Lunedi' mattina, sei il DPO di un'azienda da 400 dipendenti. Ti arriva sulla scrivania il progetto «assistente IA per HR». Apri il Reg. UE 2016/679 (GDPR) e ti dice una cosa. Apri il Reg. UE 2024/1689 (AI Act) e te ne dice un'altra. Il CTO ti chiede «allora? possiamo partire?» e tu sei li' a chiederti chi vince, dove e perche'. Te lo dico io: si pestano i piedi in cinque punti precisi, e li devi conoscere a memoria.
Conflitto 1: base giuridica vs categorizzazione del rischio
Il GDPR (art. 6) ti chiede una base giuridica per ogni trattamento. L'AI Act (art. 6 e Allegato III) ti chiede di classificare il sistema come alto rischio, limitato, minimo. Il problema: un sistema puo' essere AI Act-compliant ma GDPR-non-compliant. Esempio concreto: un sistema di scoring credito per banche e' alto rischio per AI Act (Allegato III, punto 5b), ma se la base giuridica GDPR e' «legittimo interesse» senza valutazione adeguata, il Garante ti sanziona lo stesso. La soluzione: nel registro art. 30 GDPR aggiungi una colonna «classificazione AI Act» e una «FRIA effettuata si'/no».
Conflitto 2: trasparenza algoritmica
L'art. 22 GDPR ti dice che l'interessato ha diritto di non essere sottoposto a decisione automatizzata e di ricevere «informazioni significative sulla logica utilizzata». L'art. 13 AI Act richiede trasparenza tecnica nei confronti del deployer (l'azienda che usa il sistema). Sono due trasparenze diverse: una verso l'interessato (utente finale), una verso chi compra il sistema. Devi documentarle entrambe, separate, con due informative distinte.
Cosa devi fare operativamente
- Mappatura incrociata. Per ogni progetto IA fai una tabella con: trattamento GDPR, base giuridica, classificazione AI Act, obblighi specifici (FRIA, registrazione database UE, marcatura CE).
- FRIA + DPIA insieme. L'art. 27 AI Act impone la Fundamental Rights Impact Assessment per i sistemi alto rischio. La fai DENTRO la DPIA art. 35 GDPR, non a parte. Risparmi tempo e dimostri integrazione.
- Doppio referente. Il DPO non basta. Per AI Act serve anche un «AI compliance officer» o equivalente. Puoi essere la stessa persona, ma le funzioni vanno distinte nel mansionario.
- Audit log unificato. L'art. 12 AI Act richiede log automatici per tutta la vita del sistema (minimo 6 mesi). Il GDPR non lo chiede esplicitamente ma e' best practice. Unifica e tieni 24 mesi.
Documentazione che ti salva al controllo
Quando arriva il Garante (o l'autorita' AI Act, in Italia AgID + ACN secondo il DDL approvato), ti chiedono tre cose insieme: registro art. 30 GDPR aggiornato, DPIA con sezione FRIA integrata, scheda tecnica art. 11 AI Act (Allegato IV). Se hai questi tre documenti ben fatti, sei coperto al 90%.
Sanzioni: la matematica brutta
GDPR ti puo' multare fino al 4% del fatturato globale (art. 83). AI Act fino al 7% del fatturato globale o 35 milioni (art. 99) per violazioni gravi su sistemi proibiti, 3% per alto rischio. Possono cumularsi: stesso fatto, due sanzioni distinte da due autorita' diverse. Caso scuola: usi un sistema di riconoscimento emozioni in HR (proibito ex art. 5 AI Act dal febbraio 2025) trattando dati biometrici senza base giuridica adeguata. Garante 4% + autorita' AI Act 7% = puoi arrivare all'11% del fatturato. Buona giornata.
Il punto e' semplice: smetti di pensare che AI Act e GDPR siano due binari paralleli. Sono due strade che si incrociano in continuazione, e tu devi essere il vigile a quell'incrocio. Mappa, documenta, integra. E non delegare al CTO le scelte di compliance, perche' poi paghi tu.