Guida GDPR e Intelligenza Artificiale per PMI

Usi ChatGPT, Copilot o altri tool AI nel tuo lavoro? Qui trovi cosa prevede il GDPR, quali obblighi hai e come scegliere strumenti conformi. In linguaggio pratico, con checklist.

✓ Aggiornata a marzo 2026 · ✓ Fonti ufficiali UE e Garante Privacy · ✓ Non è consulenza legale

Cosa trovi in questa guida

Obblighi del titolare

Cosa devi fare se usi AI con dati di clienti o dipendenti

DPA e contratti

Cos’è il Data Processing Agreement e chi ce l’ha

Tool conformi

Quali tool AI rispettano il GDPR e quali no

Checklist

Verifica in 5 minuti se sei in regola

Perché il GDPR riguarda chi usa tool AI

Quando inserisci un prompt in ChatGPT, Claude, Copilot o qualsiasi altro tool AI, potresti trasmettere dati personali a server di terze parti – spesso fuori dall’UE. Nomi di clienti contenuti in un’email, dati di dipendenti in un contratto, contatti di prospect in un brief: tutto questo è un trattamento di dati personali ai sensi del GDPR.

Il punto che molte PMI sottovalutano: il responsabile non è il fornitore del tool. Sei tu, come titolare del trattamento.

Il GDPR si applica indipendentemente da dove ha sede il provider. Se i tuoi utenti o clienti sono in Europa, il regolamento ti riguarda. Il Garante Privacy italiano lo ha dimostrato concretamente: nel 2024 ha sanzionato OpenAI con 15 milioni di euro per violazioni GDPR. Il provvedimento è stato successivamente impugnato da OpenAI: il Tribunale di Roma, con sentenza del 18 marzo 2026, ha accolto il ricorso. L’istruttoria prosegue in Irlanda presso il DPC.

Non hai mai letto il GDPR? Gli articoli che contano per chi usa AI

I tuoi obblighi se usi AI con dati personali

Se usi tool AI per elaborare dati di clienti, dipendenti o candidati, il GDPR ti assegna obblighi precisi come titolare del trattamento. Ecco i principali.

  1. Avere una base giuridica – Ogni trattamento tramite AI deve fondarsi su una base giuridica valida: legittimo interesse, esecuzione di un contratto o consenso. L’EDPB ha confermato che il legittimo interesse può funzionare per l’uso di modelli AI, ma va documentato. Attenzione alla profilazione: il Garante ha sanzionato Intesa Sanpaolo per 17,6 milioni proprio per aver classificato i clienti senza base giuridica adeguata. Lo stesso istituto ha ricevuto una seconda sanzione da 31,8 milioni per accessi abusivi ai dati dei clienti.
  2. Stipulare un DPA – Se il fornitore tratta dati per tuo conto, serve un Data Processing Agreement (art. 28 GDPR). → Dettagli nella sezione successiva.
  3. Verificare i trasferimenti extra-UE – Molti provider AI operano dagli USA. I trasferimenti devono essere coperti da garanzie adeguate (SCC o altro). → Contratti fornitori AI: le clausole da controllare
  4. Aggiornare l’informativa privacy – La tua privacy policy deve menzionare l’uso di strumenti AI. Lo stesso principio si applica anche alle implicazioni GDPR delle nuove regole sulle recensioni online introdotte dalla Legge PMI 2026.
  5. Aggiornare il registro dei trattamenti – Il registro (art. 30) deve includere i trattamenti effettuati tramite tool AI. Il GDPR Omnibus potrebbe esentare le PMI da questo obbligo, ma fino all’approvazione resta in vigore. → Mappatura strumenti AI: come farla
  6. Valutare se serve una DPIA – Se il tool profila persone, supporta decisioni automatizzate o tratta dati sensibili, potrebbe servire una Valutazione d’Impatto. Dal 14 aprile 2026 l’EDPB ha pubblicato il primo template ufficiale per le DPIA, in consultazione pubblica fino al 9 giugno 2026. → DPIA per strumenti AI: quando serve davvero

In arrivo: l’EDPB sta lavorando con la Commissione europea a linee guida congiunte sull’interazione tra AI Act e leggi UE sulla protezione dei dati, previste per il 2026. Quando saranno pubblicate, questa guida sarà aggiornata.

