AI e GDPR PMI: regole operative chiare su cosa puoi fare con i dati dei clienti, quando serve il DPA, quando la DPIA, e come aggiornare l'informativa privacy.
In sintesi
AI e GDPR per le PMI italiane: la risposta diretta è che usare strumenti di intelligenza artificiale in azienda non viola automaticamente la normativa sulla privacy. Viola il GDPR quando inserisci dati personali dei tuoi clienti in strumenti che non hai configurato correttamente, o con cui non hai firmato il contratto giusto.
Il punto di confusione più comune è binario: molte PMI pensano "AI = rischio GDPR" e restano ferme. Altre pensano "uso il chatbot da web e nessuno lo sa" e si espongono a sanzioni evitabili. Le regole operative sono meno complicate di quanto sembri, e in questo articolo le trovi in forma pratica.
Il GDPR — Regolamento UE 2016/679 — non menziona esplicitamente l'intelligenza artificiale. Ma ogni volta che uno strumento AI elabora dati che permettono di identificare una persona fisica (un cliente, un dipendente, un fornitore), si applicano tutte le regole ordinarie: base giuridica del trattamento, trasparenza verso l'interessato, minimizzazione dei dati, limitazione della conservazione.
Il Garante italiano ha chiarito questa posizione in modo diretto con il caso OpenAI nel 2023–2024, che si è concluso con una sanzione da 15 milioni di euro per raccolta illecita di dati e mancanza di trasparenza. Nel marzo 2026 il Tribunale di Roma ha annullato quella sanzione (sentenza n. 4153/2026), ma il principio rimane invariato: chi offre servizi AI che trattano dati di cittadini europei deve rispettare il GDPR, e chi li usa ne è responsabile come titolare del trattamento.
Per le aziende, questo significa: se inserisci dati dei tuoi clienti in un sistema AI esterno, sei tu a dover garantire che quei dati vengano gestiti in modo conforme.
La distinzione pratica che ogni PMI deve fare è una sola: l'AI sta lavorando su dati anonimi o su dati personali?
| Attività | Consentita senza adempimenti aggiuntivi | Richiede DPA + configurazione |
|---|---|---|
| Scrivere bozze di email generiche | ✅ | — |
| Tradurre documenti senza nomi | ✅ | — |
| Analisi di mercato su dati pubblici | ✅ | — |
| Rispondere a FAQ generali del sito | ✅ | — |
| Riepilogare una riunione con nomi dei partecipanti | ❌ | ✅ Con DPA firmato |
| Analizzare email di clienti con dati identificativi | ❌ | ✅ Con DPA e base giuridica |
| Scoring automatico dei lead nel CRM | ❌ | ✅ Con DPA + eventuale DPIA |
| Profilazione clienti per campagne marketing | ❌ | ✅ Con consenso esplicito |
Regola pratica da tenere a mente: se il documento o il prompt contiene nomi, email, numeri di telefono, indirizzi, dati di salute, situazioni finanziarie o qualsiasi informazione riconducibile a una persona fisica, sei in ambito GDPR completo.
Quello che puoi usare liberamente con qualsiasi strumento AI — anche consumer — sono bozze di testi generici, idee per campagne, riassunti di articoli pubblici, codice, analisi di settore senza dati individuali. Non appena entrano i dati delle persone, si cambia regime.
Quando usi un servizio AI che elabora dati personali per conto tuo, quel fornitore diventa il tuo responsabile del trattamento (Data Processor). Il GDPR ti obbliga ad avere con lui un contratto scritto che disciplina come gestisce i dati, per quanto tempo li conserva, dove li archivia e cosa succede in caso di violazione.
Questo contratto si chiama DPA — Data Processing Agreement. La maggior parte dei provider enterprise lo fornisce già nelle condizioni di servizio business, ma devi attivarlo esplicitamente.
Il problema è la distinzione tra versioni consumer e versioni business:
La prima verifica concreta da fare: per ogni strumento AI in azienda che gestisce dati personali, hai un DPA firmato con il provider? Se la risposta è no, o stai usando la versione consumer, o hai un gap di conformità che va chiuso prima di qualsiasi altra cosa.
La DPIA — Valutazione d'Impatto sulla Protezione dei Dati — è uno step aggiuntivo e non obbligatorio per ogni uso dell'AI. Scatta quando il trattamento "può presentare un rischio elevato per i diritti e le libertà delle persone fisiche" (art. 35 GDPR).
Concretamente, la DPIA è necessaria quando l'AI:
Il 14 aprile 2026 l'EDPB ha adottato il primo template ufficiale per la DPIA, disponibile per consultazione pubblica. Non è obbligatorio usare quel modello, ma è uno strumento pratico che guida passo per passo.
