La DPIA valutazione impatto AI PMI e il processo con cui una piccola o media impresa analizza, prima di iniziare, i rischi per le persone i cui dati vengono trattati da un sistema di intelligenza artificiale. L’articolo 35 del GDPR la rende obbligatoria quando il trattamento puo presentare un rischio elevato, e l’uso di AI con dati personali rientra quasi sempre in questa soglia.
Nel 2026, con l’AI Act pienamente operativo dal 2 agosto e il Garante Privacy che ha intensificato le ispezioni sugli usi aziendali di ChatGPT, CRM predittivi e software HR automatizzati, saltare la DPIA non e piu un rischio teorico. Questa guida spiega quando serve, come farla in autonomia e ti fornisce un template pronto in otto sezioni.
DPIA e FRIA: due valutazioni diverse che le PMI confondono
La confusione piu frequente nelle PMI italiane riguarda la differenza tra DPIA e FRIA. Sono due strumenti distinti, con basi giuridiche diverse e perimetri diversi.
La DPIA (Data Protection Impact Assessment) e prevista dall’articolo 35 del GDPR e riguarda la protezione dei dati personali. Si applica quando un trattamento puo presentare un rischio elevato per i diritti e le liberta delle persone fisiche, tipicamente perche usa nuove tecnologie, profila, monitora o lavora su larga scala.
La FRIA (Fundamental Rights Impact Assessment) e prevista dall’articolo 27 del Regolamento UE 2024/1689 (AI Act) e riguarda i diritti fondamentali in senso ampio: discriminazione, accesso ai servizi, dignita, liberta di espressione. Si applica ai deployer di sistemi AI ad alto rischio quando sono enti pubblici, operatori privati che erogano servizi pubblici, oppure deployer dei casi elencati ai punti 5(b) e 5(c) dell’Allegato III (scoring creditizio e assicurazioni vita/salute).
| Strumento | Norma | Chi deve farla | Focus |
|---|---|---|---|
| DPIA | GDPR, art. 35 | Ogni titolare che tratta dati personali ad alto rischio con AI | Protezione dati personali |
| FRIA | AI Act, art. 27 | Enti pubblici, erogatori di servizi pubblici, deployer di AI ad alto rischio ex Allegato III | Diritti fondamentali |
Per la maggior parte delle PMI italiane la FRIA non si applica, perche riguarda soprattutto enti pubblici e settori regolati come credito e assicurazioni. La DPIA invece si applica quasi sempre quando si usa AI con dati personali. L’EDPB raccomanda, quando entrambe sono dovute, di produrre un unico documento integrato per evitare duplicazioni.
Per un quadro piu ampio dei rischi privacy connessi all’AI, la lettura di riferimento e la guida sui cinque rischi GDPR nell’uso dell’AI.
Quando la DPIA e obbligatoria per un uso aziendale dell’AI
L’articolo 35 del GDPR non elenca caso per caso: definisce criteri. Le Linee Guida WP29 (oggi EDPB), recepite dal Garante Privacy con il provvedimento dell’11 ottobre 2018, individuano nove criteri di rischio. Se un trattamento ne soddisfa almeno due, la DPIA e tipicamente obbligatoria.
L’uso dell’AI aziendale attiva con facilita questi criteri:
- Uso di nuove tecnologie: l’AI e esplicitamente classificata come tecnologia innovativa dall’EDPB.
- Valutazione o scoring: profilare clienti, candidati o dipendenti.
- Monitoraggio sistematico: tracciare comportamenti in modo continuativo.
- Trattamento su larga scala: volume significativo rispetto alla dimensione aziendale.
- Decisioni automatizzate con effetti rilevanti: assunzioni, prezzi, credito.
- Dati di soggetti vulnerabili: dipendenti, minori, pazienti.
La tabella che segue traduce i casi d’uso piu frequenti in una risposta operativa.
| Sistema AI usato dalla PMI | DPIA obbligatoria | Fonte normativa |
|---|---|---|
| Screening automatico CV con AI | Si | GDPR art. 35, Provv. Garante 11/10/2018 |
| CRM predittivo con scoring clienti | Si | GDPR art. 35, Linee Guida WP29 |
| Chatbot AI con accesso a dati clienti | Si | GDPR art. 35 |
| Monitoraggio produttivita dipendenti con AI | Si | GDPR art. 35, Statuto Lavoratori |
| Personalizzazione email su larga scala | Si (spesso) | GDPR art. 35 |
| ChatGPT per brainstorming senza dati personali | No | GDPR art. 35 (soglia non superata) |
| AI per traduzione documenti interni non personali | No | GDPR art. 35 (soglia non superata) |
| Assistente AI che riassume riunioni con voce dipendenti | Si | GDPR art. 35, Statuto Lavoratori |
Se il tuo caso d’uso attiva la riga “Si”, la DPIA va fatta prima di iniziare il trattamento. Non dopo un’ispezione, non “quando ci sara tempo”.
