top of page

AI & Compliance Resources

CIELO Project by Himmel Advisors ® 

Obiettivo

Questa sezione è stata pensata per offrire alle organizzazioni uno strumento di supporto nell’assolvimento delle proprie responsabilità in materia di protezione dei dati personali, con un’attenzione specifica all’ambito di applicazione dell’intelligenza artificiale e alle normative settoriali applicabili. Qui troverai risorse e indicazioni operative per gestire autonomamente attività fondamentali - ad esempio la predisposizione di un'informativa privacy chiara e trasparente, la valutazione dei rischi o l'elaborazione di una Fundamental Rights Impact Assessment (FRIA), la redazione di eventuale documentazione per la gestione di un modello organizzativo compliant, la doverosa comunicazione (ove applicabile) all'OdV - oltre a riferimenti normativi e best practice per garantire un uso dell’AI conforme e responsabile.

Ricordiamo che gli adempimenti previsti dalla normativa sulla AI sono di esclusiva responsabilità delle Organizzazioni che intendono implementarla all'interno della propria realtà.

 

La presente sezione ha l’obiettivo di guidarti nella valutazione e nell’implementazione delle procedure necessarie, fornendoti indicazioni chiare e pratiche per affrontare queste delicate attività in modo consapevole e conforme alla normativa vigente.

Ti invitiamo a consultare le risorse disponibili. Il nostro obiettivo è supportarti nel rispetto dei tuoi obblighi, aiutandoti a gestire le situazioni di crisi o richiesta in modo efficace e autonomo.

Nota: alcuni dei nostri contenuti sono riservati esclusivamente ai nostri Clienti o agli iscritti alla Newsletter. Informiamo che l'accesso alla sezione "Resources" è completamente gratuita e non comporta un trattamento ulteriore dei Suoi dati personali. Di conseguenza, Himmel non sarà in grado di risalire direttamente alla Sua identità qualora decidesse di scaricare il contenuto riservato presente sulla pagina a cui accede o il numero di volte che ha avuto accesso. I nostri cookies sono solo tecnici (ivi inclusi cookie analitici anonimizzati).

 

Per ulteriori informazioni riguardo al trattamento dei Suoi dati personali, La invitiamo a consultare la nostra privacy policy

Tips
Tips FRIA

12 tips per utilizzare l'IA in maniera conforme all'AI Act

1

Classificare il sistema

Verificate se il sistema IA rientra nelle categorie previste dall’AI Act (vietato, ad alto rischio, limitato, basso rischio) e applicate i requisiti specifici per ciascuna categoria.

2

Condurre una valutazione preliminare del rischio

Prima della messa in esercizio effettuate una valutazione documentata dei rischi per diritti fondamentali, salute e sicurezza, e adottate misure mitiganti.

3

Implementare governance e responsabilità chiare

Nominate un responsabile interno per la conformità AI (e, se necessario, un DPO) e definite ruoli, responsabilità e processi decisionali formali

4

Assicurare trasparenza e informativa

Comunicate in modo comprensibile agli utenti l’uso dell’IA, finalità, limiti e, quando richiesto, la presenza di output generati automaticamente o decisioni autonome

5

Documentare tutto (record-keeping)

Mantenete registrazioni tecniche e di conformità complete e aggiornate (dossier tecnico, test, versioni, log) per dimostrare il rispetto degli obblighi

6

Validare dati e modelli

Garantite qualità, rappresentatività e provenienza lecita dei dataset; monitorate e testate i modelli per bias, accuratezza e robustezza, con aggiornamenti periodici

7

Proteggere la sicurezza e la privacy

Applicate misure tecniche e organizzative per sicurezza informatica, gestione degli accessi e protezione dei dati personali (minimizzazione, pseudonimizzazione, DPIA se necessario)

8

Implementare misure di controllo umano

Dove richiesto, prevedete possibilità di intervento, supervisione o revoca umana delle decisioni automatizzate e indicate chiaramente le modalità di ricorso.

9

Preparare piani di gestione degli incidenti

Definite procedure per rilevazione, segnalazione e risoluzione di malfunzionamenti, impatti negativi o violazioni, incluse comunicazioni alle autorità competenti quando obbligatorie

10

Richiedere consulenza e aggiornamento normativo

Coinvolgete consulenti legali/tecnici esperti e monitorate continuamente linee guida e aggiornamenti dell’Autorità per adeguare politiche e pratiche

IA in brevis

IA in brevis

L'intelligenza artificiale (IA) è descritta come una famiglia di tecnologie in rapida evoluzione che si concretizza in sistemi automatizzati progettati per operare con vari livelli di autonomia. A differenza dei software tradizionali basati esclusivamente su regole rigide definite da persone fisiche, la caratteristica fondamentale di un sistema di IA è la sua capacità inferenziale. Questa capacità permette al sistema di:

 

  • Ricavare modelli o algoritmi partendo da dati o input ricevuti.

