GDPR, AI Act e DORA: privacy, AI governance e resilienza digitale
Risposta rapida
GDPR, AI Act e DORA coprono ambiti diversi ma sempre più collegati: dati personali, sistemi di intelligenza artificiale e resilienza operativa digitale nel settore finanziario. Un progetto AI può richiedere valutazioni GDPR su base giuridica, trasparenza, DPIA e diritti; può ricadere in obblighi AI Act se il sistema rientra nel perimetro; può avere impatti DORA se usato da soggetti finanziari regolati o da fornitori ICT critici. GAPOFF aiuta a collegare valutazioni privacy, AI governance, incidenti, fornitori e continuità in un modello integrato.
Registro trattamenti, DPIA, data breach, diritti degli interessati e audit-ready.
Perché questo tema è importante
Le aziende introducono AI generativa, scoring, automazioni, chatbot, analytics e sistemi decisionali senza sempre distinguere i piani normativi. Se il sistema tratta dati personali, il GDPR entra subito in gioco. Se il sistema rientra in categorie disciplinate dall'AI Act, servono valutazioni ulteriori. Se l'azienda è finanziaria o fornitore ICT in perimetro, DORA aggiunge requisiti di resilienza.
Gestire questi temi separatamente rischia di produrre valutazioni incoerenti: una DPIA che ignora il rischio AI, una valutazione AI Act che non considera basi giuridiche, un piano DORA che non considera data breach privacy.
Quadro normativo e fonti ufficiali
Il GDPR disciplina il trattamento dei dati personali. L'AI Act introduce un quadro europeo per sistemi di intelligenza artificiale con approccio basato sul rischio. DORA disciplina la resilienza operativa digitale del settore finanziario e dei fornitori ICT rilevanti. Date, obblighi e perimetri devono essere verificati sulle fonti ufficiali e sulla normativa applicabile al caso concreto.
Il punto comune è la governance del rischio: dati, sistemi, fornitori, incidenti, controlli, evidenze e responsabilità.
Cosa significa per l'azienda
Per l'azienda, un progetto AI deve essere valutato lungo più assi: usa dati personali? produce decisioni o raccomandazioni significative? coinvolge categorie particolari di dati? usa fornitori esterni? conserva prompt e output? è integrato in processi critici? può generare impatti su interessati o clienti?
La compliance integrata evita di scoprire tardi che un tool acquistato dal reparto marketing o HR richiede DPIA, valutazione fornitore, informativa, policy di uso AI e controlli di sicurezza.
Cosa deve fare concretamente l'organizzazione
- Censire sistemi AI e automazioni che trattano dati.
- Verificare basi giuridiche, informative e finalità GDPR.
- Valutare necessità di DPIA e rischi per interessati.
- Classificare il sistema rispetto all'AI Act.
- Verificare fornitori, dati di addestramento, prompt, logging e sub-responsabili.
- Integrare incidenti AI nel workflow data breach e cyber.
- Per soggetti finanziari, collegare controlli a DORA e fornitori ICT.
- Documentare decisioni, limiti e human oversight.
- Formare utenti su uso corretto dell'AI.
- Riesaminare valutazioni dopo modifiche al modello o al caso d'uso.
Esempio pratico
Una banca valuta un chatbot AI per assistenza clienti. Il GDPR richiede informativa, minimizzazione, valutazione dei dati inseriti dagli utenti e possibili DPIA; l'AI Act può richiedere trasparenza e classificazione del sistema; DORA impone attenzione a resilienza, fornitore ICT, incidenti e continuità. GAPOFF permette di creare una scheda integrata con rischi, controlli, evidenze e owner.
Errori comuni da evitare
- Usare strumenti AI con dati personali senza valutazione preventiva.
- Pensare che anonimizzare sia sempre semplice o garantito.
- Non verificare condizioni del fornitore AI.
- Non distinguere GDPR, AI Act e DORA.
- Non formare utenti su prompt e dati vietati.
- Non aggiornare valutazioni dopo modifiche del sistema.
Come GAPOFF aiuta
GAPOFF collega moduli GDPR, AI Act, DORA e Incident Management. Un progetto AI può essere tracciato con registro trattamento, DPIA, valutazione AI, controlli fornitore, incidenti, evidenze e report. Questo approccio aiuta DPO, risk manager e innovation team a evitare valutazioni isolate e a costruire un fascicolo audit-ready.
