Negli ultimi anni l’Intelligenza Artificiale è entrata in azienda in modo silenzioso, spesso senza veri progetti “AI” dichiarati.
Software gestionali sempre più evoluti, strumenti di marketing, sistemi HR, piattaforme di analisi e supporto decisionale utilizzano algoritmi che automatizzano valutazioni, suggerimenti e scelte.
Con l’AI Act europeo(Regolamento UE 2024/1689 sull’intelligenza Artificiale, entrato in vigore il 2 agosto 2024) questo scenario cambia profondamente: non basta più chiedersi se un trattamento sia lecito, ma anche che impatto hanno le decisioni supportate o prese dall’IA sulle persone.
AI Act e GDPR: non due mondi separati
Un chiarimento fondamentale: l’AI Act non sostituisce il GDPR.
Ogni volta che un sistema di Intelligenza Artificiale utilizza dati personali, incide su persone fisiche o supporta decisioni che producono effetti significativi, GDPR e AI Act si applicano insieme.
Questo significa che le aziende devono adottare un approccio integrato, in cui privacy, tecnologia e governance dialogano tra loro. Non è una nuova “compliance”, ma un ampliamento di quella esistente.
Come si trasforma il ruolo del DPO
Il DPO, così come previsto dal GDPR, ha sempre avuto un ruolo di vigilanza e consulenza sul corretto trattamento dei dati personali; con l’AI Act, questo ruolo si evolve in modo naturale, ma sostanziale.
Il DPO non entra nel codice, ma entra nella logica decisionale ed oggi è chiamato anche a:
• comprendere come funzionano i sistemi che elaborano dati e producono output;
• valutare se un sistema introduce rischi di discriminazione, automatismi non controllati o mancanza di trasparenza;
• verificare che l’uso dell’IA sia coerente con le finalità dichiarate e con le basi giuridiche esistenti;
• aiutare l’azienda a dimostrare di aver agito in modo responsabile, proporzionato e documentato.
Perché l’AI Act riguarda anche aziende “non tecnologiche”
Un equivoco frequente è pensare che l’AI Act riguardi solo chi sviluppa software di Intelligenza Artificiale ma in realtà, anche chi utilizza sistemi di IA è responsabile del loro governo.
Pensiamo a esempi molto comuni: selezione o valutazione di personale supportata da software automatizzati, profilazione di clienti o utenti, strumenti che suggeriscono azioni commerciali, priorità, scoring o classificazioni.
In questi casi l’azienda non può limitarsi a “fidarsi del fornitore” e deve essere in grado di spiegare perché usa quel sistema e come ne controlla gli effetti.
AI Act rende esplicito un principio che il GDPR già anticipava: Il DPO come presidio di equilibrio tra innovazione e rischio
Per molte organizzazioni, l’introduzione di strumenti basati su IA è una scelta necessaria per restare competitive; il rischio non è usare l’IA, ma usarla senza consapevolezza.
In questo scenario, il DPO diventa un elemento chiave della strategia aziendale, non solo un adempimento formale.
Un DPO aggiornato sull’AI Act:
• aiuta a scegliere meglio le soluzioni tecnologiche;
• evita blocchi operativi dell’ultimo minuto;
• riduce il rischio di contestazioni, reclami o ispezioni;
• rende l’innovazione sostenibile nel tempo.
Il valore di un DPO esterno nell’era dell’AI Act
In mc3 innovation affianchiamo le aziende anche come DPO esterno, integrando competenze privacy e governance dell’Intelligenza Artificiale e questo permette di:
• avere un unico referente su GDPR e AI Act;
•tradurre norme complesse in scelte operative concrete;
•costruire processi proporzionati alla reale struttura aziendale;
• aggiornare la compliance nel tempo, senza strappi o sovraccarichi burocratici.
Avv. Annalisa Barbaglia