  • Generare output specifici, quali previsioni, contenuti (IA generativa), raccomandazioni o decisioni, che possono influenzare sia ambienti fisici che virtuali.

  • Adattarsi dopo la diffusione, grazie a capacità di auto apprendimento che consentono al sistema di cambiare durante l'uso.

 

Le tecniche che consentono questo funzionamento includono l'apprendimento automatico (machine learning), che impara dai dati come conseguire determinati obiettivi, e approcci basati sulla logica e sulla conoscenza. Secondo il quadro normativo dell'UE, l'IA deve essere una tecnologia antropocentrica. Ciò significa che deve fungere da strumento al servizio delle persone, con il fine ultimo di migliorare il benessere umano e garantire un livello elevato di protezione della salute, della sicurezza e dei diritti fondamentali. In sintesi, l'IA non si limita a eseguire istruzioni passo-passo, ma analizza grandi quantità di informazioni per "comprendere" schemi e suggerire o attuare la soluzione migliore per un obiettivo specifico.

La valutazione di impatto o FRIA

FRIA

Una Fundamental Rights Impact Assessment (FRIA) è un processo analitico finalizzato a valutare come un sistema di intelligenza artificiale (IA) possa influenzare i diritti fondamentali degli individui, specialmente in relazione al trattamento dei dati personali. Questa valutazione mira a identificare, analizzare e mitigare eventuali rischi e impatti negativi che l'uso di tali sistemi potrebbe avere sulla privacy, la dignità, la nondiscriminazione e altri diritti umani. Attraverso la FRIA, le organizzazioni possono garantire che i loro progetti siano conformi alle normative e ai principi etici, promuovendo così un uso responsabile dell'IA.

La FRIA è prevista all'art. 10 dell'AI Act (Regolamento (UE) 2024/1689 del 13 giugno 2024 che stabilisce regole armonizzate sull'intelligenza artificiale) in virtù delle previsioni previste all'art. 35 del GDPR (Regolamento (UE) 2016/679).

Qual è l'obiettivo della FRIA?

Obiettivi della FRIA

1

Identificare i diritti potenzialmente compromessi
Analizzare come l'uso di sistemi di IA possa incidere sui diritti fondamentali, quali il diritto alla protezione dei dati personali, alla libertà di espressione e alla non discriminazione

2

Valutare i rischi associati

Valutare i rischi inerenti al trattamento dei dati e le possibili conseguenze negative per gli individui e la società, in particolare quelli appartenenti a gruppi vulnerabili (es. minori)

3

Proporre misure di mitigazione

Sviluppare e raccomandare strategie e misure atte a ridurre i rischi identificati, garantendo una gestione responsabile e trasparente del trattamento dei dati personali e delle informazioni

Principali riferimenti normativi in UE

Principali riferimenti normativi/guidelines in Italia

LEGGE 23 settembre 2025 , n. 132

Disposizioni e deleghe al Governo in materia di intelligenza artificiale. (25G00143)

(GU n.223 del 25-9-2025)

D.M. n. 180 del 17 dicembre 2025

Linee Guida per l'implementazione dell'IA nel mondo del lavoro

(17 dicembre 2025)

Principali notizie sull'implementazione della normativa IA in UE

Parlamento Europeo

Normativa sull'IA: la prima regolamentazione sull'intelligenza artificiale (link esterno)

Metodologia per la conduzione della FRIA

Metodologia

1

Scoping

Identificazione del contesto e degli obiettivi del sistema di IA, compresa la natura dei dati trattati e le finalità del trattamento. i diritti potenzialmente compromessi

2

Analisi dei diritti

Esame dei diritti fondamentali coinvolti (es. categorie di interessati e potenziale impatto dell'utilizzo dell'IA sugli stessi) e valutazione delle disposizioni normative applicabili

3

Valutazione dei rischi

Individuazione e analisi dei potenziali impatti sul rispetto dei diritti fondamentali, compresi i rischi di discriminazione e violazione della privacy

4

Consultazione e coinvolgimento di soggetti interessati

Creazione di un tavolo di lavoro tra esperti interni e/o esterni: DPO, consulente privacy, figure apicali delle organizzazioni, OdV (ove presente), Ufficio IT o ADS esterno nonché rappresentanti delle comunità potenzialmente interessate e soggetti interessati allo scopo di decidere in maniera democratica e informata

5

Relazione finale

Redazione di un rapporto finale che sintetizzi i risultati della valutazione e delinei le raccomandazioni per l'implementazione e la gestione del sistema di IA

Prepariamo la FRIA?

