Skip to main content

EU AI Act e DSGVO 2026: dove si sovrappongono, dove differiscono?

I due regolamenti si applicano contemporaneamente, ma tutelano beni giuridici diversi. Questo confronto dettagliato mostra quando si applica la DSGVO, quando l'EU AI Act e quando entrambi generano obblighi cumulativi, con esempi pratici per le PMI.

Prenota la conformità DSGVO + EU AI ActWito Digital Audit (WDA) gratuito

Due regolamenti, due beni tutelati: la DSGVO (Regolamento (UE) 2016/679) tutela i dati personali e la sfera privata delle persone fisiche. L'EU AI Act (Regolamento (UE) 2024/1689) tutela la sicurezza delle persone e i loro diritti fondamentali rispetto ai sistemi di IA, a prescindere dal fatto che vengano trattati dati personali.

I due regolamenti: che cosa tutelano e quando si applicano entrambi?

La DSGVO è in vigore dal 25 maggio 2018 e tutela l'autodeterminazione informativa: ogni trattamento di dati personali, analogico o digitale, con o senza IA, vi è soggetto. I requisiti fondamentali sono la limitazione della finalità, la minimizzazione dei dati, i diritti di accesso e l'obbligo di stipulare un contratto di responsabile del trattamento (AVV) con i fornitori terzi.

L'EU AI Act è entrato in vigore il 1° agosto 2024 e tutela la sicurezza e i diritti fondamentali rispetto ai sistemi di IA. Non disciplina i singoli dati, bensì il sistema di IA in sé: la sua classe di rischio, la sua documentazione, la sorveglianza umana sulle sue decisioni. La data chiave per le PMI è il 2 agosto 2026, quando tutti gli obblighi relativi all'alto rischio diventeranno pienamente operativi.

La consapevolezza decisiva per le imprese di medie dimensioni è questa: se un sistema di IA impiega dati personali (dati dei candidati, dei clienti, dei dipendenti) si applicano entrambi i regolamenti in modo cumulativo. I requisiti di conformità si sommano, non si sostituiscono. Chi è già conforme alla DSGVO ha posto una parte delle fondamenta, ma non ha ancora adempiuto a tutti gli obblighi previsti dall'EU AI Act.

Secondo la guida Bitkom EU AI Act + DSGVO 2024, le aree di sovrapposizione sono particolarmente ampie nei sistemi di IA ad alto rischio negli ambiti HR, personalizzazione del marketing e comunicazione automatizzata con i clienti. Proprio per le PMI che impiegano strumenti di IA tramite servizi cloud nasce qui un intreccio complesso di obblighi di conformità.

4% Umsatz (DSGVO) vs. 7% (AI Act)

Sanzioni massime a confronto

Quelle: Art. 83 DSGVO + Art. 99 Verordnung (EU) 2024/1689, 2024
2018 (DSGVO) vs. 2025–2027 (AI Act)

Anni di entrata in vigore scaglionati

Quelle: EU-Kommission — EU AI Act Übergangsfristen 2024, 2024
99 Artikel DSGVO vs. 113 Artikel AI Act

Estensione dei due testi normativi

Quelle: Verordnung (EU) 2016/679 + Verordnung (EU) 2024/1689, 2024
27 EU-Mitgliedsstaaten

Ambito di applicazione di entrambi i regolamenti

Quelle: EU-Kommission — Geltungsbereich DSGVO + AI Act 2024, 2024

Tabella comparativa: DSGVO e EU AI Act, le 7 dimensioni più importanti

Il confronto diretto mostra dove i due testi normativi procedono in parallelo e dove differiscono in modo sostanziale. Tutti i dati riflettono lo stato giuridico del secondo trimestre 2026:

| Criterio | DSGVO | EU AI Act |

|---|---|---|

| Bene tutelato | Dati personali e sfera privata | Sicurezza delle persone e diritti fondamentali rispetto all'IA |

