Alpiflow
Tutti gli articoli
ai-act · gdpr · compliance · pmi

AI Act vs GDPR: dove si sovrappongono nelle PMI italiane

Due regolamenti, due autorità, una sola azienda. Dove AI Act e GDPR si sovrappongono operativamente per una PMI italiana: DPIA, FRIA, registro trattamenti, vigilanza doppia Garante-ACN, EDPB Opinion 28/2024.

Autore · Alpiflow Studio Lettura · 10 min
Indice · 11 sezioni
  1. 01Il vostro DPO vi farà la stessa domanda
  2. 02La struttura: due regolamenti, due autorità, una sola azienda
  3. 03Le sovrapposizioni operative tipiche in una PMI
  4. 04DPIA art. 35 GDPR vs FRIA art. 27 AI Act: la differenza chiave
  5. 05Quando una PMI manifatturiera è obbligata a FRIA (e quando no)
  6. 06Cosa cambia nel registro trattamenti
  7. 07La duplice vigilanza Garante + ACN (e perché manca un protocollo)
  8. 08EDPB Opinion 28/2024: cosa ha cambiato
  9. 09La direttiva piattaforme digitali: overlap settoriale
  10. 10Pratica: cosa fare se siete già GDPR-compliant
  11. 11Cosa facciamo noi di default

AI Act vs GDPR: dove si sovrappongono nelle PMI italiane

Il vostro DPO vi farà la stessa domanda

"Il sistema AI che state per attivare richiede una DPIA o una FRIA? O entrambe?". È la prima domanda che il DPO o il consulente privacy fa quando in azienda spunta un nuovo progetto AI. La risposta breve è: dipende dal sistema, dal vostro ruolo, e dalla categoria di rischio. La risposta lunga è in questa pagina.

Non è una guida normativa esaustiva. È la mappa operativa di dove le due normative si parlano (e dove si pestano i piedi) per una PMI italiana 30-250 dipendenti che già è in regola GDPR e sta aggiungendo l'AI Act sopra.

La struttura: due regolamenti, due autorità, una sola azienda

GDPR (Reg. UE 2016/679) AI Act (Reg. UE 2024/1689)
Cosa protegge I dati personali e i diritti degli interessati Il funzionamento sicuro e affidabile dei sistemi AI + i diritti fondamentali
Autorità Italia Garante per la Protezione dei Dati Personali ACN (vigilanza/sanzioni) + AgID (conformità/sandbox), ex L. 132/2025
Obbligo base Valutazione d'impatto (DPIA) ex art. 35 per trattamenti ad alto rischio Valutazione d'impatto sui diritti fondamentali (FRIA) ex art. 27 per deployer specifici di sistemi alto rischio
Sanzioni Fino a 20 M€ o 4% fatturato mondiale Fino a 35 M€ o 7% per pratiche vietate, 15 M€ o 3% per altri obblighi

Entrambe le normative si applicano direttamente in Italia. Per una PMI manifatturiera con dati personali (clienti, dipendenti, fornitori) e sistemi AI in uso, il rispetto di una non esonera dal rispetto dell'altra. Anzi: le due normative si cumulano.

Le sovrapposizioni operative tipiche in una PMI

Cinque casi concreti che NicFab Blog ha mappato (post del 4 maggio 2026) e che ricorrono nelle PMI italiane:

