GDPR e AI Act per PMI italiane: cosa devi sapere prima di usare l'intelligenza artificiale in azienda

di Matteo Magliozzi · · 8 min di lettura

Se hai pensato di portare l'intelligenza artificiale in azienda, è probabile che tra le prime preoccupazioni ci sia stata una domanda del tipo: "Sì, ma sarà legale? Posso davvero dare i dati dei miei clienti a uno di questi sistemi? Cosa rischio se sbaglio?". È una preoccupazione legittima, e fa onore a chi la pone: significa che stai ragionando da imprenditore serio, non solo da entusiasta della novità. Le due regole che ti riguardano sono GDPR e AI Act, e la buona notizia è che la risposta non è complicata come sembra: ci sono tre cose che devi controllare prima di partire. Le vediamo qui sotto, in italiano e senza legalese.

Cos'è il GDPR in pratica per una PMI

Il GDPR è la legge europea sulla privacy in vigore dal 2018. In pratica dice una cosa semplice: i dati delle persone (clienti, dipendenti, fornitori) non sono tuoi, sono loro. Tu li puoi usare, ma devi farlo con criterio, devi dire a cosa ti servono, devi proteggerli, e quando una persona te li chiede indietro o ti chiede di cancellarli, devi farlo.

Per una PMI che vende prodotti o servizi, in pratica significa rispettare cinque principi semplici:

  • Sai quali dati hai e dove sono. Non puoi proteggere quello che non sai di avere. Una mappa, anche solo su un foglio Excel, dei dati che raccogli (clienti, contatti, dipendenti, candidati) e di dove li tieni.
  • Hai un motivo per averli. Non si raccolgono dati "perché magari un giorno servono". Ogni dato deve avere uno scopo: emettere fattura, gestire un ordine, mandare la newsletter (con consenso esplicito).
  • Hai detto al cliente cosa ne fai. Privacy policy chiara sul sito, informativa quando raccogli dati offline. Non serve un romanzo: bastano poche righe oneste.
  • I dati sono protetti. Password decenti, backup, accesso solo a chi serve. Non significa avere un bunker: significa non lasciare il file dei clienti aperto sulla scrivania o sul computer di uno stagista.
  • Sai chi tocca i tuoi dati oltre a te. Il commercialista, il consulente, il fornitore di gestionale, l'agenzia che ti fa la newsletter. Sono "responsabili esterni" e ognuno deve avere un contratto con te (lo chiamano nomina del responsabile, ma è una mezza pagina, niente di più).

Se queste cinque cose le hai a posto, sei già coperto sul 90% di quello che ti chiede il GDPR. L'AI non cambia le regole, le applica a un nuovo strumento.

Cos'è l'AI Act e cosa cambia per chi usa l'IA in azienda

L'AI Act è la prima legge al mondo che regola l'intelligenza artificiale, approvata dall'Unione Europea nel 2024 ed entrata in vigore in modo progressivo. Si affianca al GDPR, non lo sostituisce: GDPR e AI Act lavorano insieme, uno si occupa dei dati personali, l'altro di come l'AI li usa.

L'AI Act divide i sistemi per livello di rischio. Per la stragrande maggioranza delle PMI che usa l'IA su fatture, ordini o assistenza clienti, si rientra nella categoria a rischio minimo o limitato: niente obblighi pesanti, solo buon senso e trasparenza verso il cliente. I paletti seri (documentazione, valutazioni di impatto, controllo umano formalizzato) scattano per usi specifici come AI per selezionare il personale, valutare il merito creditizio o prendere decisioni su istruzione e sanità: se non sei in queste aree, GDPR e AI Act ti chiedono in pratica le stesse tre cose, niente di più.

Le 5 domande GDPR e AI Act da fare al fornitore prima di firmare

Qui sta il vero discrimine tra un fornitore serio e uno che vende fumo. Prima di firmare qualunque contratto per un sistema di AI in azienda, fai queste cinque domande: coprono in modo pratico tutto quello che GDPR e AI Act ti chiedono di controllare. Le risposte giuste sono in fondo: se non te le sa dare, cambia fornitore.

  1. Dove sono fisicamente i server che ospitano i nostri dati? Risposta giusta: Italia o un Paese UE. Se ti rispondono "cloud" o "Stati Uniti" senza altre specifiche, c'è da approfondire.
  2. I nostri dati vengono usati per addestrare l'AI, vostra o di altri? Risposta giusta: no, mai. Deve essere scritto in contratto, non solo detto a voce.
  3. Chi ha accesso ai nostri dati dalla vostra parte? Risposta giusta: solo il personale tecnico autorizzato, con accessi tracciati, e nessun subfornitore extra UE senza il vostro consenso scritto.
  4. Cosa succede ai nostri dati se un domani smettiamo di lavorare con voi? Risposta giusta: ce li restituiscono in un formato leggibile e li cancellano dai loro sistemi entro un tempo definito (di solito 30-90 giorni).
  5. C'è sempre una persona che può controllare e correggere quello che fa l'AI? Risposta giusta: sì, e il sistema è progettato per non prendere decisioni in autonomia su casi importanti.

