AI Act e GDPR, spiegati senza allarmismi

L'AI Act europeo è la prima legge europea ampia che regola come si possono sviluppare e usare i sistemi di intelligenza artificiale. In pratica non tratta tutta l'AI allo stesso modo: classifica i sistemi in base al rischio che pongono per le persone e attribuisce obblighi a quelli più rischiosi. La maggior parte degli strumenti di uso quotidiano — un chatbot, un assistente di scrittura, un modello di previsione — ricade nelle categorie più leggere, dove i doveri principali riguardano la trasparenza e una governance di base, non la burocrazia pesante.

È un regolamento, quindi si applica direttamente in tutta l'UE senza che ogni Paese lo riscriva. Ti riguarda sia se costruisci AI sia, più spesso per una PMI, se semplicemente la usi. Il principio è la proporzionalità: la legge chiede di più a un sistema che seleziona candidati che a uno che scrive la tua newsletter.

In generale, per una piccola impresa tipica l'AI Act è gestibile, una volta che sai in quale categoria stanno i tuoi strumenti.

GiBSeS — Ti aiutiamo a leggere l'AI Act attraverso i tuoi strumenti reali, non i titoli dei giornali, così sai cosa ti riguarda davvero. La prima conversazione esplorativa è gratuita. Questo è contenuto informativo, non consulenza legale.

Per la maggior parte delle PMI l'AI Act si applica perché sei un 'deployer', cioè usi i sistemi di AI invece di costruirli. È un ruolo più leggero di quello del produttore, ma non è a zero obblighi. In generale ci si aspetta che tu usi i sistemi come previsto, che mantenga un controllo di base su cosa fanno, che il personale abbia un livello ragionevole di consapevolezza sull'AI e che tu sia trasparente con le persone dove le regole lo richiedono.

Gli obblighi pesanti — valutazioni di conformità, documentazione tecnica, registrazione — ricadono per lo più su chi sviluppa o mette sul mercato il sistema, non su di te come utente. L'AI Act cerca inoltre esplicitamente di alleggerire il carico per le PMI, ad esempio con modalità semplificate e misure di supporto.

Cosa cambia per te dipende quasi interamente da cosa fa davvero la tua AI e dai dati che ci sono dietro. Un assistente di marketing è un discorso diverso da uno strumento che decide chi assumere o quanto credito concedere.

GiBSeS — Iniziamo classificando i tuoi strumenti tra 'quasi non interessati' e 'da attenzionare', così investi energia solo dove serve. La prima conversazione è gratuita. Contenuto informativo, non consulenza legale.

L'AI Act raggruppa i sistemi in quattro fasce. Gli usi proibiti sono vietati del tutto — cose come il social scoring dei cittadini o sistemi manipolativi che sfruttano persone vulnerabili. L'alto rischio copre l'AI usata in ambiti sensibili come selezione del personale, scoring del credito, infrastrutture critiche o certe componenti di sicurezza: qui ci sono gli obblighi più forti. Il rischio limitato riguarda i sistemi che interagiscono con le persone o generano contenuti, dove il dovere principale è la trasparenza, cioè dire alle persone che hanno a che fare con un'AI. Il rischio minimo copre tutto il resto, come i filtri antispam o la maggior parte degli strumenti di produttività, senza obblighi specifici.

La lezione pratica per una PMI è che la categoria la decide l'uso che si fa del sistema, non quanto è sofisticato. Lo stesso modello può essere a rischio minimo in un compito e ad alto rischio in un altro.

In generale, gran parte degli strumenti di una piccola impresa ricade nelle fasce limitata o minima, e questo mantiene contenuto lo sforzo di compliance.

GiBSeS — Classifichiamo ogni tuo caso d'uso nella fascia giusta, così non sovraccarichi di compliance uno strumento che ne ha appena bisogno. Prima conversazione gratuita. Contenuto informativo, non consulenza legale.

