenza artificiale secondo un principio di proporzionalità: più è alto il rischio del sistema, più sono stringenti gli obblighi.

Gli obblighi per chi usa l’AI, non solo per chi la sviluppa

L’AI Act distingue tra chi sviluppa sistemi AI e chi li adotta nei propri processi. Se la tua azienda acquista o integra un sistema AI già esistente, sei un deployer e hai obblighi precisi:

• Verificare il livello di rischio del sistema che stai adottando
• Rispettare le istruzioni d’uso del fornitore
• Garantire una supervisione umana adeguata
• Tenere una documentazione che dimostri l’uso corretto e conforme

Adottare un sistema AI non fa di te un semplice utente finale. Ti assegna responsabilità normative proprie, indipendentemente da chi ha sviluppato il sistema.

Perché il GDPR si applica anche ai sistemi AI

L’equivoco più diffuso tra i manager è questo: pensare che l’AI Act abbia reso il GDPR meno rilevante. Non è così. Le due normative tutelano oggetti diversi e si applicano contemporaneamente, sullo stesso processo.

Nella pratica, l’adozione dell’intelligenza artificiale nelle PMI quasi sempre coinvolge dati personali e quando questo accade, il GDPR si applica pienamente.

Quando scatta l’obbligo GDPR in un sistema AI

Il GDPR si applica ogni volta che un sistema tratta dati personali. Secondo l’art. 4 del GDPR, costituisce trattamento qualsiasi operazione sui dati: raccolta, analisi, combinazione, trasmissione. Un sistema AI che elabora email riferibili a persone fisiche, analizza buste paga o produce valutazioni su dipendenti sta trattando dati personali.

L’AI Act chiede di governare il sistema. Il GDPR chiede di proteggere la persona. La AI Act GDPR compliance matura presidia entrambe le dimensioni in modo integrato, non separato.

Responsabile del trattamento dati AI: chi risponde e di cosa

Quando adotti un sistema AI che tratta dati personali, la prima domanda da risolvere è questa: il tuo fornitore è un responsabile del trattamento ai sensi dell’art. 28 del GDPR, oppure agisce come titolare autonomo?

La risposta non è automatica. Dipende da come il fornitore utilizza concretamente i dati che gli vengono trasmessi. Va verificata caso per caso, contratto per contratto.

Esternalizzare lo strumento non significa esternalizzare la responsabilità

Usare una piattaforma AI di terzi non esonera la tua azienda dagli obblighi previsti dal GDPR. Sei tu il titolare del trattamento. Sei tu che devi verificare, valutare e dimostrare la conformità.

Sul fronte interno, non basta dare accesso al sistema AI ai tuoi collaboratori. Devi stabilire chi può usarlo, per quali attività, con quali limiti. La maggior parte delle esposizioni reali nasce dall’uso non governato degli strumenti all’interno dell’organizzazione non da decisioni aziendali deliberate.

Più il sistema tratta dati, più la tua organizzazione deve essere in grado di governarlo.

Valutazione del rischio AI e DPIA: due strumenti distinti, entrambi necessari

La valutazione del rischio AI non è un adempimento opzionale. È il punto di partenza di qualsiasi adozione consapevole. Il GDPR richiede al titolare di valutare, caso per caso, quanto un trattamento possa incidere sui diritti delle persone: più è alto il rischio, più devono aumentare le misure e la documentazione.

Da questa valutazione dipende l’eventuale attivazione di uno strumento più strutturato: la DPIA.

Cos’è la DPIA e quando è obbligatoria per i sistemi AI

La DPIA (Valutazione d’Impatto sulla Protezione dei Dati, prevista dall’art. 35 del GDPR), è uno strumento preventivo, non burocratico. Descrive il trattamento, ne valuta la necessità e la proporzionalità, identifica i rischi e stabilisce le misure per ridurli.

Non ogni sistema AI richiede automaticamente una DPIA. Ma quasi ogni sistema AI richiede almeno una valutazione preliminare del rischio. La DPIA diventa necessaria, o fortemente opportuna, quando il sistema:

• Effettua profilazione o valutazioni automatizzate sulle persone
• Tratta dati di soggetti vulnerabili: dipendenti, minori, pazienti
• Opera su larga scala o combina dati da fonti diverse
• Produce effetti significativi sulla vita delle persone

Non sapere se ti serve una DPIA è già un segnale che la valutazione del rischio non è stata fatta.

Ricapitolando

La governance AI aziendale non è un tema riservato alle grandi imprese. È una priorità concreta per qualsiasi PMI che oggi usa sistemi di intelligenza artificiale nei propri processi.

AI Act e GDPR si applicano insieme: ignorarlo espone la tua organizzazione a rischi che crescono ogni giorno in cui il sistema è attivo senza presidio. Come abbiamo visto, il problema non è la tecnologia, è l’assenza di controllo. E il controllo si costruisce prima di attivare un sistema, non dopo che qualcosa è andato storto.