Il metodo in 7 step per fare una DPIA senza consulenti
Il Garante Privacy, in collaborazione con la CNIL francese, distribuisce gratuitamente il software PIA come supporto metodologico. Al di la del tool, il metodo operativo che funziona nelle PMI e in sette passaggi.
Step 1. Descrivi il trattamento in modo concreto
Niente tecnicismi. Rispondi a sei domande: quale strumento AI usi, quali dati personali entrano, da dove arrivano, cosa produce il sistema, chi vede gli output, per quanto tempo i dati restano conservati.
Esempio reale. Una PMI metalmeccanica da 28 dipendenti in Brianza usa HubSpot con modulo AI predittivo su 3.200 contatti B2B attivi. Input: nome, email aziendale, settore, storico interazioni. Output: score 0-100 di probabilita di acquisto, aggiornato settimanalmente. Visibilita: team commerciale di quattro persone. Conservazione: 24 mesi dall’ultimo contatto.
Step 2. Valuta necessita e proporzionalita
Il principio di minimizzazione dell’articolo 5 del GDPR si applica anche qui. Se lo scoring funziona usando solo dati aziendali (settore, dimensione, storico ordini), non includere dati comportamentali individuali come pagine visitate o aperture email. Meno dati, meno rischio, meno DPIA da giustificare.
Step 3. Identifica i rischi per gli interessati
Per ogni fase del trattamento, elenca cosa puo andare storto. I rischi ricorrenti nell’AI aziendale sono cinque: errori di classificazione, bias algoritmico, perdita di riservatezza, mancanza di trasparenza verso gli interessati, assenza di intervento umano significativo.
Step 4. Definisci misure di mitigazione concrete
Per ogni rischio, una misura operativa. Non servono soluzioni tecnologiche sofisticate: spesso le misure piu efficaci sono organizzative.
| Rischio | Misura di mitigazione |
|---|---|
| Errore di classificazione cliente | Review umana prima di ogni azione commerciale basata sullo score |
| Bias algoritmico | Audit trimestrale della distribuzione score per settore |
| Esposizione dati a non autorizzati | Accesso limitato a utenti nominativi con MFA obbligatoria |
| Mancanza di trasparenza | Informativa privacy aggiornata con menzione esplicita dello scoring AI |
| Decisione automatizzata senza review | Lo score e suggerimento, mai decisione definitiva |
Step 5. Coinvolgi gli stakeholder giusti
Anche in una PMI da 20 dipendenti la DPIA non e un esercizio individuale. Gli stakeholder coinvolti sono: il titolare del trattamento (amministratore o legale rappresentante), il DPO se nominato, il responsabile IT o il consulente esterno che gestisce lo strumento, il referente del reparto che usa l’AI (HR, commerciale, marketing), ed eventualmente il fornitore AI per chiarire aspetti tecnici. Il parere del DPO, quando presente, va documentato nella DPIA stessa.
Step 6. Documenta e conserva la DPIA
Il documento non deve essere un capolavoro giuridico. Deve essere chiaro e riproducibile. Salvalo nella stessa cartella condivisa dove gia conservi il registro dei trattamenti e la policy AI aziendale. Indica data di redazione, responsabile, data del prossimo aggiornamento previsto.
Step 7. Aggiorna quando cambia qualcosa
La DPIA non e un adempimento una tantum. Va rivista quando cambi strumento o provider, aggiungi nuove categorie di dati, modifichi le finalita, si verifica un incidente, il Garante pubblica indicazioni nuove. Una revisione annuale e buona pratica anche senza cambiamenti. Per un approccio strutturato alla gestione dei dati sensibili nell’AI, approfondisci come proteggere i dati aziendali nell’uso dell’AI.
Template DPIA AI in 8 sezioni
Ecco il template operativo da copiare e compilare per ogni caso d’uso AI che tratta dati personali nella tua PMI. Copre i requisiti minimi dell’articolo 35 del GDPR.
