AI e GDPR: cosa deve sapere un'azienda prima di usare l'AI

Ogni volta che un'azienda usa l'AI per rispondere alle email dei clienti, analizzare documenti, automatizzare il CRM o profilare utenti, sta quasi certamente trattando dati personali. E dove ci sono dati personali, si applica il GDPR — senza eccezioni legate alla tecnologia usata.

Il problema non è l'AI in sé. Il problema è che molte PMI adottano strumenti AI senza chiedersi: su quale base stiamo trattando questi dati? Abbiamo un contratto con il fornitore? L'informativa è aggiornata? Sono domande che il GDPR pone esplicitamente — e ignorarle espone a rischi concreti.

Questo articolo non è consulenza legale. È un orientamento pratico sugli obblighi principali che il GDPR impone quando si usa l'AI in azienda, con gli articoli specifici a cui fare riferimento. Per la valutazione del tuo caso specifico, consulta sempre un avvocato o un DPO qualificato.

Se vuoi approfondire anche come gestire i dati aziendali nei tool AI quotidiani, leggi AI e privacy aziendale. Per gli aspetti tecnici di sicurezza, AI e sicurezza dei dati.

Quando il GDPR si applica all'uso dell'AI in azienda

Il GDPR si applica ogni volta che si trattano dati personali di persone fisiche nell'UE — indipendentemente da chi o cosa effettua il trattamento. L'AI non è un'eccezione: se uno strumento AI elabora nomi, email, dati comportamentali, posizioni geografiche o qualsiasi altra informazione che identifica o rende identificabile una persona, si è nel perimetro del GDPR.

Nella pratica aziendale, quasi ogni applicazione di AI coinvolge dati personali:

• Usare l'AI per rispondere alle email dei clienti: i messaggi contengono nomi, richieste, dati di acquisto.
• Analizzare documenti con l'AI: contratti, fatture e comunicazioni spesso includono dati personali di dipendenti o fornitori.
• Integrare l'AI nel CRM: i dati di contatto e le interazioni commerciali sono dati personali per definizione.
• Automatizzare il customer care: le conversazioni con i clienti contengono quasi sempre informazioni identificative.

Anche l'uso interno non è neutro: usare un modello AI per analizzare le performance dei dipendenti, riassumere riunioni o gestire le comunicazioni HR tratta dati personali di lavoratori, con obblighi specifici aggiuntivi.

La soglia rilevante non è "stiamo usando l'AI", ma "stiamo trattando dati personali con l'AI" — e la risposta, nella stragrande maggioranza dei casi aziendali, è sì. Per un'introduzione più ampia all'AI in azienda, vedi AI per aziende: guida completa per partire.

La base giuridica: su quale fondamento si trattano i dati con l'AI (Art. 6 GDPR)

L'Art. 6 del GDPR stabilisce che ogni trattamento di dati personali deve poggiare su una base giuridica. Non si possono trattare dati "perché è utile" o "perché lo fa l'AI": serve un fondamento specifico tra quelli elencati dal Regolamento.

Le basi giuridiche più rilevanti per l'uso dell'AI in azienda sono tre:

Consenso (Art. 6.1.a): l'interessato ha prestato un consenso libero, specifico, informato e inequivocabile. Il consenso funziona bene quando si parla di marketing o profilazione avanzata di clienti. Non è adatto a trattamenti necessari per erogare un servizio — se il consenso è condizione per ottenere il servizio, non è libero.

Esecuzione di un contratto (Art. 6.1.b): il trattamento è necessario per eseguire un contratto con l'interessato o per adottare misure precontrattuali su sua richiesta. Se si usa l'AI per gestire ordini, fatture o comunicazioni contrattuali con clienti, questa base regge spesso bene.