  1. Training di un sistema AI custom su dati personali aziendali: GDPR (DPIA art. 35 + base giuridica ex art. 6) + AI Act (se sistema alto rischio: FRIA art. 27 per deployer specifici).
  2. Uso di generative AI con prompt che contengono dati cliente (es. un commerciale incolla in ChatGPT un'email del cliente per riformularla): GDPR (necessario verificare base giuridica, eventuale DPIA, clausola "no training" del fornitore) + AI Act (Art. 50 trasparenza se l'output è poi pubblicato).
  3. Profilazione predittiva (es. scoring di rischio di abbandono di un dipendente, segmentazione cliente per pricing dinamico): GDPR (DPIA + art. 22 sulle decisioni automatizzate + diritto intervento umano) + AI Act (eventuale FRIA + obblighi alto rischio).
  4. HR screening CV automatizzato: GDPR (DPIA obbligatoria) + AI Act (alto rischio Annex III punto 4 + obblighi deployer art. 26 + AI literacy specifica art. 4). FRIA art. 27 obbligatoria solo per deployer specifici (organismi pubblici, soggetti privati che forniscono servizi pubblici), tipicamente non per una PMI manifatturiera privata.
  5. Biometria per accesso o timbratura: GDPR (DPIA obbligatoria per dati biometrici art. 9) + AI Act (vietato dall'art. 5 se si tratta di categorization biometrica, ammesso se solo one-to-one verification).

Approfondiamo cosa pretendere dai fornitori AI sul fronte privacy in GDPR e AI: cosa firmare prima di far processare dati.

DPIA art. 35 GDPR vs FRIA art. 27 AI Act: la differenza chiave

La tentazione naturale è dire "se ho già fatto la DPIA, ho coperto anche la FRIA". È sbagliato.

NicFab Blog l'ha spiegato in modo chirurgico: "La DPIA e la FRIA non sono varianti procedurali della stessa valutazione. Sono strumenti regolatori distinti, costruiti su paradigmi differenti, con oggetti, soggetti tenuti, contenuti e regimi probatori asimmetrici. La clausola di assorbimento dell'Art. 27, paragrafo 4, AI Act non autorizza la sostituzione, ma soltanto l'economia documentale".

Le differenze sostanziali in una tabella:

DPIA (GDPR art. 35) FRIA (AI Act art. 27)
Oggetto Trattamento di dati personali Sistema AI alto rischio (anche senza dati personali)
Soggetto obbligato Titolare del trattamento Deployer specifici: organismi pubblici, soggetti privati che forniscono servizi pubblici, deployer di certi sistemi Annex III (banche/assicurazioni per scoring)
Diritti tutelati Diritti GDPR (riservatezza, accesso, cancellazione, art. 22 ecc.) Tutti i diritti fondamentali UE (libertà, dignità, eguaglianza, lavoro ecc.)
Periodo e frequenza d'uso Non specificamente richiesto Richiesto esplicitamente
Mappatura categorie persone interessate Solo categorie i cui dati sono trattati Anche categorie senza trattamento di dati personali

L'art. 27, par. 4 dell'AI Act introduce una clausola di assorbimento: "Se uno qualsiasi degli obblighi di cui al presente articolo è già rispettato attraverso la valutazione d'impatto sulla protezione dei dati condotta a norma dell'art. 35 del regolamento (UE) 2016/679, la valutazione d'impatto sui diritti fondamentali di cui al paragrafo 1 del presente articolo integra tale valutazione d'impatto sulla protezione dei dati".

AgendaDigitale.eu ha sintetizzato la portata pratica: "L'AI Act richiama in proposito il GDPR, precisando che se tali profili sono già stati considerati nella DPIA, la FRIA integra tale DPIA. Dunque, ragionevolmente, gli utilizzatori possono rinviare alla DPIA per quanto già in essa illustrato e analizzato".

Sintesi operativa: se siete già obbligati a DPIA su un trattamento, e sopra c'è un sistema AI alto rischio per cui scatta anche FRIA, il documento finale può essere uno solo, ma deve coprire tutti i contenuti delle due valutazioni, non solo quelli GDPR.

Quando una PMI manifatturiera è obbligata a FRIA (e quando no)

L'ambito soggettivo dell'art. 27 è ristretto. Aiacto.eu lo ha messo bene: "Contrary to what its name might suggest, the FRIA does not apply to all deployers of high-risk systems. Article 27 restricts it to specific categories".