In diversi casi sì. L'AI Act fissa doveri di trasparenza per i sistemi a rischio limitato. In generale, se le persone interagiscono direttamente con un'AI — un chatbot, un agente vocale — devono essere messe al corrente che stanno parlando con una macchina, a meno che non sia già evidente. I contenuti generati o manipolati artificialmente, come i deepfake o gli articoli scritti dall'AI e pubblicati come informazione, in genere vanno etichettati come tali. Anche i sistemi di riconoscimento delle emozioni o di categorizzazione biometrica fanno scattare doveri di informazione verso le persone esposte.

Lo spirito è l'onestà, non la burocrazia: le persone non devono essere ingannate su chi hanno di fronte, un umano o una macchina. Per la maggior parte delle PMI è semplice — un breve avviso sul widget di chat, una riga nel footer, un'etichetta chiara sui contenuti sintetici.

Nella maggior parte dei casi non devi dichiarare ogni uso interno dell'AI, ad esempio uno strumento che aiuta solo il tuo personale a scrivere testi dietro le quinte.

GiBSeS — Ti aiutiamo a scrivere le poche dichiarazioni che ti servono davvero — chiare, oneste, non in legalese — e a saltare quelle inutili. La prima conversazione è gratuita. Contenuto informativo, non consulenza legale.

L'articolo 4 dell'AI Act chiede ai fornitori e ai deployer di AI di garantire un livello sufficiente di 'AI literacy' tra il personale che usa questi sistemi per loro conto. In parole povere: le persone che usano l'AI nella tua azienda devono capire, a un livello adeguato al loro ruolo, cosa fa lo strumento, dove può sbagliare e come usarlo con buon senso. È uno dei pochi obblighi che ricade direttamente su di te come utente, ed è in vigore dall'inizio del 2025.

Non è uno schema di certificazione e non c'è un esame ufficiale. Per una piccola impresa, soddisfarlo può essere semplice come un breve briefing interno documentato: quali strumenti usiamo, in cosa sono bravi e in cosa no, quali dati non vanno mai inseriti, a chi chiedere in caso di dubbio.

In generale, trattarlo come consapevolezza di base del personale, e non come un progetto di compliance, lo rende leggero e davvero utile.

GiBSeS — Possiamo fare una breve sessione pratica di AI literacy per il tuo team e lasciarti una semplice traccia documentale — utile prima, conforme come bonus. Prima conversazione gratuita. Contenuto informativo, non consulenza legale.

GPAI significa 'AI per finalità generali' — modelli di grandi dimensioni, come quelli dietro i più diffusi assistenti di chat, non costruiti per un singolo compito ma capaci di farne molti. L'AI Act fissa obblighi specifici per le aziende che realizzano e distribuiscono questi modelli: documentazione tecnica, trasparenza a livello di sintesi sui dati di addestramento, rispetto del diritto d'autore e doveri ulteriori per i modelli più grandi giudicati a 'rischio sistemico'.

Il punto chiave per una PMI è che quasi tutti questi obblighi ricadono sul fornitore del modello, non su di te come utente. Quando usi un modello del genere tramite un normale prodotto o un'API, è il fornitore a portare i doveri sui GPAI. Le tue responsabilità nascono da come lo utilizzi — trasparenza, protezione dei dati, AI literacy — non dagli interni del modello.

Nella maggior parte dei casi non devi seguire in dettaglio le regole sui GPAI; devi scegliere fornitori che dimostrano chiaramente di prenderle sul serio.

GiBSeS — Quando confrontiamo gli strumenti per te, la serietà del fornitore sui doveri GPAI è una delle cose che verifichiamo, così non erediti la lacuna di compliance di qualcun altro. La prima conversazione è gratuita. Contenuto informativo, non consulenza legale.

Spesso sì, ma non per impostazione predefinita e non con ogni tipo di dato. Il GDPR non vieta gli strumenti di AI; regola cosa succede ai dati personali. Le domande che decidono sono: stai inserendo dati personali, su quale base giuridica, con quale contratto col fornitore e dove finiscono quei dati. Molti fornitori offrono ormai piani business o enterprise che, in generale, non si addestrano sui tuoi input e propongono condizioni di trattamento adatte all'uso professionale — una situazione molto diversa da un account gratuito per consumatori.