Legittimo interesse (Art. 6.1.f): il trattamento è necessario per il perseguimento di un legittimo interesse del titolare o di terzi, purché non prevalgano gli interessi o i diritti fondamentali dell'interessato. È una base flessibile — ma richiede una valutazione (il cosiddetto balancing test) che documenti perché l'interesse del titolare prevale. Non va usata come scappatoia generica.

Come scegliere la base giuridica giusta: non esiste una risposta valida per tutti i trattamenti. Lo stesso strumento AI può avere basi diverse per usi diversi: analizzare le email dei clienti per rispondere alle richieste (esecuzione contratto) è diverso dall'analizzarle per costruire profili comportamentali (legittimo interesse, con balancing test, o consenso). Consulta un esperto legale per mappare ogni trattamento alla base giuridica corretta.

Il DPA con i fornitori AI: cos'è e quando serve (Art. 28 GDPR)

Quando si affida a un fornitore esterno il trattamento di dati personali, il GDPR (Art. 28) impone la stipula di un Data Processing Agreement (DPA) — in italiano, Accordo sul Trattamento dei Dati. Il DPA non è un optional: è un contratto obbligatorio che definisce cosa può fare il fornitore con i dati, per quanto tempo, con quali misure di sicurezza e in quali paesi.

Ogni fornitore AI che accede a dati personali è un responsabile del trattamento e richiede un DPA. Questo include piattaforme come OpenAI (ChatGPT Enterprise, API), Microsoft Copilot, Google Gemini for Workspace, ma anche strumenti verticali che usano modelli AI di terzi.

Cosa verificare nel DPA:

• Il fornitore può usare i tuoi dati per addestrare i propri modelli? (In caso affermativo: è accettabile? Richiede opt-out?)
• I dati vengono trasferiti fuori dall'UE? Se sì, su quale base (clausole contrattuali standard SCC, adequacy decision)?
• Quali misure di sicurezza sono garantite?
• Il fornitore notifica le violazioni entro i termini GDPR?

Senza DPA firmato, usare strumenti AI su dati personali di clienti o dipendenti costituisce una violazione GDPR indipendentemente dalla qualità tecnica dello strumento. Per capire come gestire i dati nelle sessioni AI quotidiane, AI e privacy aziendale copre i comportamenti operativi.

L'informativa privacy: va aggiornata quando si usa l'AI? (Art. 13-14 GDPR)

Sì. L'Art. 13 del GDPR impone di informare gli interessati al momento della raccolta dei dati su come verranno trattati — inclusi gli strumenti e le categorie di destinatari. L'Art. 14 estende l'obbligo ai dati raccolti indirettamente.

Se si introduce l'AI nel flusso di trattamento dei dati, l'informativa deve riflettere questo cambiamento. In particolare:

Cosa aggiornare nell'informativa:

• Le finalità del trattamento: se si usa l'AI per analizzare le richieste dei clienti, ottimizzare le comunicazioni o profilare i comportamenti, va indicato.
• Le categorie di destinatari: i fornitori AI sono destinatari dei dati e vanno indicati (anche in forma generica di categoria, con la possibilità di fornire dettagli su richiesta).
• I trasferimenti extra-UE: se il fornitore AI ha server o sub-processor fuori dall'UE, va indicato il meccanismo di garanzia (SCC, adequacy decision).
• La logica dei processi automatizzati: se si usano sistemi AI che profilano o prendono decisioni automatizzate, va descritto il funzionamento di massima.

Quando aggiornare: prima di attivare il nuovo flusso AI, non dopo. L'informativa deve essere accurata al momento del trattamento, non a posteriori.

Un errore frequente nelle PMI è considerare l'informativa un documento statico da scrivere una volta. In realtà va mantenuta aggiornata ogni volta che cambiano le finalità, gli strumenti o i destinatari — e l'introduzione dell'AI di solito implica tutti e tre. Per una panoramica su AI per PMI, inclusi gli aspetti pratici di adozione, è un buon punto di partenza.

