Checklist GDPR e AI per aziende
Rispondi a 12 domande sì/no/non so. Ottieni un punteggio di conformità, l'elenco delle aree critiche e le 3 azioni prioritarie da mettere in agenda.
- 12 controlli su strumenti, DPA, dati e governance
- Punteggio di conformità 0-100
- Lista delle 3 azioni prioritarie
- Calcolo nel browser, nessun dato salvato
Rispondi a ciascun controllo.
0/12 risposte. Il punteggio si aggiorna in tempo reale.
Strumenti e contratti
Gli strumenti AI in uso (ChatGPT, Claude, Cursor, Gemini) sono nelle versioni business / enterprise, non account personali?
CriticaLe versioni consumer permettono il training sui prompt e non firmano DPA standard.
Per ogni fornitore AI che tratta dati personali è stato firmato un DPA (Data Processing Agreement)?
CriticaObbligo ex art. 28 GDPR per qualunque responsabile del trattamento.
Il piano contrattuale di ciascun fornitore AI esclude l'uso dei prompt per il training del modello?
CriticaChatGPT Team/Enterprise, Claude for Work/Enterprise, Gemini Workspace lo escludono di default.
Dati e trattamenti
Il registro dei trattamenti aziendale è stato aggiornato includendo i nuovi flussi AI?
CriticaObbligo ex art. 30 GDPR per ogni nuovo trattamento.
È stata valutata l'eventuale necessità di una DPIA (valutazione d'impatto) per gli usi AI ad alto rischio?
ImportanteDPIA obbligatoria ex art. 35 GDPR per trattamenti ad alto rischio (profilazione, large scale, dati particolari).
I prompt inviati agli strumenti AI rispettano il principio di minimizzazione (solo i dati strettamente necessari)?
CriticaAnonimizzazione e pseudonimizzazione preventiva quando possibile.
È stato escluso l'inserimento di categorie particolari di dati (salute, biometrici, opinioni politiche) senza base giuridica esplicita?
CriticaGovernance e organizzazione
Esiste una policy interna scritta sull'uso dell'AI, distribuita e firmata dai collaboratori?
ImportanteRiferimento richiesto sempre più spesso in audit GDPR e in certificazioni ISO/SOC2.
I collaboratori che usano AI hanno ricevuto formazione su cosa NON inserire nei prompt?
ImportanteIl DPO (interno o esterno) è stato informato dell'introduzione dell'AI nei processi?
ImportanteEsiste un processo definito per segnalare incidenti legati all'AI (output pubblicato per errore, dati inseriti erroneamente)?
ImportanteI sistemi AI in uso sono stati classificati per livello di rischio secondo l'AI Act europeo (Reg. UE 2024/1689)?
OpportunitàLa maggior parte degli usi PMI sta in 'rischio limitato' o 'minimo' ma la classificazione va comunque fatta.
Conformità GDPR & AI
Punteggio
—/100
Rispondi a tutte le 12 domande per vedere il risultato
Rispondi a tutti i 12 controlli per vedere il report con le aree critiche e le 3 azioni prioritarie.
Come funziona la checklist GDPR e AI
La checklist contiene 12 controlli divisi in 3 aree: strumenti e contratti con i fornitori AI, dati e trattamenti, governance interna. Ogni controllo è pesato in base alla severità della non conformità (critica, importante, opportunità).
Per ogni controllo puoi rispondere "Sì", "No" o "Non so". Le risposte "Non so" valgono il 40% del punteggio della risposta "Sì": spesso il problema reale è proprio la mancanza di visibilità su un punto GDPR. Al completamento della checklist ottieni un punteggio 0-100, la fascia di conformità (Solida, In costruzione, A rischio, Critica) e l'elenco delle azioni critiche su cui intervenire.
Lo strumento non sostituisce una consulenza legale o un audit formale di conformità: è pensato per offrire una visione di sintesi rapida agli imprenditori e ai manager di PMI italiane che stanno introducendo l'AI in azienda.
GDPR, AI Act e PMI italiane
Usare ChatGPT in azienda viola il GDPR?
Dipende dal piano contrattuale e dall'uso. ChatGPT Free e Plus (account consumer) non sono adatti per dati personali: i prompt possono essere usati per training. ChatGPT Team, Enterprise e Edu, così come Claude for Work e Claude Enterprise, escludono i prompt dal training e firmano DPA: sono utilizzabili per la maggior parte dei trattamenti, purché documentati nel registro e con valutazione d'impatto dove richiesto.
Serve sempre una DPIA per usare l'AI in azienda?
No. La DPIA (Data Protection Impact Assessment, art. 35 GDPR) è obbligatoria solo per trattamenti ad alto rischio: profilazione automatizzata con effetti significativi, monitoraggio sistematico, dati su larga scala di categorie particolari (salute, biometrici). Per l'uso AI tipico di una PMI (sintesi email, prima bozza preventivi, assistenza al codice) la DPIA non è obbligatoria, ma serve comunque aggiornare il registro dei trattamenti.
Cos'è il DPA e perché conta per l'AI?
Il DPA (Data Processing Agreement) è il contratto richiesto dall'art. 28 GDPR tra titolare (la tua azienda) e responsabile del trattamento (il fornitore AI). Senza DPA firmato non puoi legittimamente affidare a un servizio AI il trattamento di dati personali dei tuoi clienti o dipendenti. OpenAI, Anthropic, Google offrono DPA standard sui loro piani business/enterprise.
Come gestire l'AI Act europeo come PMI italiana?
L'AI Act classifica i sistemi AI per rischio. La maggior parte degli usi in PMI italiane ricade in 'rischio limitato' o 'rischio minimo': bastano trasparenza nei confronti di clienti e dipendenti (sapere quando interagiscono con un AI) e linee guida interne. I sistemi 'ad alto rischio' (HR, scoring creditizio, controllo accessi automatizzato) richiedono valutazione di conformità più strutturata. La maggior parte delle PMI non li usa.
Posso usare l'AI per leggere CV in fase di assunzione?
Sì ma con cautele. Lo screening AI di CV ricade in 'rischio alto' nell'AI Act se è decisivo o se costituisce profilazione. Serve trasparenza esplicita verso i candidati (li devi informare che l'AI è usata nello screening), revisione umana significativa di ogni decisione, e attenzione a bias del modello che potrebbero discriminare per genere, età, provenienza. Consigliato confrontarsi con consulente del lavoro prima di automatizzare.
Come si fa a impedire training sui dati aziendali?
Su Claude Enterprise, ChatGPT Team/Enterprise/Edu, Gemini Workspace, Cursor Business: l'opt-out dal training è di default contrattuale, non serve fare nulla. Su account consumer va attivato esplicitamente nelle impostazioni: ChatGPT 'Improve the model for everyone' = OFF, Claude 'Help improve Claude' = OFF. Le API (Anthropic, OpenAI) di default non addestrano sui dati passati: è un punto chiave del DPA.
Approfondisci: Generatore Policy AI aziendale