Le regole pratiche sono banali: non incollare dati personali o riservati in strumenti che non hai verificato, preferisci piani business con contratti adeguati e metti per iscritto quali strumenti sono approvati per quali dati.

Nella maggior parte dei casi la strada sicura non è 'non usarlo mai' ma 'usa la versione giusta, con le impostazioni giuste, per i dati giusti'. Per qualsiasi cosa sensibile, una verifica rapida con un professionista della protezione dati vale la pena.

GiBSeS — Ti aiutiamo a fissare regole semplici e scritte su quali dati entrano in quale strumento — quelle che il tuo team seguirà davvero. Prima conversazione gratuita. Contenuto informativo, non consulenza legale.

Dipende interamente dallo strumento e dal piano, ed è proprio per questo che conviene verificarlo prima di impegnarsi. Con un tipico servizio di AI nel cloud, i tuoi prompt e i file caricati vengono inviati ai server del fornitore, elaborati, e torna una risposta. Le cose che variano — e che di solito trovi nella documentazione — sono se i tuoi input vengono usati per addestrare i modelli futuri, per quanto tempo vengono conservati, dove sono fisicamente i server e chi sono i sub-responsabili del fornitore.

I piani gratuiti per consumatori e quelli business spesso si comportano in modo molto diverso su questo. I piani business ed enterprise di norma promettono nessun addestramento sui tuoi dati, conservazione più breve e condizioni contrattuali più chiare; i piani gratuiti sono spesso più permissivi.

In generale, prima di affidare a uno strumento qualcosa che conta, dovresti poter rispondere a tre domande: i miei input vengono usati per l'addestramento, quanto a lungo sono conservati e in quale Paese sono trattati. Se il fornitore non te lo dice chiaramente, è già di per sé un segnale.

GiBSeS — Leggere le noiose clausole sui dati al posto tuo fa parte di come valutiamo gli strumenti — segnaliamo quelli che non rispondono a quelle tre domande. La prima conversazione è gratuita. Contenuto informativo, non consulenza legale.

A volte. La DPIA è una valutazione strutturata che il GDPR richiede prima di un trattamento che 'può presentare un rischio elevato' per i diritti delle persone — ad esempio profilazione su larga scala, monitoraggio sistematico o trattamento di dati sensibili. Inserire l'AI in un trattamento del genere può farti superare quella soglia; usare un chatbot per scrivere testi di marketing quasi sicuramente no.

In generale, l'attivazione non è 'usiamo l'AI' ma 'cosa stiamo facendo con i dati personali'. Se il tuo caso d'uso di AI comporta decisioni automatizzate sulle persone, profilazione su larga scala o categorie di dati sensibili, una DPIA è probabilmente opportuna ed è davvero utile, perché ti obbliga a ragionare sui rischi prima che mordano. Per gli usi di produttività ordinari di solito non è richiesta.

Nella maggior parte dei casi una PMI ha solo uno o due casi d'uso che potrebbero richiedere una DPIA, se ne ha. Quando è un caso limite, è un buon momento per coinvolgere un professionista della protezione dati invece di andare a intuito.

GiBSeS — Ti aiutiamo a individuare quali tuoi casi d'uso potrebbero superare la soglia DPIA, così non ne salti una vera né costruisci carte inutili. Prima conversazione gratuita. Contenuto informativo, non consulenza legale.

No, il consenso non è l'unica opzione e spesso non è la migliore. Con il GDPR, ogni trattamento di dati personali ha bisogno di una base giuridica, e ce ne sono diverse: consenso, esecuzione di un contratto, obbligo legale, interessi vitali, compito di interesse pubblico o 'legittimo interesse'. Per molti usi aziendali ordinari il contratto o il legittimo interesse calzano meglio del consenso, che è fragile perché può essere revocato in qualsiasi momento.

Usare l'AI non cambia il menu delle basi giuridiche; significa solo applicare la stessa logica ai dati personali che l'AI tocca. Se trattavi già i dati dei clienti su una base valida, far passare parte di quel processo attraverso uno strumento di AI in genere non richiede una nuova base — anche se può cambiare ciò che dici alle persone su come vengono gestiti i dati.