# VALUTAZIONE D'IMPATTO SULLA PROTEZIONE DEI DATI (DPIA)
Titolare del trattamento: ____
Data di redazione: ____
Responsabile della valutazione: ____
Prossimo aggiornamento previsto: ____
## 1. Descrizione del trattamento
- Strumento AI utilizzato (nome, versione, provider):
- Finalita del trattamento:
- Categorie di dati personali trattati:
- Fonte dei dati:
- Numero stimato di interessati:
- Destinatari degli output:
- Periodo di conservazione:
- Trasferimenti extra-UE (si/no, paese, base giuridica):
## 2. Base giuridica e principi
- Base giuridica ex art. 6 GDPR:
- Eventuale base art. 9 per categorie particolari:
- Se legittimo interesse: bilanciamento sintetico:
- Principio di minimizzazione rispettato (si/no, motivazione):
## 3. Necessita e proporzionalita
- Il trattamento e necessario alla finalita (si/no):
- Alternative meno invasive valutate (si/no):
- I dati raccolti sono il minimo indispensabile (si/no):
## 4. Rischi identificati
| Rischio | Probabilita | Gravita | Categoria di interessati impattata |
|---------|------------|---------|-----------------------------------|
| | | | |
## 5. Misure di mitigazione
| Rischio correlato | Misura | Responsabile | Tempistica |
|-------------------|--------|--------------|-----------|
| | | | |
## 6. Trasparenza e diritti degli interessati
- Informativa privacy aggiornata (si/no):
- Modalita di esercizio dei diritti (accesso, rettifica, opposizione, portabilita):
- Intervento umano significativo previsto (si/no, descrizione):
- Decisioni unicamente automatizzate (si/no, base giuridica ex art. 22):
## 7. Parere del DPO (se nominato)
- Parere sintetico:
- Raccomandazioni:
- Data:
## 8. Esito e decisione
- Rischio residuo dopo mitigazioni (alto/medio/basso):
- Consultazione preventiva del Garante richiesta (si/no):
- Decisione finale (procedere / procedere con condizioni / non procedere):
- Data prossima revisione:Per i casi che richiedono anche la FRIA, puoi estendere la sezione 4 con una tabella dedicata all’impatto sui diritti fondamentali (discriminazione, accesso ai servizi, dignita). Per capire se il tuo sistema AI e ad alto rischio leggi la guida sulla classificazione del rischio secondo l’AI Act.
Misure di mitigazione che funzionano davvero nelle PMI
Le misure piu efficaci nelle PMI italiane non sono quelle tecnologiche. Sono procedure semplici, documentate e rispettate.
- Review umana obbligatoria prima di qualsiasi decisione con impatto rilevante sulla persona (assunzione, rifiuto di servizio, condizioni commerciali differenziate).
- Accesso agli output AI con privilegio minimo: solo chi ha bisogno dello score vede lo score, con autenticazione a due fattori.
- Informativa privacy riscritta con una sezione specifica sull’uso dell’AI, in linguaggio comprensibile.
- Registro degli incidenti AI: anche un foglio condiviso in cui si annotano errori del modello, reclami, correzioni manuali.
- Audit trimestrale della distribuzione degli output per categorie protette, per individuare bias.
- Clausola contrattuale con il fornitore AI su conservazione, training e sub-responsabili ex art. 28 GDPR.
Secondo le guide pubblicate dall’EDPB nel 2024-2025 sull’interazione tra GDPR e AI, la combinazione di queste misure copre la maggior parte dei rischi tipici dei sistemi AI a rischio limitato usati dalle PMI.
Gli errori che vediamo piu spesso sulla DPIA nelle PMI
Dai cantieri di compliance seguiti con PMI italiane tra il 2024 e il 2026, emergono cinque errori ricorrenti.
“Siamo piccoli, non ci riguarda.” Il GDPR non prevede soglie dimensionali per la DPIA. Una PMI di 12 dipendenti che usa screening CV automatico ha gli stessi obblighi di una multinazionale.
“L’abbiamo fatta nel 2018.” La DPIA si fa per ogni trattamento ad alto rischio, non una volta per tutte. Ogni nuovo strumento AI richiede la sua.
“Il fornitore ci ha detto che e a posto.” Il fornitore ha obblighi di compliance propri (provider), ma la DPIA e responsabilita del titolare del trattamento. Non si delega.
“Non trattiamo dati sensibili.” Nome, email, IP, storico acquisti sono dati personali. La soglia della DPIA si puo attivare anche senza dati delle categorie particolari dell’articolo 9.
“La facciamo dopo.” L’articolo 35 impone la DPIA prima del trattamento. Se stai gia usando lo strumento senza DPIA, sei in violazione dal primo giorno.
Checklist: la tua PMI ha bisogno di una DPIA?
Rispondi alle dieci domande. Se rispondi “si” a due o piu, la DPIA e obbligatoria o fortemente raccomandata.
- Usi uno strumento AI che tratta dati personali di clienti, dipendenti o candidati?
- Lo strumento classifica, assegna punteggi o profila le persone?
- Il trattamento riguarda centinaia o migliaia di interessati?
- I dati includono categorie particolari ex art. 9 GDPR (salute, opinioni, biometrici)?
- Lo strumento monitora comportamenti in modo continuativo?
- Le decisioni basate sull’output hanno conseguenze concrete (assunzione, credito, servizi)?
- Gli interessati non si aspettano ragionevolmente questo trattamento?
- Lo strumento combina dati da fonti diverse (enrichment)?
- Riguarda soggetti vulnerabili (dipendenti, minori, pazienti)?