Registro trattamenti, DPIA, data breach, diritti degli interessati, responsabili Art.28 ed evidenze devono essere collegati e dimostrabili. GAPOFF unifica GDPR, Incident & Breach Ops, Vendor Risk, NIS2, DORA e ISO 27001 in un unico sistema audit-ready.
Scopri il modulo GDPR →Checklist operativa
- Inventario sistemi AI creato.
- Trattamenti personali mappati.
- DPIA valutata.
- Classificazione AI Act avviata.
- Fornitori AI verificati.
- Incidenti e continuità integrati.
- Utenti formati su policy AI.
Con GAPOFF ogni voce diventa un controllo con owner, scadenza ed evidenza — non un foglio Excel. Modulo GDPR →
FAQ
Il GDPR si applica sempre all'AI?
Si applica quando il sistema AI tratta dati personali. Se non tratta dati personali, il GDPR può non essere rilevante, ma altri obblighi possono restare.
L'AI Act sostituisce il GDPR?
No. Sono normative diverse e possono applicarsi insieme.
DORA riguarda tutte le aziende?
No. Riguarda il settore finanziario e soggetti/fornitori ICT nel perimetro previsto. Occorre verificare il caso concreto.
Articoli correlati consigliati
- GDPR e ISO 27001: mappare sicurezza, rischio e accountability
- GDPR per e-commerce e marketing: consenso, cookie, CRM e newsletter
- GDPR e NIS2: differenze, sovrapposizioni e controlli comuni
Registro trattamenti, DPIA, gestione data breach, diritti degli interessati, responsabili Art.28, audit privacy e report audit-ready. Cross-mapping automatico con NIS2, DORA, ISO 27001 e AI Act.
Vai al modulo GDPR →Fonti ufficiali e riferimenti
- EUR-Lex - Regolamento (UE) 2016/679
- Garante Privacy - GDPR Regolamento 2016/679
- Garante Privacy - Guida all'applicazione del GDPR
- EDPB - Guidelines, Recommendations, Best Practices
- Normattiva - D.Lgs. 196/2003 Codice Privacy
- EUR-Lex - Regolamento (UE) 2024/1689 sull'intelligenza artificiale
- EUR-Lex - Regolamento (UE) 2022/2554 DORA
- Garante Privacy - Valutazione d'impatto DPIA
- EDPB - Guidelines on DPIA and high risk processing
- Garante Privacy - Data breach
- EDPB - Guidelines 9/2022 on personal data breach notification
Disclaimer legale
Questo contenuto ha finalità informative e di orientamento generale. Non costituisce consulenza legale, tecnica, fiscale o organizzativa personalizzata. Per determinare obblighi, responsabilità e misure applicabili al caso concreto, è necessario svolgere una valutazione specifica con professionisti qualificati e fonti ufficiali aggiornate.
FAQ
Il GDPR si applica sempre all'AI?
Si applica quando il sistema AI tratta dati personali. Se non tratta dati personali, il GDPR può non essere rilevante, ma altri obblighi possono restare.
L'AI Act sostituisce il GDPR?
No. Sono normative diverse e possono applicarsi insieme.
DORA riguarda tutte le aziende?
No. Riguarda il settore finanziario e soggetti/fornitori ICT nel perimetro previsto. Occorre verificare il caso concreto.
- Eur-Lex - Regolamento (Ue) 2016/679
- Garante Privacy - Gdpr Regolamento 2016/679
- Garante Privacy - Guida All'applicazione Del Gdpr
- Edpb - Guidelines, Recommendations, Best Practices
- Normattiva - D.lgs. 196/2003 Codice Privacy
- Eur-Lex - Regolamento (Ue) 2024/1689 Sull'intelligenza Artificiale
- Eur-Lex - Regolamento (Ue) 2022/2554 Dora
- Garante Privacy - Valutazione D'impatto Dpia
- Edpb - Guidelines On Dpia And High Risk Processing
- Garante Privacy - Data Breach
- Edpb - Guidelines 9/2022 On Personal Data Breach Notification
Ultima revisione: 2026-05-19.