I diritti degli interessati e l'AI (Art. 15-22 GDPR)

Il GDPR attribuisce agli interessati — clienti, dipendenti, fornitori, visitatori — una serie di diritti che non vengono meno quando i dati vengono trattati con l'AI. Anzi, in alcuni casi l'AI li rende più rilevanti.

Diritto di accesso (Art. 15): l'interessato può chiedere quali dati personali vengono trattati, per quale finalità, per quanto tempo, a chi vengono comunicati. Se si usa l'AI per analizzare dati di clienti, va essere in grado di rispondere a questa richiesta in modo completo.

Diritto di rettifica (Art. 16): i dati inesatti devono essere corretti. Se l'AI ha elaborato dati errati e prodotto output basati su di essi (es. una classificazione sbagliata di un cliente), la rettifica dei dati di base non risolve automaticamente il problema degli output già prodotti.

Diritto alla cancellazione (Art. 17): l'interessato può chiedere la cancellazione dei propri dati in determinati casi. Se i dati sono stati usati per addestrare un modello interno o per alimentare un sistema di profilazione, la cancellazione tecnica può essere complessa. Vale la pena verificare con il fornitore AI come gestisce le richieste di cancellazione.

Diritto alla portabilità (Art. 20): l'interessato può richiedere i propri dati in formato strutturato e leggibile. Questo diritto si applica ai dati forniti attivamente dall'interessato, trattati su base di consenso o contratto.

Diritto di opposizione (Art. 21): l'interessato può opporsi al trattamento basato su legittimo interesse, inclusa la profilazione. Se si usa l'AI per costruire profili comportamentali su base di legittimo interesse, va garantito un meccanismo concreto per esercitare questo diritto.

La gestione di questi diritti richiede processi operativi — non basta saperli: serve un flusso interno per ricevere, verificare e rispondere alle richieste entro i termini previsti (in genere un mese, prorogabile di altri due mesi in casi complessi).

Le decisioni automatizzate (Art. 22 GDPR): quando scatta l'obbligo

L'Art. 22 del GDPR è probabilmente la norma più specifica sull'AI, anche se non la nomina esplicitamente. Vieta — salvo eccezioni — che l'interessato sia soggetto a decisioni basate unicamente su trattamento automatizzato che producano effetti giuridici o incidano significativamente su di lui.

Quando scatta l'Art. 22:

• Sistemi di scoring del credito completamente automatizzati
• Selezione automatizzata di candidati (HR) senza revisione umana
• Profilazione automatica che porta alla negazione di un servizio
• Pricing dinamico personalizzato con effetti significativi sul contratto

Cosa non rientra nell'Art. 22:

• Decisioni che hanno un intervento umano significativo (non solo formale)
• Raccomandazioni AI che un operatore umano valuta prima di agire
• Analisi aggregate senza effetti giuridici sulla singola persona

Le tre eccezioni all'Art. 22 (quando la decisione automatizzata è ammessa):

1. È necessaria per l'esecuzione di un contratto
2. È autorizzata dalla legge
3. Si basa sul consenso esplicito dell'interessato

In tutti e tre i casi, vanno comunque garantiti: l'informazione all'interessato sull'esistenza della decisione automatizzata, il diritto di ottenere l'intervento di una persona fisica, il diritto di contestare la decisione.

Per le PMI, l'Art. 22 scatta raramente in forma pura — ma vale la pena verificare se si usano sistemi di scoring, segmentazione automatica o filtri AI con effetti diretti su clienti o dipendenti. Se si usa l'AI anche nel customer care aziendale, verificare che le risposte automatizzate non costituiscano decisioni unilaterali su richieste o reclami.

Valutazione d'impatto (DPIA): quando è obbligatoria (Art. 35 GDPR)

L'Art. 35 del GDPR impone di condurre una Data Protection Impact Assessment (DPIA) — una valutazione preventiva dei rischi per la privacy — prima di avviare trattamenti ad alto rischio.