Per la preparazione della Fundamental Rights Impact Assessment (FRIA), è indispensabile avvalersi di una "Guida" che contenga una checklist di riferimento. Tale checklist consente di verificare se è necessario effettuare la FRIA, identificare le informazioni richieste per avviarla, come il tipo di dati trattati e le finalità del trattamento, e strutturare il processo di valutazione. In questo modo, la "Guida" con la checklist risulta fondamentale per assicurare un'efficace attuazione della FRIA.

Scarica la nostra Guida gratuita!

Doc. versione / Version: V01_2025 (1,7 MB) · Documento privo di virus

Si parte con la FRIA!

Se si dispongono già di tutte le informazioni necessarie per avviare la Fundamental Rights Impact Assessment (FRIA), è possibile procedere con la predisposizione. La FRIA non si configura esclusivamente come un documento di accountability obbligatorio. Rappresenta anche un'opportunità preziosa per valutare i potenziali rischi ai diritti e alle libertà fondamentali degli interessati.

 

La conduzione di una FRIA consente di identificare in anticipo eventuali problematiche, fornendo così l'opportunità di adottare misure correttive e di mitigazione prima dell'implementazione di uno strumento di intelligenza artificiale. Questo processo proattivo non solo contribuisce a garantire la conformità alle normative vigenti in materia privacy e IA, ma favorisce anche una gestione etica e responsabile delle tecnologie emergenti, tutelando i diritti degli utenti e promuovendo un uso sostenibile dell'intelligenza artificiale.

Guarda il seguente video per capire quali sono gli elementi fondamentali che una valutazione tale dovrebbe contenere 

Obbligo di trasparenza e informazione

Trasparenza

Il principio di trasparenza obbliga le organizzazioni che trattano dati personali a informare le persone interessate affinché comprendano gli usi che saranno fatti dei loro dati (perché, come, in che modo) e possano esercitare i propri diritti (diritti di opposizione, di accesso, di rettifica, ecc.). Questo principio si applica a tuttotrattamento dei dati personali, che i dati siano:

  • raccolti direttamente presso gli interessati

  • raccolti indirettamente (detti anche dati di terze parti ) ovvero tramite altri soggetti

In caso di raccolta indiretta dei dati personali, il titolare del trattamento può essere esonerato dall’obbligo di fornire comunicazioni individuali agli interessati qualora tale adempimento risulti impraticabile o comporti oneri eccessivi. Tuttavia, è imprescindibile che vengano fornite informazioni generali, ad esempio attraverso il sito web del titolare, le quali devono contenere tutti gli elementi richiesti dall’articolo 14 del GDPR.

IA e Lavoro (ordinamento italiano)

IA e Lavoro
unnamed (7)_edited.jpg
Trasparenza

Hai bisogno di supporto per la predisposizione dell'Informativa ai sensi dell'Art. 13 GDPR e dell'AI Act?​​

Quando informare

A. Contestualmente alla raccolta

B. Prima di effettuare il trattamento tramite sistemi di IA come stabilito dai principi di privacy by design e by default

C. Nel caso di raccolta indiretta, l’organizzazione è tenuta a informare gli interessati il prima possibile, e comunque non oltre il primo contatto con gli interessati o la comunicazione dei dati a terzi, dettagliato ove applicabile. Inoltre, è obbligatorio che tale informativa sia fornita entro un mese dalla data di raccolta dei dati.

 

Si fa presente che...

E' obbligatorio SEMPRE nel caso in cui intenda procedere a un ulteriore trattamento per finalità diverse rispetto a quelle per le quali i dati sono stati originariamente raccolti. Ad esempio, una piattaforma digitale che intenda impiegare i dati utente per addestrare un modello di intelligenza artificiale deve far conoscere tale intenzione in anticipo ovvero nell'ambito di un progetto di ricerca scientifica.

Come informare in maniera accessibile e intelligibile

Le persone interessate devono poter accedere e comprendere facilmente le informazioni relative ai loro dati personali. Le informative devono essere distinte da altre comunicazioni (come i "Termini e Condizioni di utilizzo" di un determinato servizio o altre informazioni contenute, ad esempio, all'interno di un sito web). È consigliabile chiarire quali sezioni delle informative si applicano a specifiche categorie di persone, soprattutto in contesti complessi come lo sviluppo di sistemi di IA.