Data Processing Agreement: cos’è e dove trovarlo

Il DPA è il contratto previsto dall’art. 28 GDPR che regola come il fornitore del tool AI tratta i dati per tuo conto. Senza DPA, usare il tool su dati personali non è conforme. La versione gratuita della maggior parte dei tool AI non offre un DPA – serve almeno un piano business.

ProviderDPA disponibilePiano minimo
OpenAI (ChatGPT)Business / API
Anthropic (Claude)Sì, nei Commercial TermsPro / API
Google (Gemini)Sì, Cloud DPAWorkspace / API
Microsoft (Copilot)Microsoft 365 Business
WritesonicSu richiestaPro

Verifica sempre direttamente con il fornitore. Le condizioni cambiano.

Il DPA da solo non basta: devi anche verificare le clausole su training dei dati, trasferimenti extra-UE e responsabilità sugli output. → Contratti fornitori AI: tutte le clausole da controllare

Tool AI e GDPR: chi è conforme?

Non tutti i tool AI offrono le stesse garanzie. Questa tabella riassume la conformità GDPR dei principali strumenti usati dalle PMI italiane.

ToolDPAServer UETraining su dati
ChatGPT Business/APNo (default)
Claude Pro/APINo
Gemini WorkspaceNo
Copilot 365 BusinessNo
ChatGPT Free/PlusNoNo
PerplexityLimitatoNoDa verificare

Dati basati sulla documentazione pubblica dei fornitori, aggiornati a marzo 2026.

Per un confronto completo con 25+ tool AI organizzati per categoria (assistenti, content, immagini, produttività, automazione, coding, SEO, cybersecurity), consulta il nostro comparatore. → Migliori Tool AI per PMI – confronto completo

Checklist GDPR per chi usa tool AI

0 di 10 completati
1 Scelta del tool 0/3
Stai usando un piano con DPA (non la versione gratuita)?
Hai verificato se i tuoi dati vengono usati per addestrare il modello?
Sai dove sono i server del provider?
2 Documentazione 0/4
Hai firmato o attivato il DPA con il fornitore?
→ Guida alle clausole da controllare
La tua informativa privacy menziona l’uso di tool AI?
Il registro dei trattamenti include i tool AI?
→ Come fare la mappatura
Hai documentato la base giuridica del trattamento?
3 Organizzazione 0/3
I collaboratori sanno quali dati possono inserire nei tool AI?
Esiste una policy interna sull’uso dell’AI in azienda?
Hai valutato se serve una DPIA per i casi più sensibili?
→ Quando serve la DPIA

Per generare e mantenere aggiornata la Privacy Policy e il Cookie Banner del tuo sito, uno strumento usato da molte PMI italiane è iubenda. Scopri iubenda →

Risorsa gratuita
Vuoi la versione stampabile?
Scarica la Checklist GDPR + AI Act in PDF — 30+ voci, riferimenti normativi, aggiornata a marzo 2026.
Scarica il PDF

Approfondimenti

Contratti con fornitori AI

Le 5 clausole da verificare prima di firmare.
Leggi l’approfondimento →

DPIA per strumenti AI

Quando la valutazione d’impatto è necessaria e quando no.
Scopri quando serve →

Mappatura strumenti AI

Come censire i tool AI usati in azienda.
Leggi la guida →

ChatGPT in azienda e GDPR

I rischi concreti e come usare ChatGPT in modo sicuro.
Leggi di più →

AI Literacy obbligatoria

Cosa devono fare le PMI italiane dal 2025.
Leggi la guida →

GDPR semplificato per chi usa AI

Gli articoli che contano davvero, spiegati senza gergo legale.
Leggi la guida →

Claude e GDPR

DPA, training e trasferimenti extra-UE: guida compliance per PMI.
Leggi la guida →

Copilot 365 e GDPR

EU Data Boundary, Graph, DPA: configurazione conforme per PMI.
Leggi la guida →

Midjourney e GDPR

Immagini AI e dati personali: cosa manca e quando si può usare in azienda.
Leggi la guida →

Ultimi articoli su GDPR e AI

Vuoi approfondire gli obblighi per la tua PMI?

Leggi le nostre guide complete su GDPR, AI Act e tool AI conformi per PMI italiane.

Scopri l’AI Act → Confronta i tool AI →

Le informazioni contenute in questa guida hanno finalità informative e non costituiscono consulenza legale. Per casi specifici – soprattutto in ambito HR, credito, sanità o sistemi ad alto rischio – è opportuno verificare con un professionista.

Fonti e riferimenti ufficiali