L'uso dell'AI può rientrare nell'obbligo di DPIA nei seguenti casi:

• Profilazione sistematica su larga scala: sistemi AI che costruiscono profili comportamentali di clienti o utenti in modo esteso.
• Trattamento di categorie particolari di dati (Art. 9): dati sulla salute, l'origine etnica, le opinioni politiche, la vita sessuale — anche se trattati come input di un sistema AI.
• Monitoraggio sistematico: sistemi AI che tracciano il comportamento di dipendenti, visitatori o utenti in modo continuo.
• Decisioni automatizzate con effetti significativi (in combinazione con l'Art. 22).

Il Garante Privacy italiano ha pubblicato linee guida sui casi in cui la DPIA è obbligatoria. Per i trattamenti ad alto rischio, la DPIA non è facoltativa: va condotta prima dell'avvio del trattamento, documentata e — se il rischio residuo rimane elevato — il Garante va consultato preventivamente (Art. 36).

• Ho identificato quali dati personali vengono trattati dallo strumento AI che sto usando?
• Ho definito la base giuridica per ogni finalità di trattamento (Art. 6)?
• Ho firmato un DPA con ogni fornitore AI che accede a dati personali (Art. 28)?
• Il DPA include clausole su trasferimenti extra-UE (SCC o adequacy decision)?
• Ho verificato se il fornitore AI usa i dati per addestrare i propri modelli e, se sì, come disattivarlo?
• Ho aggiornato l'informativa privacy per includere le nuove finalità, i fornitori AI e gli eventuali trasferimenti (Art. 13-14)?
• Ho un processo operativo per gestire le richieste di accesso, rettifica, cancellazione e opposizione (Art. 15-22)?
• Ho verificato se i sistemi AI producono decisioni automatizzate con effetti significativi sulla persona (Art. 22)?
• Ho valutato se è necessaria una DPIA prima di avviare il trattamento (Art. 35)?
• Ho documentato il registro dei trattamenti (Art. 30) includendo i nuovi flussi AI?

Esempi pratici: due scenari PMI

Scenario 1: Studio professionale che usa l'AI su documenti di clienti

Uno studio di commercialisti adotta un assistente AI per analizzare contratti e documenti fiscali, estrarre dati rilevanti e redigere bozze. I documenti contengono dati personali e talvolta dati fiscali di persone fisiche.

Obblighi che scattano:

• Base giuridica: probabilmente esecuzione del contratto professionale con il cliente, eventualmente legittimo interesse per alcune analisi interne.
• DPA: obbligatorio con il fornitore AI (es. OpenAI, Microsoft). Va verificato che il fornitore non usi i documenti per addestrare modelli.
• Informativa: va aggiornata per indicare che i documenti forniti possono essere elaborati con strumenti AI e quali sono i fornitori.
• Dipendenti e dati sensibili: se i documenti includono dati sulla salute o dati fiscali sensibili (Art. 9), va valutata la DPIA.

Per approfondire l'uso dell'AI nell'analisi documentale, AI per analizzare documenti aziendali offre un quadro pratico. Per il settore specifico, AI per studi legali e AI per commercialisti trattano i casi d'uso verticali.

Scenario 2: E-commerce con profilazione AI degli utenti

Un e-commerce usa un sistema AI per segmentare automaticamente i clienti in base al comportamento di acquisto e inviare offerte personalizzate. Il sistema assegna punteggi di "propensione all'acquisto" e decide autonomamente chi riceve quale offerta.

Obblighi che scattano:

• Base giuridica: la profilazione a fini di marketing richiede consenso specifico, non si può far leva sul solo legittimo interesse senza un balancing test solido e documentato.
• Decisioni automatizzate (Art. 22): se il sistema decide autonomamente chi riceve un'offerta esclusiva e chi no, con potenziali effetti economici significativi, va verificata l'applicabilità dell'Art. 22. Va garantita la possibilità di contestare la decisione.
• Informativa: deve descrivere chiaramente la profilazione, la logica del sistema e gli effetti sulla persona.
• DPIA: la profilazione sistematica su larga scala rientra spesso nei casi in cui la DPIA è raccomandata o obbligatoria.