Una PMI manifatturiera privata che usa AI per HR screening CV è in alto rischio (Annex III punto 4(a)) ma non è obbligata a FRIA: non è organismo pubblico, non eroga servizi pubblici, non rientra in banche/assicurazioni (Annex III 5b-c). Resta però obbligata a tutti gli altri obblighi del deployer (art. 26 AI Act) e alla DPIA ex art. 35 GDPR.

Eccezione pratica importante: rischio reputazionale e supply chain. Se siete fornitori della PA o partecipate a gare pubbliche, può essere richiesto come requisito contrattuale di dimostrare una valutazione d'impatto sui diritti fondamentali. In quel caso conviene fare la FRIA volontariamente, anche se non obbligati legalmente. Trattazione completa nel pezzo dedicato a FRIA per PMI.

Cosa cambia nel registro trattamenti

Il registro ex art. 30 GDPR è il documento più sottovalutato di tutti. Per chi usa AI, va aggiornato in tre punti:

  1. Nuova voce per ogni sistema AI che processa dati personali: titolare/responsabile, base giuridica, finalità, categorie di dati, tempi di conservazione, sub-processor.
  2. Annotazione del ruolo AI Act: provider o deployer, categoria di rischio (minimo, limitato, alto, vietato).
  3. Riferimento ai documenti collegati: DPIA, FRIA (se applicabile), policy AI interna, evidenze di formazione AI literacy ex Art. 4.

Una piccola colonna in più nel vostro registro Excel (o nello strumento che usate) chiude tre obblighi insieme: art. 30 GDPR, art. 26 AI Act, art. 4 AI Act (tracciabilità dei sistemi su cui sono formate le persone).

La duplice vigilanza Garante + ACN (e perché manca un protocollo)

La Legge 132/2025 ha istituito presso la Presidenza del Consiglio un Comitato di coordinamento che riunisce ACN, AgID, Garante Privacy, AGCOM, Banca d'Italia, CONSOB e IVASS. Sulla carta è la sede per coordinare le competenze sovrapposte. Nella pratica, al maggio 2026 il Comitato manca ancora di un protocollo operativo.

Cosa significa nella pratica per una PMI:

  • Una violazione su un sistema AI con dati personali può attivare contemporaneamente Garante (per il profilo GDPR) e ACN (per il profilo AI Act). Sono due istruttorie distinte, con tempi e procedure diversi.
  • Notifiche incidenti: un breach su un sistema AI che tratta dati personali e che ricade in NIS2 (vedi NIS2 e PMI manifatturiere) può triplicare le notifiche: CSIRT entro 24 ore per NIS2, Garante entro 72 ore per GDPR, eventuali obblighi AI Act per incidenti gravi su sistemi alto rischio.
  • Documentazione attesa: ogni autorità chiede il suo set documentale. Il vantaggio è che il 70% si sovrappone (inventario sistemi, contratti DPA, policy, evidenze formazione). Tenere un'unica fonte dati ben strutturata risparmia molto lavoro.

LEXIA Avvocati ha letto la sfida così: "la sfida principale consiste nella necessità di sviluppare interpretazioni armonizzate delle disposizioni contenute nelle due normative, evitando sovrapposizioni inefficienti e garantendo al contempo una tutela completa dei diritti fondamentali".

EDPB Opinion 28/2024: cosa ha cambiato

Il 17 dicembre 2024 il Comitato Europeo per la Protezione dei Dati (EDPB) ha pubblicato l'Opinion 28/2024 sull'uso di dati personali nei modelli AI. Tre punti che impattano direttamente le PMI italiane:

  1. Distinzione fasi: il documento separa nettamente la fase di sviluppo del modello (training, pre-elaborazione, web scraping) dalla fase di utilizzo (prompt, output, training on prompt). Ogni fase ha rilievi GDPR distinti.
  2. Modello "anonimo": l'EDPB ha indicato criteri stretti per considerare un modello AI "anonimo" rispetto ai dati personali usati in training. Per la maggior parte dei modelli generativi commerciali, l'anonimato non è scontato.
  3. Legittimo interesse come base giuridica: in determinati casi può essere usato come base giuridica per il training, ma il bilanciamento è severo e va documentato.