Tutte e cinque le risposte vanno messe nero su bianco: in contratto principale o in un allegato sul trattamento dati. Se il fornitore tentenna su una sola di queste, è un campanello d'allarme.

Dove devono stare i dati: Italia, Europa o fuori?

I dati devono stare in UE. Italia, Germania, Francia, Irlanda vanno bene allo stesso modo, perché tutta l'Unione è coperta dal GDPR. Se il fornitore dice "Stati Uniti", chiedi garanzie scritte (certificazione e clausole sul trattamento). Se dice "cloud" senza specificare dove, è un campanello d'allarme: GDPR e AI Act ti chiedono di sapere esattamente dove vivono i tuoi dati, e un fornitore serio deve poterlo dire in tre righe di contratto.

Supervisione umana: il principio chiave di GDPR e AI Act

Una delle parole chiave di GDPR e AI Act è "supervisione umana". Sembra burocrazia, ma è una cosa molto pratica: il principio è che l'AI può aiutare a decidere, ma non deve decidere da sola sulle cose che contano.

In una PMI questo si traduce in tre regole semplici:

  • L'AI propone, la persona conferma. Se il sistema legge una fattura ed estrae i dati per l'automazione amministrativa, il dipendente vede a colpo d'occhio cosa ha letto e dà l'ok prima che entri in contabilità. Non serve controllare manualmente ogni virgola, basta poter intervenire in caso di anomalia.
  • I casi anomali si fermano. Documento illeggibile, risposta non sicura, importo fuori scala: il sistema ben fatto non tira a indovinare, segnala e aspetta.
  • C'è sempre una via d'uscita per il cliente. Se un cliente sta parlando con un agente AI e vuole un essere umano, deve poterlo chiedere e ottenere in tempi ragionevoli. Niente loop infiniti dentro il bot.

La supervisione umana non è un freno alla produttività: è quello che separa un'automazione che funziona da una che, prima o poi, ti combina un guaio costoso. Un fornitore serio te la propone già di default, senza aspettare che gliela chieda tu.

Vuoi capire se quello che sta proponendoti un fornitore è in regola con GDPR e AI Act, prima di firmare? Prenota una call gratuita di 30 minuti: leggiamo insieme la proposta e ti diciamo onestamente cosa va, cosa va chiarito e cosa è meglio cambiare.

Cosa rischia una PMI che non rispetta GDPR e AI Act

Il rischio reale per una PMI non sono le multe milionarie del GDPR (quelle colpiscono i grandi gruppi) ma tre cose molto più concrete: segnalazione al Garante Privacy da parte di un cliente, dipendente o concorrente, che porta a un'istruttoria e a una sanzione proporzionata; cliente che chiede i danni se un suo dato finisce dove non doveva; clienti enterprise che non ti fanno passare l'audit fornitori, perché ormai chiedono garanzie scritte su GDPR e AI Act prima di firmare. Quest'ultimo è il rischio commerciale più sottovalutato. Adeguarsi, per una PMI normale, è un lavoro di poche settimane. Non adeguarsi, prima o poi, costa molto di più.

Checklist pratica GDPR e AI Act prima di partire

Riepilogo operativo. Stampa questa lista, vai a controllare in azienda, segna cosa è a posto e cosa manca:

  • Hai una privacy policy aggiornata sul sito, scritta in italiano comprensibile, con almeno una menzione del fatto che usi strumenti automatizzati e/o AI.
  • Hai un registro dei trattamenti (anche solo su Excel) con l'elenco di che dati raccogli, perché, dove li tieni, chi vi accede.
  • Hai i contratti firmati con i tuoi fornitori esterni che toccano dati (commercialista, gestionale, hosting, fornitori di AI): la nomina del responsabile esterno.
  • Hai un fornitore di AI con server in UE (o equivalente) e clausola scritta di non addestramento sui tuoi dati.
  • Sei in grado di rispondere in tempi ragionevoli (entro un mese) a un cliente che chiede di vedere, correggere o cancellare i suoi dati.
  • Quando un cliente parla con un agente AI in chat o via WhatsApp, lo dichiari all'inizio della conversazione.
  • Hai definito chi, in azienda, è la persona che può fermare o correggere quello che fa l'AI in caso di anomalie.