In generale, l'errore da evitare è chiedere il consenso ovunque per riflesso. Scegli la base che corrisponde davvero alla finalità e documenta il ragionamento.

GiBSeS — Ti aiutiamo ad associare ogni caso d'uso di AI a una base giuridica sensata e ad aggiornare di conseguenza l'informativa privacy — senza sommergere i clienti di banner di consenso. La prima conversazione è gratuita. Contenuto informativo, non consulenza legale.

È una delle domande di compliance sull'AI più comuni, perché molti strumenti diffusi sono gestiti da aziende statunitensi. Il GDPR consente i trasferimenti fuori dall'UE, ma solo con garanzie. In generale, un trasferimento verso gli USA è coperto se il fornitore è certificato nell'ambito del Data Privacy Framework UE-USA, oppure se ci si appoggia alle Clausole Contrattuali Tipo più, dove serve, misure supplementari. La documentazione del fornitore di solito indica quale meccanismo si applica.

Per una PMI il compito pratico è modesto: verificare che il tuo fornitore offra un meccanismo di trasferimento valido e, idealmente, una regione di trattamento dati nell'UE se disponibile. Molti servizi in versione business ormai lo fanno.

Nella maggior parte dei casi non devi evitare del tutto gli strumenti statunitensi — devi sceglierne che gestiscono correttamente i trasferimenti e lo dichiarano chiaramente. Poiché il quadro giuridico qui è già cambiato in passato, è un'area ragionevole da tenere d'occhio e da confermare con un professionista se i dati sono sensibili.

GiBSeS — Verifichiamo il meccanismo di trasferimento e le opzioni di regione dati quando selezioniamo gli strumenti per te, così i dati transfrontalieri non sono una sorpresa più avanti. Prima conversazione gratuita. Contenuto informativo, non consulenza legale.

Per la maggior parte delle PMI che usano l'AI, tu sei il 'titolare' del trattamento: decidi perché e come vengono trattati i dati personali. Il fornitore di AI è di solito il 'responsabile', che agisce su tue istruzioni, e la catena può includere i suoi stessi sub-responsabili. La distinzione conta perché il titolare porta la responsabilità principale — sei tu il riferimento per clienti e autorità.

In pratica questo significa alcune cose concrete. Dovresti avere un accordo sul trattamento dei dati (DPA) col fornitore di AI, dovresti sapere chi sono i suoi sub-responsabili e resti responsabile della scelta di un fornitore che offra garanzie adeguate. Il fatto che il fornitore gestisca i dati non trasferisce via la tua responsabilità; ne condivide una parte operativa.

In generale, il compito di una PMI qui è semplice: assicurarti che ogni fornitore di AI che usi abbia firmato un DPA adeguato e che tu capisca, ad alto livello, chi tocca i dati a valle.

GiBSeS — Ti aiutiamo a verificare che ogni strumento arrivi con un vero accordo sul trattamento dei dati e una chiara lista di sub-responsabili — le basi facili da dimenticare. La prima conversazione è gratuita. Contenuto informativo, non consulenza legale.

Entrambi i regimi prevedono sanzioni commisurate al fatturato, il che suona allarmante ma va visto nelle giuste proporzioni. Con il GDPR, le violazioni più gravi possono arrivare fino al 4% del fatturato annuo globale o 20 milioni di euro, a seconda di quale importo è più alto. L'AI Act fissa fasce proprie, con le sanzioni più severe — fino al 7% del fatturato o 35 milioni di euro — riservate all'uso di sistemi di AI proibiti, e fasce inferiori per altre violazioni.

Questi massimi da titolo sono pensati per violazioni gravi, spesso deliberate, da parte di grandi attori, non per una piccola impresa che ha fatto un errore in buona fede con un chatbot. Le autorità in genere valutano natura, gravità e intenzionalità della violazione. Chi paga dipende dal ruolo: il deployer per le mancanze nell'uso, il fornitore per i difetti del prodotto.

