Il Regolamento (UE) 2024/1689, comunemente denominato “AI Act”, definisce un quadro normativo armonizzato per lo sviluppo, l’immissione sul mercato, la messa in servizio e l’utilizzo dei sistemi di intelligenza artificiale nell’Unione europea. Il regolamento introduce, tra l’altro, divieti per alcune pratiche ritenute inaccettabili, requisiti e obblighi per i sistemi classificati ad alto rischio e obblighi di trasparenza per specifiche categorie di utilizzo. Il collegamento con la consulenza privacy è diretto poiché numerosi sistemi di IA trattano dati personali o incidono sui diritti e sulle libertà delle persone. In tali situazioni, il Regolamento (UE) 2016/679 resta pienamente applicabile e l’AI Act introduce ulteriori obblighi di governance, documentazione, tracciabilità e trasparenza.
Sì. In quanto regolamento dell’Unione europea, è direttamente applicabile in tutti gli Stati membri. Il testo stabilisce una data generale di applicazione e prevede, per alcune disposizioni, tempistiche differenziate. Sul piano organizzativo, è opportuno avviare con anticipo le attività di mappatura dei sistemi di IA, classificazione del rischio e predisposizione della documentazione necessaria. Qualora i sistemi di IA comportino trattamento di dati personali, restano fermi gli adempimenti previsti dal Regolamento (UE) 2016/679, inclusi i principi di accountability e di sicurezza del trattamento.
No. L’AI Act prevede espressamente che le disposizioni in materia di protezione dei dati personali non siano pregiudicate. Pertanto, ogni volta che un sistema di IA tratta dati personali, il Regolamento (UE) 2016/679 continua ad applicarsi integralmente. In termini pratici, l’adozione di soluzioni basate su IA richiede una verifica congiunta: da un lato la conformità privacy (basi giuridiche, informative, diritti degli interessati, misure di sicurezza, DPIA ove necessaria), dall’altro la conformità AI Act (classificazione del rischio, requisiti tecnici, obblighi di trasparenza, obblighi lungo la filiera).
L’AI Act si applica ai soggetti che immettono sul mercato o mettono in servizio sistemi di IA nell’Unione europea, nonché ai soggetti che utilizzano tali sistemi nell’Unione. Il regolamento disciplina anche ipotesi in cui fornitori o utilizzatori siano stabiliti al di fuori dell’Unione, qualora l’output del sistema sia utilizzato nel territorio dell’Unione. Questo elemento è rilevante in ambito privacy perché incide sulla selezione dei fornitori e sulla strutturazione dei contratti, inclusa la corretta identificazione dei ruoli ai sensi del Regolamento (UE) 2016/679 (titolare, responsabile, contitolare) e la gestione dei flussi e dei trasferimenti di dati.
Il regolamento definisce “sistema di IA” un sistema automatizzato progettato per operare con livelli variabili di autonomia e che può produrre output quali previsioni, contenuti, raccomandazioni o decisioni in grado di influenzare ambienti fisici o virtuali. La definizione è funzionale alla qualificazione dell’ambito di applicazione dell’AI Act. Dal punto di vista privacy, l’elemento determinante resta la presenza di un trattamento di dati personali e la valutazione degli impatti sui diritti e sulle libertà degli interessati.
L’AI Act distingue diversi soggetti lungo la catena del valore, tra cui fornitore, deployer (utilizzatore), importatore, distributore e rappresentante autorizzato. Tali ruoli determinano obblighi specifici in termini di conformità, controlli e disponibilità della documentazione. In ambito privacy, questa distinzione si integra con l’analisi dei ruoli prevista dal Regolamento (UE) 2016/679. In particolare, è necessario verificare se il fornitore agisca come responsabile del trattamento, come titolare autonomo o in contitolarità, e predisporre contratti e istruzioni coerenti con i trattamenti effettivamente svolti.
L’AI Act disciplina i modelli di IA per finalità generali (general-purpose AI), ossia modelli idonei a essere utilizzati in molteplici contesti e per una pluralità di finalità. Tale disciplina introduce obblighi specifici principalmente in capo ai fornitori del modello. Dal punto di vista privacy, la valutazione deve concentrarsi su quali dati vengono conferiti al sistema, sulle finalità, sui tempi di conservazione, sui rischi di divulgazione non autorizzata e sull’eventuale riutilizzo dei contenuti. Qualora siano trattati dati personali, restano applicabili gli obblighi del Regolamento (UE) 2016/679.
Il regolamento prevede un trattamento specifico per taluni rilasci in ambito open source, con esclusioni che non operano in modo generalizzato. In particolare, l’esclusione non si applica quando ricorrono ipotesi quali sistemi ad alto rischio, pratiche vietate o obblighi di trasparenza previsti dall’AI Act. In ogni caso, l’eventuale utilizzo di software open source non esonera dagli obblighi del Regolamento (UE) 2016/679 qualora vi sia trattamento di dati personali.