Sette punti. Se ne hai a posto sei o sette, sei in buona posizione su GDPR e AI Act e l'IA la puoi attivare con tranquillità. Se ne mancano molti, il primo passo non è scegliere il fornitore di AI: è sistemare le basi GDPR. È un lavoro di poche settimane con un consulente o un avvocato amico, e poi sei a posto per anni.

Se vuoi un occhio esterno onesto sul tuo punto di partenza, su chi siamo trovi come lavoriamo. Per parlarne in concreto, prenota una call gratuita: in 30 minuti capiamo insieme cosa hai già a posto, cosa manca, e se ha senso partire con un primo progetto di agenti AI nella tua azienda.

Nota: questo articolo è informativo e divulgativo, non costituisce consulenza legale. Per situazioni specifiche, in particolare se la tua azienda tratta dati sanitari, dati di minori o usa l'AI per decisioni HR e creditizie, è opportuno confrontarsi con un avvocato o con un DPO qualificato. Le normative citate sono il Regolamento UE 2016/679 (GDPR) e il Regolamento UE 2024/1689 (AI Act).

Condividi
LinkedIn WhatsApp
Domande frequenti

Le domande che riceviamo più spesso da imprenditori che si chiedono cosa serve fare, in pratica, per usare l'AI in azienda senza prendersi rischi inutili. Se non trovi la tua, scrivici.

Devo nominare un DPO se uso l'intelligenza artificiale in azienda?

Quasi sempre no. Il DPO (Responsabile della Protezione dei Dati) è obbligatorio solo per pubbliche amministrazioni, aziende che monitorano sistematicamente le persone su larga scala (es. videosorveglianza estesa) o che trattano dati particolari (sanitari, giudiziari) come attività principale. La maggior parte delle PMI che usa l'AI per fatture, ordini o customer care non è obbligata a nominarlo, ma deve comunque tenere il registro dei trattamenti aggiornato.

Posso usare ChatGPT con i dati dei miei clienti?

Con la versione gratuita o Plus di ChatGPT, no: i dati che incolli possono essere usati per addestrare i modelli e finiscono su server fuori dall'UE. Per uso aziendale servono versioni business (ChatGPT Enterprise, API con clausola di non addestramento, oppure soluzioni che girano su infrastruttura europea) in cui il fornitore garantisce per contratto che i tuoi dati non vengono usati per addestrare nessun modello.

Cosa rischio se non mi adeguo a GDPR e AI Act?

Per il GDPR le sanzioni teoriche arrivano al 4% del fatturato annuo, ma per le PMI il rischio realistico più frequente è una segnalazione del cliente o del dipendente al Garante Privacy, che porta a un'ispezione e a una sanzione proporzionata (di solito tra qualche migliaio e qualche decina di migliaia di euro). L'AI Act ha sanzioni anche più alte ma colpisce sistemi a rischio alto: una PMI che usa l'AI per automatizzare fatture o customer care non è quasi mai in quella categoria.

I dati devono per forza stare in Italia?

No, ma devono stare in Unione Europea (o in un Paese che il GDPR considera adeguato, come la Svizzera). Italia, Germania, Irlanda e Francia vanno bene allo stesso modo. Server negli Stati Uniti sono accettabili solo se il fornitore aderisce al Data Privacy Framework UE-USA o usa clausole contrattuali standard. La risposta giusta da chiedere al fornitore è: dove sono fisicamente i server che ospitano i nostri dati?

Devo dire ai miei clienti che uso l'AI?

Sì, in due casi precisi: se un agente AI parla direttamente con il cliente (chat, email, telefono), il cliente deve sapere che dall'altra parte non c'è una persona; e se l'AI è coinvolta in decisioni che impattano il cliente (concessione di credito, prezzi personalizzati, selezione del personale), va dichiarato in privacy policy. Se invece l'AI legge documenti interni o prepara bozze che poi un dipendente controlla e invia, non c'è obbligo di dichiararlo.

Articoli correlati

29 Aprile 2026|Guide

Digitalizzazione PMI: da dove partire con l'intelligenza artificiale
29 Aprile 2026|Agenti AI

Chatbot e intelligenza artificiale: guida per PMI
29 Aprile 2026|Guide

Automazione dei processi aziendali: cosa significa e da dove partire

Vuoi portare l'IA nella tua azienda?

Raccontaci le tue esigenze: analizziamo insieme i tuoi processi e ti mostriamo come automatizzarli.

Parlaci del tuo progetto
Innovati con Superia
Facebook Icon Instagram Icon
Esplora
Home
Come lavoriamo Faqs Chi Siamo Blog
Soluzioni
Automazione Operativa Automazione Amministrativa Agenti AI Conversazionali CRM & Integrazioni Preventivi e Report
Altri Servizi
E-commerce Siti Web
Facebook Icon Instagram Icon

Copyright © 2026 - P.IVA 03358200594 - Superia

Cookies
Termini & Condizioni
Privacy