In generale, per una PMI che agisce in modo ragionevole il rischio realistico è molto più piccolo dei numeri da titolo, ma il dovere di agire ragionevolmente è reale. Se non sai dove ti collochi, una verifica professionale è sensata.

GiBSeS — Ti aiutiamo a concentrarti sulle poche cose che riducono davvero il rischio, invece di temere una sanzione pensata per aziende molto diverse. Prima conversazione gratuita. Contenuto informativo, non consulenza legale.

Il Cyber Resilience Act (CRA) è una legge UE distinta sulla cybersicurezza dei prodotti con elementi digitali — in senso ampio, software e dispositivi connessi immessi sul mercato. Pone i doveri di sicurezza soprattutto sui produttori: sviluppo secure-by-design, gestione delle vulnerabilità e aggiornamenti di sicurezza lungo la vita di un prodotto.

Per una PMI che usa l'AI invece di vendere prodotti software, il CRA ti raggiunge per lo più in modo indiretto: spinge gli strumenti e i dispositivi che acquisti a essere più sicuri, il che è una buona notizia. Ne sei soggetto direttamente soprattutto se sviluppi e immetti tu stesso sul mercato prodotti digitali. Dove l'AI è incorporata in un prodotto, gli obblighi di sicurezza del CRA e quelli dell'AI Act possono sovrapporsi e vanno letti insieme.

In generale, per una PMI utente tipica il CRA è un motivo per preferire fornitori che prendono sul serio la sicurezza del prodotto, più che un nuovo dovere pesante a tuo carico.

GiBSeS — La postura di sicurezza del fornitore fa parte di ciò che guardiamo quando ti aiutiamo a scegliere gli strumenti, così la qualità spinta dal CRA gioca a tuo favore. La prima conversazione è gratuita. Contenuto informativo, non consulenza legale.

L'AI Act non si accende tutto in una volta; entra in vigore per fasi. È entrato in vigore nel 2024 e obblighi diversi si applicano secondo un calendario scaglionato. In termini generali, i divieti sugli usi proibiti e il dovere di AI literacy sono arrivati per primi, all'inizio del 2025. Gli obblighi per i modelli di AI per finalità generali sono seguiti nel corso del 2025. Il grosso delle regole sui sistemi ad alto rischio si applica più avanti, con date chiave nel 2026 e un orizzonte più lungo fino al 2027 per certe categorie legate alla normativa esistente sulla sicurezza dei prodotti.

Per una PMI l'implicazione pratica è che non hai un'unica scadenza al precipizio; hai una sequenza, e gran parte di ciò che riguarda gli utenti ordinari — trasparenza e AI literacy — è già attiva. Gli obblighi più pesanti sull'alto rischio, che la maggior parte delle piccole imprese non attiverà affatto, arrivano dopo.

Nella maggior parte dei casi la mossa sensata è gestire ora i doveri già in vigore e rivedere il calendario man mano che si avvicinano le fasi successive, invece di affrettarsi a iper-adeguarsi in anticipo.

GiBSeS — Ti aiutiamo ad agire su ciò che è già richiesto e a pianificare con calma ciò che arriverà, senza trattare ogni scadenza come un'emergenza. Prima conversazione gratuita. Contenuto informativo, non consulenza legale.

Può aiutare su preoccupazioni specifiche, ma non è un interruttore magico di compliance. Far girare i modelli sui tuoi server, o su infrastrutture 'sovrane' basate nell'UE, tiene i dati fisicamente più vicini e può semplificare le domande su trasferimenti, conservazione e chi ha accesso. Per dati davvero sensibili — sanitari, legali, certi segreti commerciali — quel controllo è un vantaggio reale e a volte il fattore decisivo.

I compromessi sono onesti: l'AI on-premise costa di più da installare e mantenere, i modelli aperti che puoi far girare da solo sono spesso meno capaci dei migliori modelli cloud, e 'sovrana' è un'etichetta, non una garanzia — devi comunque verificare cosa offre davvero. La compliance dipende anche da come usi il sistema, non solo da dove gira.

In generale, l'on-premise vale la pena quando la sensibilità dei dati o i requisiti di sovranità giustificano chiaramente il costo extra, ed è eccessivo quando non lo fanno. È uno strumento, non una risposta predefinita.