| Ambito di applicazione | Tutti i titolari che trattano dati personali | Fornitori e deployer di IA (anche senza dati personali) |

| Classi di rischio | Nessuna classe di rischio formale (ma DSFA in caso di rischio elevato) | 4 classi: rischio inaccettabile / alto / limitato / minimo |

| Obblighi centrali | AVV, DSFA, registro dei trattamenti, TOM, diritti degli interessati | Sistema di gestione del rischio, documentazione tecnica, sorveglianza umana, valutazione di conformità |

| Autorità competente (DE) | BfDI + autorità regionali per la protezione dei dati | BNetzA + BfDI (in presenza di dati personali) |

| Sanzioni | Fino a 20 mln EUR o 4% del fatturato annuo (a seconda di quale sia più elevato) | Fino a 35 mln EUR / 7% (pratiche vietate) o 15 mln EUR / 3% (alto rischio) |

| Entrata in vigore | 25/05/2018 (direttamente applicabile) | 01/08/2024 → scaglionata fino al 02/08/2026 (piena efficacia alto rischio) |

Ciò che la tabella non mostra: l'effetto cumulativo

Per i sistemi di IA che trattano dati personali la conformità procede su due piani contemporaneamente. Secondo le FAQ BMWK sull'EU AI Act 2024, l'applicazione cumulativa è espressamente voluta: l'EU AI Act «si affianca» alla DSGVO, non ne limita i requisiti e non la deroga.

Per le PMI ciò significa: una valutazione d'impatto sulla protezione dei dati (DSFA) ai sensi dell'art. 35 DSGVO per un sistema di IA di recruiting non copre ancora la valutazione di conformità ai sensi dell'art. 43 EU AI Act. Le due verifiche sono autonome, anche quando riguardano lo stesso sistema e parti della documentazione possono essere riutilizzate.

In positivo: le imprese con una documentazione DSGVO ordinata hanno un vantaggio considerevole. Il registro dei trattamenti, il registro degli AVV e le strutture di DSFA possono essere ampliati, anziché ripartire da zero. Secondo l'analisi comparativa della Fondazione Heinrich Böll 2024, le imprese con una solida conformità alla DSGVO possono ridurre del 30-50% l'impegno iniziale per l'EU AI Act.

I requisiti dell'EU AI Act si affiancano a quelli della DSGVO: per i sistemi di IA con dati personali si applicano entrambi i regolamenti in modo cumulativo. Le autorità per la protezione dei dati sono al contempo competenti per l'applicazione dei requisiti dell'EU AI Act, nella misura in cui questi riguardino la protezione dei dati.
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI), BfDI Tätigkeitsbericht 2024 — Stellungnahme zum EU AI Act, BfDI, 2024

Caso d'uso 1: IA per lo screening dei candidati — entrambi i regolamenti in modo cumulativo

Un'impresa di medie dimensioni impiega uno strumento di IA che valuta automaticamente le candidature in arrivo in base alla coerenza con la descrizione della posizione e crea una rosa di candidati prioritizzati. Questo scenario genera contemporaneamente obblighi previsti da entrambi i regolamenti.

Obblighi DSGVO

  • Base giuridica ai sensi dell'art. 6 DSGVO: il trattamento dei dati dei candidati è ammesso solo con il consenso (art. 6, par. 1, lett. a) oppure per l'esecuzione del rapporto di lavoro (art. 6, par. 1, lett. b)
  • Diritti di accesso (art. 15 DSGVO): i candidati hanno il diritto di ottenere informazioni su quali dati vengono trattati e su quale logica si fonda la decisione dell'IA
  • Obbligo di cancellazione (art. 17 DSGVO): i dati dei candidati respinti devono essere cancellati dopo un periodo chiaramente definito (tipicamente 6 mesi dopo il rifiuto)
  • DSFA (art. 35 DSGVO): il processo decisionale automatizzato con conseguenze rilevanti per i candidati richiede una valutazione d'impatto sulla protezione dei dati

