Salta al contenuto
Novità Intelligenza artificiale AI Act DPO GDPR governance intelligenza artificiale

Il ruolo del DPO nell’era dell’IA: risultati dell’indagine CNIL sul Regolamento IA

Il ruolo del DPO nell’era dell’IA: risultati dell’indagine CNIL sul Regolamento IA

In sintesi

Il CNIL e partner hanno annunciato la pubblicazione, prevista per il 3 luglio 2026, dei risultati di un'indagine condotta nel 2025 sull'evoluzione del ruolo del DPO nell'era dell'IA e del Regolamento IA. Lo studio evidenzia l'ampia adozione dell'IA, la scarsa strutturazione della governance interna e la necessità per i DPO di acquisire nuove competenze specifiche sul Regolamento IA. Questa ricerca è fondamentale per comprendere le sfide future e le azioni necessarie per la compliance.

Contesto

Il 3 luglio 2026, il Ministero del Lavoro e delle Solidarietà, l'AFCDP (Association française des correspondants à la protection des données) e il CNIL (Commission Nationale de l'Informatique et des Libertés) prevedono di pubblicare i risultati di un'indagine lanciata nel 2025. Questa ricerca è la 5a edizione dell'Osservatorio sul mestiere del DPO, che dal 2018 monitora gli impatti del GDPR e ora anche dell'intelligenza artificiale (IA) e del Regolamento IA (RIA) sul ruolo del DPO. L'indagine, realizzata dall'Afpa (Agence pour la formation professionnelle des adultes), offre una prospettiva sull'uso dell'IA nelle organizzazioni, la sua governance e le sfide di conformità identificate dai DPO in relazione al GDPR e al RIA, oltre ai bisogni di accompagnamento dei DPO.

I profili dei DPO nel 2025 mostrano che il 79% sono interni, il 54% proviene da settori non giuridici o informatici, l'85% dei DPO interni e mutualizzati lavora a tempo parziale e il 45% ha oltre 6 anni di esperienza. L'uso dell'IA è in forte crescita: il 70% delle organizzazioni intervistate utilizza o prevede di utilizzare l'IA, con l'81% che ricorre all'IA generativa. Due terzi acquista soluzioni da fornitori esterni. Tuttavia, la governance dell'IA è ancora poco strutturata: meno di un quarto delle organizzazioni ha una strategia o politica formale sull'argomento, meno di un terzo ha avviato azioni di sensibilizzazione dei dipendenti o adottato una carta d'uso dell'IA, e solo il 31% ha iniziato a prepararsi per l'applicazione del Regolamento IA. I DPO ritengono che i sistemi di IA tratteranno principalmente dati personali, ponendo il GDPR al centro delle sfide. Più della metà dei DPO interrogati è spesso o sistematicamente associata ai progetti IA.

Sebbene il DPO debba essere coinvolto quando l'IA tratta dati personali, il Regolamento IA non lo menziona esplicitamente, lasciando aperta la questione dell'estensione formale delle sue competenze. Nonostante ciò, il 55% dei DPO dichiara di avere già il RIA nel proprio ambito di responsabilità, e il 71% desidera un ampliamento di tale ambito alla conformità al RIA. Tuttavia, il Regolamento IA è ancora poco conosciuto: solo il 27% dei DPO dichiara di avere un buon livello di conoscenza del testo e l'85% non ha ancora seguito una formazione specifica sull'IA. I DPO sono attrezzati per valutare gli aspetti GDPR dell'IA, ma mancano di strumenti e metodi per gli aspetti legati al RIA.

Perché conta

Questo studio è di fondamentale importanza per le organizzazioni che trattano dati personali e per la loro conformità. L'integrazione sempre più diffusa dell'intelligenza artificiale, in particolare quella generativa, nelle pratiche aziendali, combinata con l'imminente applicazione del Regolamento IA (RIA), crea nuove e complesse sfide per la protezione dei dati e la governance interna. La rilevazione che la governance dell'IA è ancora poco strutturata nella maggior parte delle organizzazioni (mancanza di strategie formali, politiche e sensibilizzazione dei dipendenti) espone a rischi significativi di non conformità sia al GDPR che al futuro RIA.