Le informazioni possono essere fornite tramite:

  • Moduli online

  • E-mail

  • Comunicazioni in occasione del primo contatto utile

  • Avvisi su siti web o bacheche liberamente accessibili

Il GDPR richiede che le informazioni siano concise, trasparenti e fornite in linguaggio semplice. È fondamentale descrivere chiaramente le conseguenze del trattamento, per esempio, tramite diagrammi o loghi che illustrino l'uso dei dati in fase di apprendimento e il funzionamento dei sistemi di IA all'interno del quale vengono utilizzati i loro dati.

È possibile integrare queste informazioni in documenti esistenti, ma devono comunque essere facilmente accessibili e comprensibili. Un linguaggio tecnico poco chiaro non soddisfa i requisiti di intelligibilità.

Nota

E' possibile fornire informazioni a più livelli, trattando prima le informazioni essenziali (identità del titolare del trattamento, finalità e diritti degli interessati) e, successivamente, informazioni più dettagliate riguardante il funzionamento del sistema di IA.

Info da fornire

Quali informazioni fornire

Quando l'Organizzazione fornisce informazioni individuali, sia per la raccolta diretta di dati dagli individui (articolo 13 del GDPR) che per la raccolta di dati da terzi, qualora abbia un mezzo di contatto senza sforzo sproporzionato, è obbligato a fornire le seguenti informazioni in conformità agli articoli 13 e 14 del GDPR:

  1. Identità e dati di contatto dell'Organizzazione titolare del trattamento (e-mail, indirizzo postale, numero di telefono) e dei referenti per la protezione dei dati (tra cui, ove applicabile, del DPO)

  2. Scopo e base giuridica del trattamento

  3. Destinatari o categorie di destinatari dei dati

  4. I potenziali trasferimenti di dati oltre l'UE

  5. Periodo di conservazione dei dati

  6. Diritti degli interessati (accesso, rettifica, cancellazione, limitazione, portabilità, opposizione o revoca del consenso) e possibilità di presentare un reclamo all'Autorità Garante

Informazione

Le informazioni e i link presenti nella sezione dedicata del presente sito web sono da considerarsi esclusivamente a titolo informativo. Tali contenuti non hanno la finalità di sostituire, in alcun modo, i canali ufficiali, le normative vigenti, né le previsioni normative delle autorità competenti. L’obiettivo principale di questa sezione è quello di sensibilizzare i clienti di Himmel, ovvero i soggetti incaricati di gestire autonomamente gli adempimenti necessari in materia AI, fornendo loro indicazioni di carattere generale. Si precisa altresì che i contenuti di questa pagina potranno essere soggetti a modifiche nel tempo senza preavviso, al fine di garantire un’informazione aggiornata e coerente con l’evoluzione normativa.

Privacy Compliance Bolzano Bozen

HIMMEL

ADVISORS

®

Himmel Advisors S.r.l. G.m.b.H.

 a socio unico · mit Einzelgesellschafter

P. IVA. MWST 03269950212​

Via Alto Adige-Südtiroler Straße, 40

Bolzano · Bozen 39100 - Italia

Mail: info@himmeladvisors.it

PEC: himmeladvisors@legalmail.it

T. +39 345 045 1638

Codice fatturazione elettronica · Empfänger-Kodex elektronische Rechnung: M5UXCR1

Cap. Soc. · Ges. Kapital Euro 10.000 i.v. · v.e

This content is copyrighted ©

Iscriviti alla nostra Newsletter!

Unisciti alla nostra comunità per ricevere contenuti settimanali e bimestrali che ti terranno informato/a sulle novità più interessanti del mondo della Compliance!

 

Iscrivendoti alla nostra newsletter, riceverai articoli, aggiornamenti e consigli direttamente nella tua casella di posta elettronica. Ti offriamo notizie e approfondimenti riservati esclusivamente ai nostri iscritti. Inoltre, il tuo indirizzo e-mail sarà utilizzato unicamente per inviarti le nostre comunicazioni, garantendo il totale rispetto della tua privacy. Non perderti l'opportunità di essere sempre al passo con le ultime novità! Iscriviti ora e inizia a ricevere i nostri aggiornamenti direttamente nella tua inbox.

© 2024 by Himmel Advisors registered trademark ®
Powered and secured by Himmel Advisors

bottom of page