- Prende decisioni completamente automatizzate senza intervento umano significativo?
Se hai risposto “si” a meno di due domande, parti dai fondamentali di governance prima di preoccuparti della DPIA. La guida sugli obblighi dell’AI Act per le PMI e il punto di ingresso corretto.
DPIA e AI Act dal 2 agosto 2026
Il 2 agosto 2026 scattano gli obblighi pieni dell’AI Act per i sistemi ad alto rischio, inclusa l’applicabilita dell’articolo 27 sulla FRIA. Le sanzioni per la mancata FRIA arrivano a 15 milioni di euro o 3% del fatturato mondiale annuo.
Per le PMI la conseguenza operativa e duplice. Primo, la DPIA resta lo strumento principale per dimostrare la compliance GDPR, a prescindere dall’AI Act. Secondo, se un sistema rientra tra quelli ad alto rischio dell’Allegato III e rispondi ai criteri soggettivi dell’articolo 27, la FRIA va completata prima della messa in uso e notificata all’autorita di vigilanza di mercato. Il modello di notifica standardizzato sara pubblicato dall’AI Office europeo.
La Legge italiana 132/2025, in vigore dal 10 ottobre 2025, integra l’AI Act nel contesto nazionale e rafforza il ruolo del Garante Privacy sulla supervisione degli usi dell’AI che coinvolgono dati personali. In pratica, una DPIA ben fatta sara il primo documento richiesto in caso di ispezione.
Domande frequenti
Una PMI con 10 dipendenti deve fare la DPIA se usa ChatGPT?
Dipende dall’uso. Se usi ChatGPT per generare bozze interne senza inserire dati personali di clienti o dipendenti, la DPIA non serve. Se invece lo usi per rispondere a clienti con i loro dati, o per analizzare CV, o per riassumere conversazioni registrate con voci identificabili, la DPIA e necessaria a prescindere dalla dimensione aziendale. Il criterio del GDPR e il rischio del trattamento, non il numero di dipendenti.
Chi firma la DPIA in una PMI senza DPO?
Il titolare del trattamento, cioe il legale rappresentante dell’azienda. Il DPO quando presente esprime un parere che va documentato, ma la responsabilita resta del titolare. In assenza di DPO, il titolare puo farsi assistere da un consulente privacy esterno, ma la firma e la decisione finale sono sue.
Quanto tempo serve per fare una DPIA AI in autonomia?
Con il metodo in sette step e il template di questa guida, una DPIA per un singolo caso d’uso AI in una PMI richiede tra 4 e 8 ore di lavoro effettivo, distribuite su due-tre sessioni. La prima DPIA che fai richiede piu tempo perche devi impostare il metodo, dalla seconda in poi scendi sotto le 4 ore. Non serve un consulente esterno per la maggior parte dei casi.
La DPIA va comunicata al Garante Privacy?
No, non automaticamente. Va comunicata solo se, dopo aver applicato tutte le misure di mitigazione, il rischio residuo resta alto. In quel caso scatta la consultazione preventiva dell’articolo 36 GDPR. Nella maggior parte dei casi delle PMI, il rischio residuo scende a medio o basso e la DPIA va semplicemente conservata e messa a disposizione in caso di richiesta.
DPIA e registro dei trattamenti sono la stessa cosa?
No. Il registro dei trattamenti ex articolo 30 GDPR e un elenco di tutti i trattamenti dell’azienda, con finalita, categorie e tempi di conservazione. La DPIA e un’analisi approfondita applicata solo ai trattamenti ad alto rischio. Le due cose si integrano: dal registro individui i trattamenti che richiedono una DPIA, poi per ciascuno produci il documento di valutazione.
Piano d’azione per partire questa settimana
Se sei arrivato fin qui hai tutti gli elementi per agire in autonomia.
Questa settimana, usa la checklist delle dieci domande su ogni strumento AI attivo in azienda e individua quelli che richiedono DPIA. Nelle due settimane successive, compila il template in 8 sezioni per ciascuno dei casi individuati, senza cercare la perfezione: completezza batte eleganza. Ogni trimestre, rivedi le DPIA esistenti e aggiorna quelle in cui e cambiato qualcosa.
La DPIA non e burocrazia difensiva. E il momento in cui ti fermi, prima di agire, a chiederti se il modo in cui la tua azienda usa l’AI rispetta i diritti delle persone di cui tratti i dati. Questa abitudine mentale, dentro una PMI, vale piu di qualsiasi consulenza esterna. Per un percorso completo su governance, dati e adozione AI responsabile, il libro Intelligenza Artigianale e la risorsa di riferimento.
Fonti e approfondimenti
- Garante Privacy, Valutazione d’impatto sulla protezione dei dati (DPIA)
- European Data Protection Board, Data Protection Impact Assessment (DPIA) — documenti e linee guida