GiBSeS — Ti aiutiamo a valutare con onestà se l'on-premise è giustificato per i tuoi dati, o se basta un setup cloud ben scelto — senza pregiudizi in nessuna direzione. La prima conversazione è gratuita. Contenuto informativo, non consulenza legale.

L'accountability è un principio centrale del GDPR: non devi solo essere conforme, ma essere in grado di dimostrarlo. Per l'uso dell'AI significa tenere una traccia leggera ma reale — quali strumenti usi, per cosa, su quali dati, su quale base giuridica e cosa hai deciso riguardo ai rischi. È la differenza tra 'pensiamo di essere a posto' e 'ecco perché siamo a posto'.

Un audit trail in senso tecnico — i log di cosa ha fatto un sistema e quando — conta soprattutto per gli usi a rischio più alto, in particolare per tutto ciò che incide sui diritti delle persone, dove poter ricostruire una decisione è importante. Per gli strumenti di produttività ordinari la traccia può essere molto più leggera: di solito basta un semplice registro interno.

In generale, l'obiettivo non è la burocrazia fine a se stessa; è poter rispondere, con calma e in fretta, a 'cosa stiamo facendo e perché è ragionevole'. Per una PMI un solo documento vivo spesso copre gran parte di tutto questo.

GiBSeS — Ti aiutiamo a impostare un registro di una pagina che soddisfa l'accountability senza trasformarsi in un progetto di scartoffie. Prima conversazione gratuita. Contenuto informativo, non consulenza legale.

Le persone conservano tutti i loro consueti diritti GDPR anche quando c'è l'AI di mezzo: accesso ai propri dati, rettifica, cancellazione, opposizione e così via. Usare uno strumento di AI non sospende niente di tutto ciò. In pratica significa che devi comunque essere in grado di trovare, correggere o cancellare i dati personali di una persona, compresi quelli che sono passati attraverso un sistema di AI, e di spiegare in termini generali come vengono usati.

C'è un diritto in più che vale la pena conoscere: in generale, le persone hanno il diritto di non essere sottoposte a una decisione basata unicamente su un trattamento automatizzato che produce effetti significativi su di loro — pensa a un'assunzione o a un rifiuto di credito completamente automatizzati — senza garanzie come un coinvolgimento umano significativo. La soluzione di solito è mantenere un umano davvero nel ciclo per le decisioni che contano.

Nella maggior parte dei casi il lavoro ordinario assistito dall'AI non fa scattare tutto questo, perché è ancora una persona a decidere. Il dovere morde quando la macchina decide da sola e la posta in gioco è alta.

GiBSeS — Ti aiutiamo a progettare i processi che contano in modo che un umano resti davvero nel ciclo e i diritti individuali restino facili da onorare. La prima conversazione è gratuita. Contenuto informativo, non consulenza legale.

In generale, la responsabilità di come si usa l'output dell'AI sta all'impresa che la usa, non allo strumento. Se un assistente di AI scrive un dato sbagliato e tu lo invii a un cliente, quello è il tuo output — un po' come la bozza di un collega junior diventa una tua responsabilità una volta che la approvi. È proprio per questo che la revisione umana conta per tutto ciò che ha conseguenze.

Dove un difetto sta chiaramente in un prodotto difettoso o in un inadempimento contrattuale del fornitore, la responsabilità può spostarsi in parte verso il fornitore, e le regole UE su responsabilità da prodotto e da AI stanno evolvendo per chiarire queste catene. Ma per gli errori quotidiani — un fatto inventato, un'email maldestra — la risposta realistica è che sei tu il responsabile di ciò che pubblichi, decidi o invii.

Nella maggior parte dei casi la tutela pratica è semplice e poco glamour: tratta l'output dell'AI come una bozza, rivedi ciò che conta e non lasciare che la sicurezza di una macchina sostituisca il tuo giudizio. Per controversie che riguardano un danno reale, questa è chiaramente una questione da avvocato.