Obblighi EU AI Act

  • Classificazione ad alto rischio (Allegato III, n. 4a): i sistemi per la selezione automatizzata dei candidati nel contesto lavorativo sono considerati ad alto rischio, senza eccezioni
  • Valutazione di conformità (art. 43 EU AI Act): prima dell'impiego o di una modifica sostanziale deve essere svolta una valutazione di conformità
  • Trasparenza (art. 13 EU AI Act): l'impresa, in qualità di deployer, deve informare i candidati del fatto che viene impiegato un sistema di IA
  • Sorveglianza umana (art. 14 EU AI Act): il personale HR deve poter verificare e correggere le decisioni dell'IA — nessun rifiuto interamente automatizzato senza controllo umano

Risultato: chi impiega questa IA necessita sia di una DSFA ai sensi della DSGVO sia di una valutazione di conformità ai sensi dell'EU AI Act, due documenti autonomi anche se i contenuti si sovrappongono. Secondo la guida Bitkom EU AI Act + DSGVO 2024, è consigliabile un processo di documentazione integrato che affronti sistematicamente entrambi i profili di requisiti.

Caso d'uso 2: marketing automation con ChatGPT — responsabilità distinte

Una PMI utilizza ChatGPT (GPT-4o) tramite l'API di OpenAI per generare automaticamente e-mail personalizzate ai clienti esistenti: raccomandazioni di prodotto basate sullo storico degli acquisti, formule di saluto personalizzate, contenuti specifici per segmento. Anche in questo caso si applicano entrambi i testi normativi, ma con un focus diverso.

Obblighi DSGVO

  • AVV con OpenAI (art. 28 DSGVO): se vengono trasmessi all'API di OpenAI dati dei clienti — anche solo indirizzo e-mail e storico degli acquisti — OpenAI è responsabile del trattamento. Un contratto di responsabile del trattamento è obbligatorio. OpenAI offre un AVV standard, che deve essere espressamente stipulato
  • Minimizzazione dei dati (art. 5 DSGVO): possono essere trasmessi solo i dati effettivamente necessari alla personalizzazione, senza trasferire dossier completi dei clienti
  • Base giuridica per la profilazione (art. 6 + art. 22 DSGVO): la creazione automatizzata di profili a fini di marketing richiede il consenso oppure un legittimo interesse con bilanciamento degli interessi

Obblighi EU AI Act

  • Regole GPAI (art. 53 EU AI Act): ChatGPT è considerato un modello di IA per finalità generali (General Purpose AI). Dal 2 agosto 2025 OpenAI, in qualità di fornitore, deve adempiere agli obblighi di trasparenza e pubblicare le linee guida d'uso. Come utenti dovete verificare che OpenAI adempia a tali obblighi
  • Nessuna classificazione ad alto rischio: la generazione di e-mail di marketing non rientra nell'Allegato III dell'EU AI Act, quindi non è richiesta alcuna valutazione di conformità
  • Trasparenza verso i destinatari: se i testi generati dall'IA potessero essere fraintesi dai destinatari come redatti da una persona, occorre valutare un'etichettatura ai sensi dell'art. 50 EU AI Act

Risultato: nella marketing automation con ChatGPT è la DSGVO a essere in primo piano, in particolare l'AVV e la minimizzazione dei dati. L'EU AI Act svolge un ruolo secondario (nessun obbligo da alto rischio), ma i requisiti GPAI in capo a OpenAI come fornitore devono essere verificabili.

