NEWS

 
  • Home
  • Informazione
  • Primo Piano
  • La formazione e l’istruzione degli addetti che trattano dati personali non possono essere uguali per tutti

Modelli organizzativi per la gestione dei sistemi di intelligenza artificiale in conformità al GDPR e all’AI Act

L'avvento dell'Intelligenza Artificiale (IA) sta trasformando radicalmente il panorama aziendale e sociale, offrendo opportunità senza precedenti in termini di efficienza e produttività in numerosi settori, dalla sanità alla finanza.

(Nella foto: l'Avv. Cristina Rabazzi, speaker al Privacy Day Forum 2025)

Tuttavia, questa rivoluzione tecnologica comporta anche rischi significativi, tra cui la discriminazione algoritmica, l'opacità dei sistemi ("black box"), le violazioni della privacy e complesse problematiche di sicurezza. Per gestire proattivamente questi rischi e garantire la conformità normativa, le organizzazioni devono adottare modelli organizzativi strutturati.

Il quadro normativo europeo è all'avanguardia in questo settore, fondandosi su due pilastri fondamentali: il Regolamento Generale sulla Protezione dei Dati (GDPR - Reg. UE 2016/679) e il più recente AI Act (Reg. UE 2024/1689).

Il GDPR tutela i dati personali e si applica ogni qualvolta un sistema di IA tratta informazioni riconducibili a individui, mantenendo la sua piena validità anche con l'entrata in vigore dell'AI Act. Le sue implicazioni per i sistemi di IA sono profonde e riguardano l'intero ciclo di vita del sistema. Requisiti non negoziabili includono: una base giuridica valida per il trattamento dei dati (es. consenso libero, specifico, informato), la trasparenza sulle logiche di funzionamento dell'IA, la minimizzazione dei dati per l'addestramento e l'integrazione della "Data Protection by Design e by Default" (Art. 25 GDPR). È altresì cruciale il diritto degli interessati di opporsi a decisioni basate unicamente sul trattamento automatizzato, inclusa la profilazione (Art. 22 GDPR), enfatizzando la centralità dell'individuo e la necessità di un controllo umano.

L'AI Act rappresenta il primo tentativo organico di disciplinare l'IA a livello sovranazionale, istituendo un quadro giuridico uniforme "basato sul rischio". L'obiettivo primario è promuovere un'IA antropocentrica e affidabile, salvaguardando la salute, la sicurezza e i diritti fondamentali. L'AI Act classifica i sistemi di IA in base al livello di rischio che comportano:

- Rischio Inaccettabile: Sistemi vietati che includono pratiche come la manipolazione subliminale, lo sfruttamento delle vulnerabilità e il social scoring.
- Alto Rischio: Sistemi che interessano settori critici e sono soggetti a requisiti stringenti. Ne sono un esempio modelli di IA applicati in infrastrutture critiche, istruzione, occupazione, servizi essenziali, attività di contrasto, migrazione e giustizia.

Per questi sistemi è obbligatorio adottare: un sistema di gestione dei rischi continuo, una governance dei dati e della loro qualità costantemente aggiornata, la creazione di documentazione tecnica dettagliata, procedure di conservazione delle registrazioni (logging), politiche di trasparenza, sorveglianza umana e l'adozione di sistemi che garantiscano robustezza, accuratezza e sicurezza informatica. È inoltre richiesta una valutazione di conformità e la marcatura CE prima dell'immissione sul mercato.

- Rischio Limitato: Richiedono obblighi di trasparenza, come l'indicazione che un chatbot è un sistema di IA.
- Rischio Minimo/Nullo: La maggior parte delle applicazioni IA rientra in questa categoria, senza obblighi specifici.

La sinergia tra GDPR e AI Act è evidente. Entrambi promuovono un approccio "by design" e il principio di trasparenza e accountability. Entrambi richiedono valutazioni d'impatto: la Valutazione d'Impatto sulla Protezione dei Dati (DPIA) per il GDPR si integra con la Valutazione d'Impatto sui Diritti Fondamentali per l'AI Act. Questa convergenza mira a creare un ecosistema normativo volto alla connessione dell'innovazione alla protezione dei diritti fondamentali.

Per affrontare questa complessità, le organizzazioni devono adottare un modello organizzativo robusto e integrato. Gli elementi chiave includono:

- Una chiara governance e leadership, con l'impegno del top management e la possibile creazione di un Comitato di Supervisione/Etica dell'IA.
- Politiche e procedure dettagliate per la valutazione dei rischi specifici dell'IA, la gestione del ciclo di vita dei dati e la documentazione tecnica.
- Misure tecniche e organizzative che garantiscano "AI Ethics & Data Protection by Design", la sicurezza informatica e i meccanismi di sorveglianza umana.
- Programmi di formazione e consapevolezza continui.
- Un sistema di monitoraggio e audit periodici.

Un regolamento interno sull'uso dell'IA, basato sull'analisi dei rischi, diventa l'asse portante per guidare correttamente la struttura aziendale. La responsabilità nella gestione dell'IA non può essere solo del dipartimento IT o del DPO. Le organizzazioni devono creare team di lavoro interdisciplinari, includendo il DPO, l'AI Compliance Officer o l'AI Risk Manager, i team di sviluppo IT e operativo, e il management di linea. Tutte queste figure devono collaborare strettamente per garantire un approccio olistico alla compliance. L'esperienza umana, la conoscenza e la capacità di valutazione critica sono insostituibili per interpretare e validare gli output dell'IA.

Il Project Management (PM) assume un ruolo strategico, poiché ogni progetto IA introduce un cambiamento significativo. I requisiti dell'AI Act devono essere integrati in ogni fase del ciclo di vita del progetto: dalla pianificazione e gestione dei dati alla produzione di deliverables specifici, fino alle fasi di test e validazione. Un PMO (Project Management Office) ben strutturato può supportare tale compliance.

Le sfide pratiche includono la complessità dell'interpretazione normativa, i costi di implementazione, la mancanza di standard tecnici e la gestione del "model drift". Tuttavia, un approccio proattivo e strategico può trasformare queste sfide in opportunità. È fondamentale adottare un approccio basato sul rischio, promuovere la collaborazione interfunzionale, documentare ogni passaggio e investire nella formazione e nella consapevolezza a tutti i livelli.

La conformità al GDPR e all'AI Act non è solo un obbligo legale, ma un'opportunità strategica per costruire fiducia, innovare responsabilmente e sviluppare un'Intelligenza Artificiale sostenibile e antropocentrica. Investire in modelli organizzativi flessibili, pratiche di project management robuste e una cultura aziendale orientata alla responsabilità è una necessità per proiettare in modo efficace il business nell'era dell'IA. L'esperienza umana, combinata con strumenti IA avanzati, è la chiave per aumentare la capacità competitiva e garantire la congruità delle decisioni in un processo di trasformazione continua.

Note sull'Autore

Cristina Rabazzi Cristina Rabazzi

Data Protection Officer, Legal Consultant in Data Protection, Cyber security e AI Law

Articoli correlati

Prev Indagini su dipendenti infedeli: come e quando è lecito farlo nel rispetto del GDPR
Next Dai commercialisti una guida operativa per l’utilizzo dell’intelligenza artificiale nell’attività professionale

Galleria Video

Il presidente di Federprivacy a Report Rai 3

Cerca Delegato

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Newsletter

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy

Federprivacy sui social

Argomenti in evidenza