Errori da evitare

"Abbiamo il DPA ma non l'abbiamo letto": firmare il DPA è necessario, ma non sufficiente. Va letto, capito e verificato che le clausole sui trasferimenti extra-UE, sulla formazione dei modelli e sulla sicurezza siano accettabili.

"Usiamo ChatGPT ma solo internamente": la versione consumer di ChatGPT (senza abbonamento Teams o Enterprise) non include un DPA. Inserire dati personali di clienti o dipendenti nella versione gratuita è problematico dal punto di vista GDPR, indipendentemente dall'uso "solo interno".

"La base giuridica è il legittimo interesse": il legittimo interesse non è una base giuridica residuale da usare quando non si sa quale scegliere. Richiede una valutazione documentata. Usarlo senza balancing test documentato è un errore frequente.

"L'informativa è sul sito, a posto": l'informativa deve riflettere i trattamenti attuali. Se si introduce un nuovo strumento AI che cambia le finalità o i destinatari, va aggiornata prima di attivarlo, non dopo.

"Ci pensa il fornitore AI": il fornitore AI è il responsabile del trattamento, non il titolare. La responsabilità della conformità resta sull'azienda che usa lo strumento. Il DPA definisce la responsabilità del fornitore, ma non la sostituisce a quella del titolare.

Come applicarlo in azienda

Un approccio pratico per le PMI parte da un censimento: quali strumenti AI sono in uso, quali dati personali trattano, con quale base giuridica e se c'è un DPA in vigore. Non serve partire dalla norma — serve partire dai flussi reali.

Passi concreti:

1. Mappare i trattamenti AI: lista degli strumenti AI in uso e dei dati personali che toccano.
2. Verificare i DPA: controllare per ogni fornitore se il DPA esiste, è firmato e include le clausole necessarie.
3. Aggiornare il registro dei trattamenti (Art. 30): includere i nuovi flussi AI con base giuridica, destinatari e misure di sicurezza.
4. Aggiornare l'informativa: integrare le nuove finalità, i fornitori AI e i trasferimenti.
5. Formare il team: chi usa gli strumenti AI deve sapere quali dati può inserire e quali no.
6. Valutare la DPIA: per i trattamenti ad alto rischio, prima di avviare il flusso.

Se stai costruendo una strategia AI più ampia, consulenza AI per aziende descrive come strutturare un percorso di adozione che includa la compliance fin dall'inizio. Per strumenti pratici come la gestione delle knowledge base aziendali con AI o gli agenti AI, vale la pena capire dove si collocano nel perimetro GDPR della tua organizzazione.

Conclusione

Il GDPR non impedisce di usare l'AI in azienda. Richiede di farlo con consapevolezza: sapere su quale base si trattano i dati, avere i contratti giusti con i fornitori, tenere aggiornata l'informativa e garantire i diritti degli interessati.

Per le PMI, il punto di partenza non è la norma — è il censimento dei flussi reali. Quali strumenti AI usiamo? Quali dati toccano? Abbiamo il DPA? Da lì si costruisce la conformità in modo progressivo e sostenibile.

Se vuoi capire come strutturare l'adozione dell'AI nella tua azienda partendo già con il perimetro GDPR corretto, contattaci o scopri i nostri servizi di consulenza AI.

Approfondimenti correlati:

• AI e privacy aziendale: come gestire i dati nei tool AI — comportamenti operativi quotidiani per team e manager
• AI e sicurezza dei dati: misure tecniche e organizzative — la dimensione tecnica della protezione dei dati
• Come evitare le allucinazioni dell'AI — affidabilità degli output AI in contesto aziendale