NEWSLETTER COMPLIANCE

2 agosto 2026:

scattano gli obblighi sull’AI

Settimana del 15 giugno 2026  •  a cura di La Sicurezza

Strumenti come ChatGPT, Copilot e i tanti software “potenziati dall’AI” sono ormai entrati nella quotidianità di moltissime aziende: si usano per scrivere email, analizzare curriculum, gestire clienti, generare report. Quello che spesso sfugge è che, nel momento in cui questi strumenti trattano dati personali (di dipendenti, clienti o fornitori), scatta una serie di obblighi documentali ben precisi.

Con il quadro normativo che si completa il 2 agosto 2026 (piena applicazione dell’AI Act europeo) e con la prima legge italiana sull’AI già in vigore, “usare l’AI” senza la documentazione adeguata espone l’azienda a sanzioni molto elevate. In questa newsletter spieghiamo, in modo pratico, quali carte bisogna avere in regola.

1. Perché se ne parla proprio adesso

Tre novità normative convergono e rendono il tema urgente:

• AI Act (Reg. UE 2024/1689): il regolamento europeo sull’intelligenza artificiale entra nella sua fase di piena applicazione il 2 agosto 2026. Da quella data sono operativi gli obblighi per chi sviluppa e per chi semplicemente utilizza i sistemi di AI in azienda.
• Legge italiana 132/2025: la prima legge nazionale sull’AI è in vigore dal 10 ottobre 2025 e si integra con il GDPR, aggiungendo obblighi di trasparenza e “spiegabilità” dei sistemi.
• GDPR (Reg. UE 2016/679): resta la cornice di riferimento. L’AI non sostituisce le regole sulla protezione dei dati: le rende anzi più stringenti.

Il punto chiave: anche l’azienda che si limita ad acquistare e usare un software con AI (il cosiddetto “deployer”) ha obblighi propri, indipendentemente da chi ha sviluppato il sistema.

2. Quali documenti deve avere l’azienda

Se in azienda si utilizzano strumenti di AI che trattano dati personali, questi sono i documenti da predisporre o aggiornare:

a) Registro dei trattamenti aggiornato

Va integrato inserendo i trattamenti effettuati tramite AI, con l’indicazione delle finalità, dei dati coinvolti e dei nuovi rischi introdotti dallo strumento.

b) Valutazione d’impatto (DPIA)

Quando l’AI comporta un monitoraggio sistematico o decisioni che incidono sulle persone (es. selezione del personale, scoring dei clienti), il GDPR richiede una valutazione d’impatto sulla protezione dei dati da svolgere PRIMA di attivare il trattamento. È lo strumento centrale per dimostrare di aver gestito i rischi.

c) Informativa privacy rivista

Le informative vanno aggiornate spiegando, con linguaggio chiaro e semplice, che si utilizza l’AI, con quali finalità e con quali rischi. La legge italiana richiede esplicitamente la “spiegabilità”: l’interessato deve poter capire e, dove previsto, opporsi.

d) Prova della formazione del personale (AI literacy)

L’AI Act impone di garantire un livello adeguato di “alfabetizzazione” AI a chi utilizza questi strumenti. In pratica: formazione documentata, proporzionata al ruolo e all’esposizione di ciascuno al sistema.

e) Procedure interne e ruoli

Vanno aggiornate le procedure di audit interno, individuati i responsabili del trattamento (es. il fornitore del software AI) e definite le regole d’uso per i dipendenti.

3. Cosa si rischia

Le sanzioni dell’AI Act sono tra le più elevate del panorama normativo europeo:

• fino a 35 milioni di euro o il 7% del fatturato annuo globale per l’uso di pratiche di AI vietate;
• fino a 15 milioni di euro o il 3% del fatturato per non conformità sui sistemi ad alto rischio.

A queste si aggiungono le sanzioni GDPR per i trattamenti illeciti. Oltre al profilo economico, c’è il rischio reputazionale e quello di contenziosi con dipendenti e clienti.

4. Cosa fare nei prossimi mesi

Un percorso pratico, prima della scadenza del 2 agosto 2026:

• Censire tutti gli strumenti di AI già in uso in azienda (anche quelli “nascosti” nei software gestionali).
• Verificare quali trattano dati personali e con quali finalità.
• Aggiornare registro, informative e, dove serve, predisporre la DPIA.
• Formare il personale e conservare la prova della formazione.
• Definire una policy interna chiara su cosa si può e non si può fare con l’AI.

Un cordiale saluto,

Il team di La Sicurezza

Questa newsletter ha finalità informativa e divulgativa e non costituisce consulenza legale. Per valutazioni sul caso concreto è sempre consigliabile un’analisi dedicata. Fonti normative: Reg. UE 2024/1689 (AI Act), Reg. UE 2016/679 (GDPR), Legge 23 settembre 2025 n. 132.