GiBSeS — Ti aiutiamo a decidere quali output hanno bisogno dell'approvazione umana e quali no, così la responsabilità resta chiara e gestibile. Prima conversazione gratuita. Contenuto informativo, non consulenza legale.

Una breve lista copre gran parte del pericolo reale. Non incollare dati personali, riservati o dei clienti in strumenti gratuiti non verificati — è l'errore più comune in assoluto. Non usare l'AI per le finalità proibite che l'AI Act vieta, come i sistemi manipolativi o il social scoring. Non lasciare che l'AI prenda decisioni con conseguenze sulle persone — assunzioni, licenziamenti, credito, prestazioni — senza alcun coinvolgimento umano. Non pubblicare contenuti generati dall'AI come se un umano li avesse controllati quando nessuno l'ha fatto. Non far finta che un chatbot sia un umano quando le regole impongono di dichiararlo. E non dare per scontato che 'il fornitore pensa alla compliance' ti sollevi come utente.

Nessuna di queste richiede conoscenze legali profonde; sono per lo più buon senso reso esplicito. Le aziende che finiscono nei guai di solito hanno saltato l'ovvio, non l'oscuro.

In generale, se un caso d'uso ti dà la sensazione di poter incidere seriamente su una persona o esporre dati sensibili, rallenta e verificalo — quell'istinto di solito ha ragione.

GiBSeS — Ti aiutiamo a trasformare questa lista di 'non fare' in una policy interna di una pagina che il tuo team riesce davvero a ricordare. La prima conversazione è gratuita. Contenuto informativo, non consulenza legale.

Inizia da un inventario, non da un avvocato. Elenca gli strumenti di AI che usi davvero e cosa fa ciascuno. Per ognuno annota due cose: tocca dati personali e prende o influenza pesantemente decisioni sulle persone. Quel singolo passaggio ordina quasi tutto tra 'poco preoccupante' e 'da attenzionare'.

Da lì, i primi passi pratici sono di solito modesti: scegliere strumenti in versione business con adeguati accordi sul trattamento dei dati, scrivere semplici regole interne su quali dati vanno dove, fare un breve briefing di AI literacy per il personale e tenere un registro di una pagina di tutto questo. Per i pochi casi d'uso che toccano dati sensibili o decisioni automatizzate, è lì che una DPIA o una revisione professionale guadagna il suo valore.

In generale, la compliance per una PMI riguarda meno i grandi progetti e più alcune buone abitudini, messe per iscritto. Non devi fare tutto in una volta; devi sapere cosa hai e affrontare prima le parti più rischiose.

GiBSeS — Possiamo fare questo inventario con te in una sola sessione e consegnarti una lista chiara e prioritizzata di cosa fare — e di cosa puoi tranquillamente ignorare. Prima conversazione gratuita, senza impegno. Contenuto informativo, non consulenza legale.

Non in modo sostanziale — per lo più applica gli stessi vecchi principi a strumenti nuovi. Il GDPR richiede da anni un trattamento dei dati personali lecito, trasparente, minimizzato e sicuro. L'AI non riscrive quei principi; aggiunge solo qualche nuovo punto in cui applicarli: cosa entra in un prompt, dove lo manda il fornitore, se i tuoi input addestrano il modello di qualcuno.

Le pieghe davvero nuove sono modeste per la maggior parte delle PMI: stare attenti a incollare dati personali negli strumenti, scegliere fornitori con condizioni dati solide e tenere d'occhio le decisioni automatizzate. Se la tua casa dei dati era ragionevolmente in ordine prima dell'AI, estendere quell'ordine agli strumenti di AI è un passo incrementale, non una ricostruzione.

In generale, le aziende che faticano sono di solito quelle che erano già disordinate con i dati personali; l'AI rende solo più visibili le lacune esistenti. Stringere le basi è la mossa di maggior valore, e ripaga ben oltre l'AI.

GiBSeS — Ti aiutiamo a estendere le tue pratiche sui dati esistenti per coprire gli strumenti di AI, partendo da ciò che hai già invece di ricominciare da zero. La prima conversazione è gratuita. Contenuto informativo, non consulenza legale.

