800 561720
Il 30 ottobre 2025 il Parlamento europeo ha pubblicato uno studio sull’interazione tra l’AI Act e il resto del quadro legislativo digitale dell’UE. Lo studio non si limita a confermare l’esistenza di “attriti normativi”, ma identifica specifiche aree di sovrapposizione, incoerenza e persino lacune che impattano direttamente sul lavoro quotidiano dei DPO. Nell’articolo analizziamo le interazioni chiave tra AI Act e GDPR, evidenziando le implicazioni concrete sull’attività dei DPO.
Scopo dello studio: le tre domande di ricerca
Lo studio, condotto dal Dipartimento per la trasformazione, l’innovazione e la salute, mira ad esaminare la complessa interazione fra la legge sull’Intelligenza Artificiale (AI Act) e le altre norme fondamentali che compongono la strategia UE in materia di dati (GDPR, Data Act, DSA, DMA, CRA e NIS2).
L’analisi si focalizza sul fornire un riscontro a tre interrogativi:
- come interagiscono i requisiti e i meccanismi di applicazione dell’AI Act con quelli delle altre normative digitali?
- le sovrapposizioni e le incongruenze esistenti creano barriere concrete per lo sviluppo industriale e l’adozione di nuove tecnologie di AI?
- quali azioni e raccomandazioni specifiche si possono proporre per armonizzare il quadro normativo, ridurre gli oneri superflui e promuovere un ambiente favorevole all’innovazione?
Il problema centrale: gli “attriti normativi”
Il cuore dell’analisi (il par. 3) mette in evidenza un problema centrale: sebbene ogni normativa, presa singolarmente, persegua un obiettivo legittimo, l’applicazione cumulativa delle stesse crea attriti che potrebbero rallentare i processi di innovazione (con un impatto maggiore sulle PMI). Lo studio evidenzia tre tipi di problemi: sovrapposizioni fra le fonti (overlap), lacune (gap) e incoerenze (inconsistency).
Se da un lato la sovrapposizione con il GDPR è la più rilevante per i DPO (e la tratteremo nel dettaglio a seguire), l’AI Act genera attriti con l’intero ecosistema digitale.
A titolo esemplificativo, si riportano alcune delle conflittualità rilevate:
- Cyber Resilience Act (CRA): sebbene la conformità al CRA crei una presunzione di conformità all’AI Act, l’allineamento solo parziale lascia aperte incertezze interpretative.
- Data Act: i fornitori di sistemi di AI potrebbero essere soggetti sia agli obblighi previsti dall’AI Act sia ai requisiti del Data Act. La portabilità prevista dal Data Act, in particolare, potrebbe compromettere la tracciabilità richiesta dall’AI Act.
- Digital Services Act (DSA): sia l’AI Act che il DSA impongono obblighi di trasparenza per i contenuti generati dall’IA e di mitigazione del rischio sistemico. Le grandi piattaforme si potrebbero ritrovare a gestire obblighi sovrapposti.
- Digital Markets Act (DMA): soglie e ambiti di applicazione non allineati creano lacune e asimmetrie di conformità.
L’interazione tra AI Act e GDPR
Come anticipato, l’interazione più critica per i Data Protection Officer è quella tra l’AI Act e il GDPR. Lo studio conferma che l’AI Act non pregiudica il GDPR: il Regolamento (UE) 2016/679 continua ad applicarsi integralmente ogniqualvolta un sistema di AI tratta dati personali.
Questa applicazione parallela, tuttavia, non è priva di frizioni. Soffermandoci sugli elementi di sovrapposizione evidenziati dallo studio, emergono elementi cruciali che tutti i DPO dovrebbero considerare.
Punti chiave per DPO: il legittimo interesse
Come evidenziato dallo studio, il legittimo interesse (Art. 6(1)(f) GDPR) è la base giuridica più rilevante per molte applicazioni dell’Intelligenza Artificiale. La vera novità è che, secondo l’analisi, l’AI Act “riconfigura” di fatto il test di bilanciamento (LIA).
Lo studio sottolinea che la conformità ai requisiti dell’AI Act (come la robustezza, la trasparenza e la gestione dei rischi) diventa un fattore determinante nel bilanciamento. Diventa, infatti, quasi impossibile per un titolare sostenere che il proprio interesse sia “legittimo” o che prevalga sui diritti degli interessati, se il sistema di AI che sta utilizzando è esso stesso illegale o non conforme all’AI Act (“in practice, compliance with the AI Act affects a controller’s claim that its interests are “legitimate””).
- Cosa deve fare il DPO? Il DPO deve verificare che la compliance all’AI Act sia integrata nella LIA. La conformità all’AI Act diventa un argomento utile a dimostrare che i rischi per gli interessati sono stati mitigati e che l’interesse legittimo del titolare può prevalere.
Punti chiave per DPO: la valutazione di impatto
L’Articolo 27 dell’AI Act introduce la Valutazione d’Impatto sui Diritti Fondamentali (FRIA). Questa valutazione è richiesta a specifici “deployer” (utilizzatori) di sistemi ad alto rischio (come enti pubblici o privati che forniscono servizi pubblici). Lo studio sottolinea che questo obbligo si aggiunge e non sostituisce la Valutazione d’Impatto sulla Protezione dei Dati (DPIA) richiesta dall’Art. 35 del GDPR.
