Tutti gli articoli
Sicurezza

AI e GDPR: come implementare Agenti AI in conformità con la normativa europea

5 aprile 2026 11 min di lettura
Lucchetto digitale che rappresenta sicurezza dati e GDPR

Implementare un Agente AI senza violare GDPR e AI Act non è impossibile, ma richiede tre cose: scegliere fornitori con data residency UE, fare una DPIA (Valutazione d'Impatto) prima del deploy, mantenere log auditabili e human-in-the-loop sulle decisioni che impattano persone. Vediamo passo per passo.

Le due normative che contano

GDPR (Regolamento UE 2016/679)

In vigore dal 2018, regola il trattamento di dati personali. Articoli chiave per AI: Art. 22 (decisioni automatizzate), Art. 25 (privacy by design), Art. 35 (DPIA), Art. 44 (trasferimenti extra-UE).

AI Act (Regolamento UE 2024/1689)

Approvato a giugno 2024, applicabile in fasi dal 2025 al 2027. Classifica i sistemi AI per rischio (proibito, alto, limitato, minimo). Testo ufficiale: Regolamento (UE) 2024/1689. Linee guida operative: Commissione Europea — AI Regulatory Framework.

Quali Agenti AI sono ad alto rischio?

L'Allegato III dell'AI Act elenca i casi high-risk. Per le aziende italiane, le aree più frequenti:

  • Selezione del personale (CV screening, interviste AI)
  • Valutazione del merito creditizio
  • Accesso a servizi pubblici e privati essenziali
  • Sistemi di sorveglianza biometrica in luoghi pubblici (proibito in molti casi)

Se il tuo agente non rientra in queste categorie (es. customer service, email triage, lead qualification), gli obblighi sono molto più leggeri: trasparenza ed etichettatura.

I 7 step operativi per essere compliant

1. Mappa i dati personali coinvolti

Email, numeri di telefono, dati ordini, registrazioni vocali. Se l'agente li tocca, sono nello scope GDPR.

2. Scegli base giuridica e finalità

Tipicamente esecuzione del contratto (Art. 6.1.b) per customer service, legittimo interesse (Art. 6.1.f) per lead nurturing, consenso esplicito (Art. 6.1.a) per marketing.

3. Data residency UE

Per dati sensibili o regolamentati, scegli LLM e infrastrutture con processing in UE. Cascades usa OpenAI Enterprise EU, Vertex AI europe-west, server n8n a Francoforte.

4. DPIA per agenti che decidono su persone

Richiesta dall'Art. 35 GDPR. Le linee guida del Garante Privacy italiano sono il riferimento operativo. Una DPIA seria si fa in 1–2 settimane.

5. Trasparenza all'utente

L'AI Act richiede di informare l'utente che sta interagendo con un sistema AI. La frase "Stai parlando con un assistente AI di [Brand]" all'inizio della conversazione è sufficiente nella maggior parte dei casi.

6. Human-in-the-loop sulle decisioni significative

L'Art. 22 GDPR dà all'utente il diritto di non essere soggetto a decisioni unicamente automatizzate. Soluzione pratica: l'agente propone, un umano valida sulle decisioni che incidono significativamente (negazioni, refusals, scelte irreversibili).

7. Log auditabili e diritto all'oblio

Ogni interazione va loggata (chi, quando, cosa, perché) ma con possibilità di cancellazione su richiesta dell'interessato. n8n + Supabase con RLS sono lo stack standard Cascades.

Cosa NON puoi fare (mai)

  • Usare ChatGPT consumer per dati clienti (vìola data residency e training opt-out di default)
  • Allenare modelli su dati personali senza base giuridica esplicita
  • Far decidere all'AI un licenziamento, una negazione di credito, una sanzione disciplinare senza umano
  • Profilazione massiva senza informativa e consenso

Sanzioni reali

Il Garante italiano ha sanzionato OpenAI per 15 milioni di euro nel dicembre 2024 per trattamento illecito di dati personali. Le multe del GDPR arrivano al 4% del fatturato globale. La compliance non è opzionale.

Come Cascades gestisce la conformità

  • Hosting n8n self-managed in UE (Frankfurt)
  • Modelli AI con processing UE quando il caso d'uso lo richiede
  • Supabase con Row Level Security su tutte le tabelle che contengono PII
  • Log auditabili di ogni esecuzione agente
  • DPIA inclusa nei piani Architetto Enterprise
  • DPA (Data Processing Agreement) con tutti i clienti

Domande frequenti

Devo fare una DPIA per ogni Agente AI?

No. Solo per quelli che trattano dati su larga scala, profilano, o decidono su persone. Per un chatbot FAQ tipicamente non serve.

Posso usare ChatGPT in azienda?

Sì, con il piano ChatGPT Enterprise o l'API con DPA firmato. Il piano consumer non è adatto per dati aziendali.

L'AI Act è già in vigore?

Pubblicato a luglio 2024, le previsioni si applicano gradualmente: divieti dal febbraio 2025, obblighi sui modelli generali dall'agosto 2025, sistemi ad alto rischio dall'agosto 2026.

Fonti

Le fonti sono pubbliche e citate per trasparenza. Cascades non è affiliata con gli enti citati salvo dichiarazione esplicita.

Vuoi capire quale Agente AI fa per la tua azienda?

Rispondi a 5 domande con il nostro wizard: ti consigliamo l'agente giusto, il piano e una stima realistica del ROI.

Esplora gli Agenti AI