Per la maggior parte delle PMI che usano un chatbot di customer service o automatizzano la gestione delle email, la DPIA non è necessaria. Per chi usa AI per valutare i dipendenti, fare scoring automatico sul credito o profilare clienti in settori regolamentati (assicurazioni, finanza, sanità), è un adempimento obbligatorio.
Prendi uno studio di consulenza fiscale con 25 dipendenti. Usano HubSpot come CRM e vogliono integrare un assistente AI per rispondere alle email dei clienti più velocemente.
I clienti inviano email con codici fiscali, situazioni patrimoniali, dati reddituali. Se l'assistente AI processa questi messaggi, siamo in ambito GDPR completo — dati sensibili di natura finanziaria, trattamento per conto terzi.
Come si struttura correttamente:
Risultato: conformità GDPR completa senza DPIA, con un assistente AI operativo in 3–4 settimane.
Mappare questo percorso — DPA da firmare, trattamenti da aggiornare, informative da revisionare — è esattamente il tipo di lavoro che si copre in un audit AI a 90 giorni, dove si parte dalla situazione attuale e si arriva a un'implementazione strutturata e documentata.
Se usi AI in azienda e non lo menzioni nell'informativa privacy, sei fuori dalla regola di trasparenza del GDPR anche se tutto il resto è in ordine.
Non serve una pagina legale complessa. Bastano poche frasi chiare che coprono quattro elementi:
Se l'AI prende decisioni automatiche con effetti significativi sulla persona — ad esempio rifiuto automatico di una richiesta o calcolo di un punteggio che influenza un contratto — devi indicarlo esplicitamente e garantire il diritto di revisione umana.
Una fonte di confusione diffusa tra le PMI è trattare AI Act e GDPR come se fossero la stessa normativa. Non lo sono, e hanno scadenze diverse.
Il GDPR disciplina il trattamento dei dati personali. È in vigore dal 2018, si applica adesso a ogni uso di AI che coinvolge dati di persone fisiche, e le sanzioni arrivano al 4% del fatturato annuo globale.
L'AI Act (Regolamento UE 2024/1689) classifica i sistemi AI per livello di rischio e impone obblighi a chi li sviluppa o distribuisce in Europa. Per le PMI che usano strumenti AI di terzi senza costruirli, oggi l'impatto è limitato a due punti:
Per chi usa chatbot, automazione email o assistenti AI generici, l'AI Act oggi non aggiunge obblighi pratici rispetto al GDPR. Il fronte su cui agire subito è la gestione dei dati personali.
Come PMI devo avere un DPO per usare l'AI in azienda? No, salvo casi specifici. Il DPO (Data Protection Officer) è obbligatorio solo per enti pubblici, aziende che trattano dati sensibili su larga scala, o organizzazioni che monitorano sistematicamente persone su larga scala. Una PMI che usa AI per automazione del customer service o gestione documentale interna normalmente non rientra in questi criteri. È tuttavia buona pratica nominare un referente interno che tenga aggiornata la documentazione GDPR.
Posso usare ChatGPT gratuito per lavorare su email dei clienti? No. La versione gratuita di ChatGPT non prevede un DPA e i tuoi input possono essere usati per addestrare il modello. Se devi elaborare messaggi che contengono dati personali dei clienti, devi usare la versione Enterprise o l'API con DPA firmato. Con quelle versioni, OpenAI si impegna contrattualmente a non usare i dati per il training e a rispettare i requisiti GDPR.
Cosa rischio se il Garante scopre che uso AI senza conformità GDPR? Le sanzioni GDPR arrivano fino al 4% del fatturato annuo globale o 20 milioni di euro. Nella pratica, per le PMI il Garante tende a partire da misure correttive e richiami prima di applicare sanzioni massime. Il costo reale spesso non è la multa, ma la gestione dell'intervento correttivo urgente, l'eventuale notifica agli interessati della violazione e il danno alla reputazione verso i clienti.
Devo aggiornare l'informativa privacy se aggiungo un chatbot al sito? Sì, sempre. Un chatbot che interagisce con i visitatori raccoglie dati — quantomeno la conversazione, spesso nome e email se l'utente li fornisce. L'informativa deve indicare che esiste il chatbot, chi è il provider, per quale scopo vengono usati i dati e per quanto tempo vengono conservati. È un adempimento rapido ma non opzionale.
Qual è la differenza pratica tra GDPR e AI Act per una PMI? Il GDPR riguarda i dati personali e vale oggi per qualsiasi uso di AI che tocca dati di persone fisiche. L'AI Act riguarda i sistemi AI classificati per rischio, e per le PMI che usano strumenti di terzi l'obbligo concreto attuale è garantire che il proprio personale abbia competenze adeguate per usare l'AI (AI literacy, obbligo dal febbraio 2025). Da agosto 2026 entreranno obblighi più stringenti per i sistemi ad alto rischio, ma per la grande maggioranza delle PMI italiane il fronte prioritario rimane il GDPR.