L’attrito, in questo caso, deriva dal fatto che le definizioni di “rischio elevato” non sono allineate:
- DPIA (Art. 35 GDPR): è richiesta quando il trattamento è “suscettibile di presentare un rischio elevato”. La valutazione del rischio è contestuale e dinamica, basata sulla probabilità e gravità dell’impatto.
- FRIA (Art. 27 AI Act): è richiesta per l’impiego di sistemi già classificati come ad alto rischio dall’AI Act. La classificazione è formale e legata alla categoria del prodotto o al suo caso d’uso.
Questa divergenza crea, in primo luogo, una duplicazione degli oneri. Un deployer, infatti, potrebbe dover eseguire entrambe le valutazioni su questioni correlate e parzialmente sovrapposte, ma soggette ad autorità e requisiti procedurali diversi. In secondo luogo, la ripartizione delle responsabilità di tutti i soggetti coinvolti nel processo di valutazione si complica esponenzialmente.
- Cosa deve fare il DPO? Il DPO deve prepararsi a presidiare due processi distinti ma sovrapposti. Fondamentale non dare per scontato che un sistema “ad alto rischio” per l’AI Act richieda automaticamente una DPIA, o viceversa. L’analisi va fatta su entrambi i binari.
Punti chiave per DPO: obblighi informativi e supervisione umana
L’interazione fra le norme genera obblighi informativi sovrapposti. Il GDPR (Art. 13-14, 22) li configura come diritti individuali dell’interessato. L’AI Act (Art. 14, 26, 86) li inquadra come responsabilità organizzative integrate nella fase di progettazione del prodotto (che deve prevedere la possibilità di supervisione umana), integrate da uno specifico diritto alla spiegazione.
- Cosa deve fare il DPO? Verificare che le informazioni obbligatorie fornite ai sensi dell’AI Act siano state utilizzate anche per “arricchire” e rendere più chiara, completa e, quindi, conforme l’informativa privacy (GDPR).
Punti chiave per DPO: registri e tracciamento dei log
L’Art. 30 del GDPR (registro delle attività di trattamento) si sovrappone ai requisiti di tracciamento dei log e di elaborazione e conservazione della documentazione tecnica previsti dell’AI Act (Art. 11, 12, 26). Le organizzazioni si trovano a dover implementare strutture parallele di gestione dei registri per soddisfare entrambi i regimi.
- Cosa deve fare il DPO? Verificare i margini di integrazione reciproca dei documenti elaborati, in modo da rendere i processi di gestione più efficienti e la compliance presidiabile senza sforzi eccessivi.
Punti chiave per DPO: trattamento di dati particolari (Art. 9)
L’AI Act (Art. 10(5)) consente il trattamento di dati particolari (es. dati biometrici o sulla salute) per monitorare e correggere le distorsioni (bias) dei sistemi ad alto rischio. Tuttavia, lo studio chiarisce che questo non costituisce una nuova base giuridica ai sensi dell’Art. 9(2) del GDPR. I deployer devono comunque identificare una deroga valida (es. “interesse pubblico rilevante”).
- Cosa deve fare il DPO? In assenza di una base giuridica (Art. 9(2) GDPR), il DPO deve segnalare che il trattamento per la correzione del bias, seppur incentivato dall’AI Act, non è lecito.
Punti chiave per DPO: l’esercizio dei diritti degli interessati
Questa è una lacuna (gap) fondamentale. I diritti previsti dal GDPR (accesso, rettifica, cancellazione e opposizione) possono rivelarsi concretamente impraticabili (“practically infeasible”) quando i dati personali vengono “assorbiti” nei pesi del modello (es. in un LLM).
- Cosa deve fare il DPO? Verificare e segnalare, ove necessario, i casi in cui non sia possibile dar seguito, concretamente, alle istanze privacy degli interessati per impossibilità tecniche. Suggerire, in base al caso concreto, le azioni da intraprendere (l’implementazione di specifiche misure o la consultazione preventiva).
Punti chiave per DPO: la segnalazione degli incidenti
Qui gli obblighi si cumulano. Un singolo incidente potrebbe richiedere molteplici notifiche ad Autorità diverse. Soffermandoci sulle interazioni fra AI Act e GDPR, l’Art. 73 dell’AI Act prevede la segnalazione degli incidenti gravi alle autorità di vigilanza del mercato, l’Art. 33 del GDPR alle autorità di controllo competenti.
- Cosa deve fare il DPO? Mappare in anticipo le responsabilità di notifica, supportare l’organizzazione nell’integrare la procedura di gestione dei “data breach” (GDPR) con le altre procedure di segnalazione degli incidenti.
Azioni concrete in attesa di linee guida congiunte EDPB | AI Office
Lo studio rileva che l’attuale panorama legislativo digitale europeo soffre di tre problemi principali:
- è altamente oneroso (richiede competenze specialistiche);
- è altamente frammentato (molteplici leggi e molteplici autorità di vigilanza);
- è privo di una logica coerente.
Di fronte a queste criticità, Il DPO deve farsi promotore di un nuovo paradigma: il passaggio da una compliance su più livelli distinti (per ciascuna norma applicabile), ad una “compliance integrata”. Mappare obblighi comuni e sovrapposizioni (valutazioni, registri, notifiche), armonizzare le policy e dialogare con le altre funzioni aziendali non è più un’opzione, ma una necessità strategica.
In un contesto così complesso e in rapida evoluzione, il confronto tra professionisti diventa fondamentale per sviluppare best practice condivise. L’iscrizione all’Associazione è il primo passo per affrontare queste sfide insieme, come comunità di esperti.