L’AI Act individua alcune pratiche di IA considerate inaccettabili e pertanto vietate. La ratio è la tutela della sicurezza, della salute e dei diritti fondamentali. Tra le ipotesi contemplate rientrano specifiche forme di manipolazione, sfruttamento di vulnerabilità, social scoring in determinati contesti e talune modalità di utilizzo di tecniche biometriche. Per le organizzazioni, l’impatto è rilevante poiché l’adozione di pratiche vietate può determinare l’immediata necessità di cessare l’utilizzo del sistema e l’esposizione a sanzioni. Quando tali pratiche comportano anche trattamento di dati personali, si aggiunge l’esposizione ai rischi e agli obblighi previsti dal Regolamento (UE) 2016/679.
L’AI Act disciplina in modo puntuale l’uso di sistemi di riconoscimento delle emozioni in determinati contesti, con particolare attenzione ad ambiti come lavoro e istruzione. La valutazione deve essere effettuata caso per caso, considerando finalità, contesto, base normativa e classificazione del sistema ai sensi del regolamento. In parallelo, il Regolamento (UE) 2016/679 richiede una valutazione rigorosa della liceità del trattamento e della proporzionalità rispetto alle finalità perseguite, spesso con necessità di misure rafforzate e di valutazione d’impatto (DPIA) quando ricorrono i presupposti.
Il regolamento qualifica come “ad alto rischio” i sistemi di IA che, per finalità e contesto, possono incidere in modo significativo su diritti fondamentali e sicurezza. In particolare, l’AI Act considera ad alto rischio: i sistemi che costituiscono componenti di sicurezza di prodotti disciplinati da normativa UE e i sistemi elencati nell’Allegato III per settori e funzioni sensibili. L’identificazione corretta è essenziale perché determina l’applicazione di requisiti tecnici e organizzativi stringenti. In molti casi, la stessa classificazione è coerente con un elevato livello di rischio privacy, con conseguente necessità di DPIA ai sensi del Regolamento (UE) 2016/679 quando applicabile.
Tra gli esempi frequentemente rilevanti per le organizzazioni si segnalano i sistemi impiegati per processi HR e gestione del personale (selezione, valutazione, decisioni che incidono su carriera o occupazione), nonché sistemi che incidono sull’accesso a servizi o opportunità e, più in generale, sistemi che possono produrre effetti significativi sulle persone. La ricorrenza in “alto rischio” dipende dalla funzione concreta e dall’impatto sul destinatario. In tali casi, oltre agli obblighi AI Act, è necessario impostare una governance privacy robusta, considerando trasparenza, diritti degli interessati e misure tecniche e organizzative adeguate ai sensi del Regolamento (UE) 2016/679.
Per i sistemi di IA ad alto rischio, l’AI Act prevede un insieme di requisiti che includono: gestione continua del rischio, governance dei dati, documentazione tecnica, tracciabilità e log ove previsto, istruzioni d’uso e informazioni per l’utilizzatore, misure di supervisione umana, requisiti di accuratezza, robustezza e cybersicurezza.
La consulenza in materia di Intelligenza Artificiale (AI Act – Regolamento UE 2024/1689) e GDPR (Regolamento UE 2016/679) richiede oggi una gestione integrata della conformità (compliance), poiché i due regolamenti europei si sovrappongono e si completano quando i sistemi di IA processano dati personali. La relazione tra questi due Regolamenti consiste:
* **GDPR 2016/679:** si concentra sulla protezione dei dati personali e sui diritti delle persone fisiche durante il trattamento.
* **AI Act 2024/1689:** si focalizza sulla sicurezza e sui rischi dei sistemi di IA (regola il prodotto tecnologico).
* **Intersezione:** qualsiasi sistema di IA che utilizzi dati personali deve rispettare entrambi i regolamenti. La conformità all’AI Act non esenta dal GDPR Privacy.
Si. Se si usano o si vogliono introdurre sistemi di IA, serve un percorso che unisca conformità al Regolamento (UE) 2016/679 e requisiti del Regolamento (UE) 2024/1689: mappatura e classificazione, revisione contratti, aggiornamento documentazione privacy, DPIA e FRIA quando necessarie, procedure di trasparenza, log, sicurezza e formazione interna.
Per contattare MODI S.R.L. operativa dal 1998 (Venezia) compilare il questionario di autovalutazione:
* Numero verde gratuito 800300333
* WhatsApp 0415412700
* Chat dalla home del sito
Ultima verifica, 15/02/2026