Trattalo come un punto di partenza, non come una conclusione. Nessun singolo prodotto può renderti conforme, perché gran parte della compliance dipende da come lo usi e dal tuo ruolo di titolare e deployer. Un fornitore può essere conforme come prodotto e tu puoi comunque essere non conforme nel modo in cui lo utilizzi — ad esempio inserendovi dati che non dovresti, o usandolo per una finalità per cui non era progettato.

Le affermazioni utili sono specifiche e verificabili: un meccanismo di trasferimento indicato per nome, un vero accordo sul trattamento dei dati, una chiara lista di sub-responsabili, una conservazione documentata, nessun addestramento sui tuoi dati. Etichette vaghe come 'GDPR-ready' o 'conforme all'AI Act' senza nulla dietro sono marketing, e a volte un campanello d'allarme.

In generale, un fornitore serio ti mostrerà volentieri i documenti; uno che non lo fa ti sta dicendo qualcosa. La responsabilità del quadro complessivo resta a te, ed è proprio per questo che uno sguardo indipendente aiuta.

GiBSeS — Tagliare il marketing della compliance per arrivare ai documenti che contano davvero è al centro di come valutiamo gli strumenti — indipendenti, senza nulla da venderti noi stessi. Prima conversazione gratuita. Contenuto informativo, non consulenza legale.

L'alto rischio non riguarda quanto potente sembra l'AI; riguarda il caso d'uso. L'AI Act elenca gli ambiti che contano come ad alto rischio, e si concentrano intorno a decisioni con conseguenze reali per le persone: selezione del personale e gestione dei lavoratori, accesso all'istruzione, affidabilità creditizia e servizi essenziali, certe infrastrutture critiche e componenti di sicurezza, attività di polizia e migrazione, e qualche altro. Se la tua AI sta in uno di questi ambiti, è probabilmente ad alto rischio e porta gli obblighi più pesanti.

Per la maggior parte delle PMI la risposta onesta è che nessuno dei loro strumenti è ad alto rischio — scrivere, sintetizzare, pianificare e analizzare di solito non lo sono. Il momento di fare attenzione è quando l'AI inizia a selezionare persone o a regolare l'accesso a qualcosa di importante.

In generale, fai una domanda a ogni strumento: aiuta a decidere qualcosa di significativo su una persona specifica? Se sì, guarda da vicino; se no, sei quasi certamente nelle fasce più leggere. Quando è un caso limite, è un buon punto per chiedere un parere professionale.

GiBSeS — Ti aiutiamo a verificare se qualcuno dei tuoi casi d'uso sconfina nel territorio ad alto rischio, così non vieni colto di sorpresa né sovraccaricato. La prima conversazione è gratuita. Contenuto informativo, non consulenza legale.

Ognuno ha rischi diversi, e più grande non è automaticamente più sicuro. I grandi fornitori tendono ad avere accordi sul trattamento dei dati maturi, meccanismi di trasferimento formali e documentazione chiara — il che riduce il tuo attrito di compliance. Ma possono anche essere meno flessibili, più difficili da cui ottenere risposte, e trattano dati su scala enorme. Un fornitore più piccolo e specializzato può darti un supporto più vicino e risposte più chiare, ma potrebbe mancare di contratti solidi, di trasparenza adeguata sui sub-responsabili o di continuità nel tempo.

La vera domanda non è la dimensione; è se il fornitore sa rispondere alle basi: dove finiscono i dati, se si addestra sui tuoi input, quale contratto offre, chi sono i suoi sub-responsabili e se esisterà ancora l'anno prossimo. Un piccolo fornitore che risponde in modo netto può essere una scommessa più sicura di un gigante che ti seppellisce nel legalese.

In generale, giudica i fornitori sulla trasparenza e sulla sostanza contrattuale, non sulla dimensione del logo — e non affidare dati insostituibili a chi ti lascia dubbi sulla continuità.

GiBSeS — Valutiamo i fornitori di qualsiasi dimensione sulle cose che davvero ti proteggono, così scegli sulla sostanza e non solo sulla reputazione. Prima conversazione gratuita. Contenuto informativo, non consulenza legale.