Per i DPO e i responsabili IT, la necessità di ampliare le competenze oltre il GDPR, includendo una profonda conoscenza del Regolamento IA, è evidente. L'assenza di riferimenti espliciti al DPO nel RIA non diminuisce l'importanza del suo ruolo, soprattutto dato che i sistemi IA tratteranno prevalentemente dati personali. Le organizzazioni devono investire nella formazione specifica dei propri DPO e nell'implementazione di una governance AI robusta per mitigare i rischi legali, operativi e reputazionali, garantendo al contempo un'innovazione responsabile e conforme.

Cosa fare

  • Implementare strategie e politiche formali per l'utilizzo dell'intelligenza artificiale all'interno dell'organizzazione.
  • Avviare programmi di sensibilizzazione e formazione per tutti i dipendenti sull'uso responsabile dell'IA e sulle normative pertinenti (GDPR e Regolamento IA).
  • Coinvolgere sistematicamente il DPO fin dalle prime fasi di ogni progetto IA, soprattutto se implica il trattamento di dati personali.
  • Fornire formazione specifica ai DPO sul Regolamento IA per accrescere le loro competenze e fornire strumenti metodologici per la conformità.
  • Iniziare a preparare l'organizzazione all'entrata in applicazione del Regolamento IA, valutando gli impatti e le modifiche necessarie.

Cosa evitare

  • Evitare di implementare sistemi di IA senza una governance strutturata e politiche formali.
  • Evitare di non coinvolgere il DPO nei progetti di IA, in particolare quando trattano dati personali.
  • Evitare di trascurare la formazione specifica dei DPO sul Regolamento IA e la fornitura di strumenti adeguati.
  • Evitare di non prepararsi per l'entrata in vigore del Regolamento IA, sottovalutandone le implicazioni.

Implicazioni pratiche

Le organizzazioni devono affrontare proattivamente la crescente integrazione dell'intelligenza artificiale, riconoscendo le sue implicazioni sulla protezione dei dati e sulla compliance. La mancanza di una governance AI robusta e l'insufficiente preparazione del DPO sul Regolamento IA espongono a rischi significativi. È essenziale adottare un approccio strategico che vada oltre il GDPR, garantendo che i sistemi di IA siano sviluppati e utilizzati in modo etico e conforme alle nuove normative, con il DPO come figura centrale di garanzia.

Azioni da fare

  • Sviluppare e formalizzare una strategia e una politica interna sull'uso responsabile dell'intelligenza artificiale.
  • Implementare programmi di sensibilizzazione e formazione continua per i dipendenti sull'uso dell'IA e sulle normative pertinenti, incluso il Regolamento IA.
  • Assicurare che il DPO sia coinvolto in tutte le fasi dei progetti IA che comportano il trattamento di dati personali, fornendogli risorse e autorità.
  • Investire nella formazione avanzata del DPO e del team IT sul Regolamento IA e sui suoi requisiti tecnici e legali.
  • Stabilire un framework di governance interna per l'IA, definendo ruoli, responsabilità e processi di valutazione dei rischi e della conformità.

Errori da evitare

  • Non avere una strategia o politica formale sull'IA, lasciando margini di incertezza e rischio.
  • Non sensibilizzare adeguatamente i dipendenti, aumentando il rischio di usi impropri o non conformi dell'IA.
  • Non associare il DPO ai progetti IA, perdendo un'importante opportunità di valutazione e mitigazione dei rischi privacy.
  • Non fornire al DPO e al team IT le competenze e gli strumenti necessari per la compliance con il Regolamento IA.
  • Sottovalutare l'impatto trasformativo dell'IA e del nuovo Regolamento sulle operazioni e sulla compliance aziendale.

Domande di self-assessment

  • La nostra organizzazione ha già definito una strategia o una politica formale per l'utilizzo dell'IA?
  • Sono stati implementati programmi di formazione e sensibilizzazione per i nostri dipendenti sull'uso etico e conforme dell'IA?
  • Il nostro DPO è sistematicamente coinvolto nella progettazione e implementazione di sistemi di IA che trattano dati personali?
  • Il nostro DPO e il team IT possiedono un'adeguata conoscenza del Regolamento IA e hanno ricevuto formazione specifica?
  • Abbiamo iniziato a valutare l'impatto del Regolamento IA sulle nostre operazioni e a preparare le modifiche necessarie per la compliance?

Riferimenti

Normativa nazionale: Regolamento Generale sulla Protezione dei Dati (GDPR) · Regolamento IA (AI Act)

Leggi l'articolo originale su CNIL (Francia) ↗

Leggi anche