L'EDPB Helsinki Statement (2025) ha confermato l'orientamento a semplificare la compliance GDPR ma non a ridurre il rigore sostanziale. Il Template DPIA armonizzato EDPB del 14 aprile 2026, in consultazione pubblica fino al 9 giugno 2026, è un riferimento concreto a cui guardare per allineare le DPIA aziendali sui sistemi AI.

La direttiva piattaforme digitali: overlap settoriale

La Direttiva UE 2024/2831 sul lavoro tramite piattaforme digitali (pubblicata in GUCE l'11 novembre 2024) tocca un caso specifico ma di interesse anche per chi non gestisce rider: l'uso di sistemi algoritmici (AI) per gestire lavoratori. Per le PMI manifatturiere il punto è rilevante se:

  • Avete sistemi di monitoraggio AI sulla produzione che misurano performance individuale degli operatori (oltre la soglia di "controllo a distanza" dello Statuto dei Lavoratori).
  • Usate algoritmi per turni o allocazione compiti ai dipendenti.
  • Applicate valutazioni performance supportate da AI.

Il punto di sovrapposizione GDPR + AI Act + Statuto Lavoratori (L. 300/1970) + Direttiva 2024/2831 è denso. I casi italiani Foodinho e Deliveroo del Garante Privacy (vedi sanzioni AI Act) hanno disegnato il perimetro.

Pratica: cosa fare se siete già GDPR-compliant

La buona notizia per la maggior parte delle PMI italiane è che chi è già a posto sul GDPR ha fatto il 60% del lavoro AI Act. La sequenza pragmatica:

  1. Riprendete il vostro registro trattamenti GDPR e aggiungete tre colonne: nome del sistema AI coinvolto, ruolo AI Act (provider/deployer), categoria di rischio.
  2. Verificate per ogni sistema con DPIA se la DPIA esistente copre anche i contenuti FRIA art. 27 par. 1 (periodo d'uso, frequenza, categorie persone esposte oltre i soggetti dei dati, rischi specifici di danno, supervisione umana). Dove manca, integrate.
  3. Aggiornate i contratti DPA con i fornitori AI: clausola "no training", allocazione provider/deployer ex art. 25 AI Act, sub-processor list aggiornata.
  4. Documentate la formazione AI literacy del personale che usa o gestisce AI (Art. 4): integrate il programma di formazione GDPR esistente o aggiungete moduli specifici.
  5. Predisponete una procedura di notifica incidenti coordinata: una sola fonte di trigger, output multipli (Garante, CSIRT, eventuale autorità AI Act).

Cosa facciamo noi di default

Per le PMI manifatturiere che ci contattano, il primo lavoro è sempre l'audit congiunto GDPR + AI Act. Un'unica giornata, un report unico, una checklist di gap chiusa. Mappatura sistemi, classificazione rischio, ruoli provider/deployer, integrazione DPIA esistenti, scrittura policy AI interna. Tutto su un registro vivo, non un PDF morto.

Hosting europeo di default, clausole DPA blindate, evidenza documentale di ogni scelta tecnica. AICompliance: audit uso AI + mappatura obblighi Art. 50 + pacchetto contrattuale (DPA, sub-processor list, Registro trattamenti GDPR). Dettagli in AI Compliance.

Se ha senso per voi, scopriamolo in 30 minuti.

Aggiornato al 24 maggio 2026. Articolo divulgativo, non costituisce consulenza legale. Le interpretazioni di sovrapposizione GDPR-AI Act sono in continua evoluzione: monitorare aggiornamenti EDPB, AI Office, Garante Privacy italiano e ACN.

Check-up operativo · 3 minuti

Quante di queste ore perdi anche tu?

Il check-up te lo dice in 3 minuti: 12 domande, risultato subito, senza registrazione. Se non c'è un caso forte, lo vedi dai tuoi numeri. Niente proposta finta.

Fai il check-up