Conseguenze pratiche per le PMI: combinare la conformità in modo efficiente

La buona notizia: una strategia di conformità intelligente tratta la DSGVO e l'EU AI Act come un sistema integrato, non come due progetti separati. I seguenti potenziali di sinergia sono particolarmente rilevanti per le PMI:

Integrare la documentazione

  • DSFA ampliabile: le valutazioni d'impatto sulla protezione dei dati esistenti ai sensi dell'art. 35 DSGVO possono essere combinate con i requisiti di gestione del rischio ai sensi dell'art. 9 EU AI Act — una stessa valutazione del rischio soddisfa due requisiti normativi
  • Il registro dei trattamenti come base: il registro dei trattamenti DSGVO (art. 30 DSGVO) fornisce l'elenco dei sistemi su cui costruire l'inventario di IA per l'EU AI Act
  • AVV e obblighi del deployer: l'AVV con OpenAI ai sensi della DSGVO può essere raccolto insieme alla documentazione del deployer prevista dall'EU AI Act in un'unica documentazione del fornitore

Concentrare le responsabilità

L'EU AI Act non prescrive un «responsabile dell'IA» formale, ma raccomanda di designare una responsabilità per la conformità in materia di IA. Nella pratica è consigliabile: il responsabile della protezione dei dati (DSB) assume la responsabilità della conformità all'EU AI Act, oppure viene affiancato da un «AI Officer» che collabora strettamente con il DSB. Secondo le FAQ BMWK sull'EU AI Act 2024, questa sovrapposizione di ruoli è espressamente ammessa e fa risparmiare costi di coordinamento considerevoli.

Risultato: le imprese che trattano la DSGVO e l'EU AI Act come un framework di conformità integrato riducono l'impegno complessivo del 30-50% rispetto a una gestione separata, con una coerenza della documentazione al contempo più elevata.

