ELENCO NEWS
Mercoledì 05 Novembre 2025

NUOVI OBBLIGHI PER L'UTILIZZO DI SISTEMI DI INTELLIGENZA ARTIFICIALE: REG. (UE) 2024/1689 - AI ACT E LEGGE 132/2025

privacy

L’entrata in vigore del Reg. (UE) 2024/1689 (AI Act) e della Legge 132/2025 segna una svolta profonda: ogni organizzazione che utilizza sistemi di intelligenza artificiale assume il ruolo di “deployer”, diventando giuridicamente responsabile dell’uso dell’IA e dei rischi connessi, anche quando si tratta di servizi gratuiti. La conformità normativa non è più una scelta facoltativa, ma un requisito operativo essenziale.
 
L’impiego dell’IA espone infatti a rischi concreti per la protezione dei dati personali, la reputazione aziendale e la responsabilità amministrativa, con la possibilità di incorrere in sanzioni rilevanti.
L’AI Act impone di classificare i sistemi in base al livello di rischio, considerando contesto, finalità e modalità d’uso: anche strumenti apparentemente innocui o gratuiti possono generare impatti significativi in termini di compliance e tutela dei diritti fondamentali.

 

MAPPA IMMEDIATA DEL RISCHIO AI: DOVE SI TROVA LA TUA AZIENDA?
La prima azione obbligatoria è classificare i sistemi che usi in base al rischio. 
Attenzione: il rischio dipende dall'uso reale, non dallo strumento. Uno stesso sistema può cambiare categoria in base a come lo impieghi.

Esempi pratici per capire il livello di rischio

ALTO RISCHIO (Obblighi Pesanti - DPIA e FRIA obbligatorie)

  • Selezione Personale: Un software che legge i CV e fa una classifica dei candidati.
  • Analisi Prestazioni Lavoratori: Un sistema che confronta automaticamente le performance dei tuoi dipendenti in base ai dati di produzione (es. ore lavorate, costo per commessa, pezzi prodotti) per assegnare bonus o segnalare criticità.
  • Cobot in produzione: robot collaborativi che monitorano e valutano la produttività dei lavoratori o prendono decisioni operative automatiche (es. assegnazione di task). Possono avere impatto diretto sui diritti dei lavoratori e richiedono una valutazione del rischio.

RISCHIO LIMITATO (Obbligo di Trasparenza - Aggiornare Registro e Informativa)

  • AI che crea contenuti: generazione di e-mail, report interni, lettere commerciali o contratti.  Obbligo di dichiarare che il contenuto è generato da IA.
  • Chatbot per clienti o dipendenti: assistenti virtuali per FAQ o supporto HR. Obbligo di comunicare chiaramente che l'interlocutore non è umano.
  • Supporto decisionale con IA: strumenti che suggeriscono strategie operative o pianificazioni di lavoro, ma non prendono decisioni vincolanti.

 RISCHIO MINIMO

  • Strumenti di correzione grammaticale, filtri antispam o suggerimenti automatici di testo.
  • Cobot collaborativi senza valutazione diretta delle performance: robot che eseguono solo attività ripetitive e non influenzano diritti o decisioni dei lavoratori.

 Nota: Anche se un sistema è “apparente basso rischio”, l’uso reale può aumentare il livello di rischio (es. un cobot che registra dati dei lavoratori diventa medio o alto rischio).
 
COSA AGGIORNARE OBBLIGATORIAMENTE
L’adozione di questi strumenti richiede un aggiornamento immediato e puntuale della documentazione in materia di protezione dei dati personali (GDPR):
a. Registro dei Trattamenti (GDPR - Art. 30)
Per ciascun sistema di IA occorre documentare: finalità del trattamento, base giuridica, categorie di dati trattati, destinatari e risultati della valutazione del rischio effettuata.
b. DPIA - Valutazione d'Impatto (GDPR - Art. 35).
La DPIA è obbligatoria per ogni trattamento che comporti un rischio elevato per i diritti e le libertà delle persone fisiche. La valutazione è necessaria, in particolare, nei casi di:

  • introduzione di nuove tecnologie o soluzioni innovative (IA, IoT, biometria, ecc.);
  • valutazioni sistematiche o profilazioni su larga scala (clienti o dipendenti);
  • trattamenti su larga scala di categorie particolari di dati (sensibili).

L’uso di un nuovo sistema di intelligenza artificiale o l’adozione di nuove tecnologie rende la DPIA un adempimento imprescindibile, in particolare nei casi che comportano rischi elevati per i diritti e le libertà delle persone.
La DPIA non si limita a identificare o gestire i rischi elevati, ma rappresenta uno strumento di prevenzione e responsabilizzazione (accountability), volto a garantire che il trattamento dei dati personali sia conforme ai principi del GDPR fin dalla fase di progettazione (privacy by design).
La valutazione deve considerare, tra gli altri, i rischi legati a bias discriminatori, opacità decisionale (“black box”), sicurezza e correttezza del trattamento.
c. FRIA – Valutazione d’Impatto sui Diritti Fondamentali (AI Act)
Per i sistemi di IA classificati come ad alto rischio dall’AI Act, è previsto l’obbligo di effettuare una FRIA.
Questa analisi, focalizzata su tutti i diritti fondamentali (non solo la privacy), deve essere integrata nella DPIA, ampliandone la prospettiva e la portata.
d. Informativa Privacy (GDPR – Art. 13–14)
L’informativa agli interessati deve essere aggiornata per includere l’uso di sistemi di IA, le logiche sottostanti e le possibili conseguenze delle decisioni automatizzate.
e. Formazione del personale
L’adeguamento documentale deve essere accompagnato da un percorso formativo per il personale che gestisce o supervisiona i sistemi di IA, con particolare attenzione a:

  • procedure di sicurezza dei dati;
  • riconoscimento e mitigazione dei bias, cioè di quelle distorsioni mentali che portano a decisioni influenzate da pregiudizi o schemi di pensiero soggettivi, non basati su una valutazione oggettiva della realtà;
  • gestione e intervento in caso di decisioni errate o rischiose dell’algoritmo.

PERCHÉ AGIRE ORA: RISCHIO E REPUTAZIONE
L'uso non conforme dell'IA comporta pericoli concreti:

  • Sanzioni severissime: violazioni di AI Act e GDPR possono arrivare fino al 7% del fatturato annuo o a multe di milioni di euro.
  • Danno reputazionale: un’IA non trasparente o discriminatoria erode la fiducia di clienti e dipendenti, con effetti duraturi sull’immagine aziendale.

 Lo Studio Gadler S.r.l. è a disposizione per supportare le aziende nella gestione e supervisione dei sistemi di intelligenza artificiale, offrendo consulenza specialistica e assistenza pratica per garantire piena conformità agli obblighi normativi previsti dall’AI Act e dal GDPR, proteggendo dati, diritti fondamentali e reputazione aziendale.