Domande frequenti: EU AI Act e DSGVO per le PMI

No. L'EU AI Act non prescrive una propria figura di responsabile. Nella pratica è consigliabile attribuire la responsabilità della conformità all'EU AI Act al responsabile della protezione dei dati (DSB) già in carica, oppure nominare un «AI Officer» che collabori strettamente con il DSB. Nelle proprie FAQ 2024 il BMWK conferma espressamente che la combinazione dei due ruoli è ammessa e sensata. Per le PMI prive di un DSB obbligatorio è sufficiente una persona interna designata oppure un fornitore esterno di servizi di conformità.
In parte sì. Un AVV ai sensi dell'art. 28 DSGVO e la documentazione del deployer prevista dall'EU AI Act coprono obblighi diversi, ma entrambi possono essere raccolti in una documentazione strutturata del fornitore. In particolare il registro dei trattamenti (DSGVO) e il registro dei sistemi di IA (AI Act) possono essere gestiti come un documento integrato. Non sono però del tutto identici: l'EU AI Act richiede in aggiunta le prove della valutazione di conformità e della sorveglianza umana, che vanno oltre i requisiti della DSGVO.
La DSGVO è applicata attivamente dal 2018, in Germania tramite le autorità regionali per la protezione dei dati e il BfDI. L'EU AI Act viene applicato in modo graduale a partire dal 2025: le pratiche vietate da febbraio 2025, gli obblighi relativi all'alto rischio da agosto 2026. In Germania la funzione di autorità di vigilanza del mercato sarà presumibilmente svolta dall'Agenzia federale per le reti (BNetzA); il BfDI è competente per le sovrapposizioni con la protezione dei dati. Le prime sanzioni rilevanti in base all'EU AI Act sono attese per il 2026/2027. Le autorità per la protezione dei dati verificheranno anche gli aspetti dell'AI Act, nella misura in cui siano coinvolti dati personali.
Una DSFA (valutazione d'impatto sulla protezione dei dati, in inglese DPIA — Data Protection Impact Assessment) è una valutazione strutturata del rischio ai sensi dell'art. 35 DSGVO. È obbligatoria quando un trattamento di dati comporta verosimilmente un rischio elevato per i diritti e le libertà delle persone fisiche, in particolare in caso di decisioni automatizzate, profilazione su larga scala e trattamento di categorie particolari di dati. La DSFA documenta: quali dati vengono trattati, quali rischi sussistono, quali misure tecniche e organizzative (TOM) vengono adottate per contrastarli e se il rischio residuo è accettabile. Per i sistemi di IA ad alto rischio è consigliabile ampliare la DSFA con valutazioni del rischio specifiche per l'AI Act.
Una valutazione di conformità ai sensi dell'art. 43 EU AI Act è la verifica formale che accerta se un sistema di IA ad alto rischio risponde ai requisiti del regolamento, riguardo a gestione del rischio, qualità dei dati, documentazione tecnica, trasparenza e sorveglianza umana. Per molti sistemi ad alto rischio è ammessa un'autovalutazione da parte del fornitore (senza un organismo esterno di verifica). In qualità di deployer dovete verificare la dichiarazione di conformità del fornitore e assicurarvi di impiegare il sistema soltanto nella finalità d'uso prevista. La valutazione di conformità non coincide con una DSFA: copre ambiti di requisiti diversi.
Se il vostro sistema di IA non tratta dati personali, la DSGVO non si applica (per quel sistema). L'EU AI Act vale però a prescindere da ciò. Un sistema di IA per il controllo qualità nella produzione, che analizza esclusivamente immagini di prodotti e non tratta dati personali, è comunque soggetto all'EU AI Act. In questo caso concreto va verificata la classe di rischio: i sistemi di produzione critici per la sicurezza possono essere classificati ad alto rischio (Allegato III, n. 2). Per la pura analisi di immagini o di processi senza riferimento a persone il rischio è spesso minimo, ma una verifica esplicita è comunque necessaria.
Le maggiori sovrapposizioni si verificano nei sistemi di IA ad alto rischio con dati personali. Sia la DSFA (DSGVO) sia il sistema di gestione del rischio (EU AI Act) richiedono un'analisi del rischio — con focus diverso, ma strutturalmente simile. Le misure tecniche e organizzative (TOM ai sensi della DSGVO) e i requisiti di robustezza tecnica (EU AI Act) si sovrappongono in materia di sicurezza, controllo degli accessi e cifratura. Gli obblighi di trasparenza verso gli interessati (DSGVO) e gli obblighi di trasparenza verso gli utenti (EU AI Act) possono essere adempiuti in un documento integrato. Gli obblighi di registrazione (DSGVO) e i requisiti di log (EU AI Act) possono essere combinati sul piano tecnico.
Dipende dalla natura della violazione. Le violazioni della DSGVO si segnalano all'autorità regionale per la protezione dei dati competente (a seconda della sede dell'impresa) oppure al BfDI. Le gravi violazioni di dati personali devono essere notificate entro 72 ore (art. 33 DSGVO). Le violazioni dell'EU AI Act si segnalano all'autorità nazionale di vigilanza del mercato (in Germania, presumibilmente la BNetzA). Se un sistema di IA presenta sia violazioni della protezione dei dati sia violazioni dell'AI Act, sono potenzialmente competenti entrambe le autorità, con il BfDI a coordinare gli aspetti di protezione dei dati dell'AI Act. In caso di incidenti gravi si raccomanda vivamente un confronto tempestivo con un consulente di conformità.

Conformità DSGVO + EU AI Act: integrata, efficiente, giuridicamente sicura

Wito AI accompagna le PMI lungo la conformità combinata a DSGVO ed EU AI Act, dall'analisi del rischio integrata fino alla documentazione completa. Sfruttate la vostra base DSGVO esistente e riducete del 30-50% l'impegno per la conformità all'AI Act.

Prenota la conformità DSGVO + EU AI ActWito Digital Audit (WDA) gratuito
  • DSFA + valutazione di conformità integrate
  • AVV + documentazione del deployer AI Act combinati
  • 30-50% di riduzione dell'impegno grazie all'integrazione
  • Preparazione alla scadenza del 2 agosto 2026

EU AI Act e DSGVO 2026: dove si sovrappongono, dove differiscono?

Ressource

KI-Tools Vergleich

→ Jetzt lesen
Ressource

Fördermittel-Kompass

→ Jetzt lesen
Ressource

ROI-Calculator

→ Jetzt lesen
Assessment

KI-Reifegrad-Check

→ Jetzt lesen