L’integrazione di soluzioni di intelligenza artificiale nei processi aziendali aumenta in modo esponenziale la complessità della gestione dei dati personali, in particolare in riferimento alla prevenzione e alla gestione degli incidenti di sicurezza. La proliferazione della regolamentazione normativa su temi che inevitabilmente si intersecano ha fatto emergere la necessità di coordinare gli obblighi per la segnalazione e la gestione degli incidenti informatici, previsti rispettivamente, dal Regolamento (UE) 2024/1689 (AI Act), dal Regolamento (UE) 2016/679 (“GDPR”) e, per i soggetti interessati, dalla Direttiva (UE) 2022/2555, come recepita dal il Decreto n. 138/2024 (Normativa “NIS2”).
1. Segnalazione degli incidenti significativi e il rischio di data breach nell’ecosistema dell’intelligenza artificiale
L’AI Act introduce specifici obblighi di notifica degli incidenti significativi per i fornitori e gli utilizzatori di sistemi di IA ad alto rischio. Invero, ai sensi dell’art. 73, i fornitori devono segnalare alle autorità competenti ogni incidente significativo o malfunzionamento che possa comportare danni gravi alla salute, alla sicurezza o ai diritti fondamentali delle persone. Anche gli utilizzatori sono tenuti a informare tempestivamente il fornitore qualora rilevino comportamenti anomali o rischiosi del sistema.
Questo meccanismo di incident reporting può intersecarsi con gli obblighi di gestione degli incidenti previsti dal GDPR e dalla NIS2, richiedendo alle imprese di predisporre procedure di gestione integrate per garantire coerenza e tempestività nelle comunicazioni.
L’impiego dell’intelligenza artificiale può comportare il trattamento di grandi volumi di dati, spesso provenienti da fonti diverse e combinati in modo automatizzato. Tali dati possono includere informazioni personali, anche di tipo particolare, utilizzate per l’addestramento o il funzionamento di modelli generativi o predittivi. In tale scenario, un evento qualificabile come data breach può compromettere interi set di dati, algoritmi e processi decisionali basati su di essi.
La complessità tecnica dei sistemi di IA rende inoltre difficile ricostruire la catena degli eventi che porta alla violazione, individuare i responsabili del trattamento coinvolti e valutare l’impatto sui diritti e le libertà degli interessati. Ciò impone al titolare del trattamento una valutazione preventiva del rischio più articolata rispetto ai tradizionali sistemi informativi.
2. Gli obblighi del titolare del trattamento e la prospettiva del GDPR
Il GDPR richiede al titolare di adottare misure tecniche e organizzative adeguate, in un’ottica di accountability e privacy by design. In caso di violazione dei dati personali, sussiste l’obbligo di notifica all’autorità di controllo entro 72 ore e, nei casi più gravi, di comunicazione diretta agli interessati.
Nel contesto dell’intelligenza artificiale, tali obblighi assumono una portata ampliata: la trasparenza dei processi automatizzati, la tracciabilità delle decisioni e la documentazione delle misure di sicurezza diventano elementi essenziali per garantire la conformità. L’interazione tra sistemi automatizzati e infrastrutture esterne accresce, inoltre, la probabilità di incidenti di sicurezza di natura sistemica.
3. La Direttiva NIS2 e la convergenza tra cybersecurity e protezione dei dati
La normativa NIS2, inoltre, ha introdotto obblighi più stringenti in materia di governance, gestione del rischio e notifica degli incidenti di sicurezza e di rete: i soggetti “essenziali” e “importanti” che rientrano nel perimetro di applicazione della NIS2 sono tenuti ad implementare misure minime di sicurezza, tra cui la gestione delle vulnerabilità, la formazione del personale, l’adozione di politiche di sicurezza e la cooperazione con le autorità competenti.
Un data breach che coinvolge sistemi di IA può, pertanto, costituire non solo una violazione del GDPR, ma anche un incidente di sicurezza rilevante ai sensi dell’AI ACT e della NIS2. In tal caso sono imposti all’organizzazione molteplici obblighi di notifica – rispettivamente ai sensi dell’AI ACT, qualora l’incidente fosse rilevante ai sensi dell’art. 73 del Regolamento, del GDPR nei casi e nei modi di cui agli artt. 33 e 34 e della NIS2 nel caso di incidente significativo ex art. 25 del Decreto n. 138 del 2024 - aventi oggetto e tempistiche diversi, ma che necessitano di un coordinamento interno tra diversi soggetti della compagine aziendale coinvolta, tra cui il titolare del trattamento, la funzione IT, il team legale e di compliance e ove nominati, il Data Protection Officer (DPO) e il Chief Information Security Officer (CISO).
Tale sovrapposizione impone alle imprese di strutturare processi di incident management unificati, capaci di rispondere simultaneamente ai requisiti richiesti dalla normativa vigente in materia di data protection, sicurezza informatica e intelligenza artificiale.
4. Verso un modello di compliance integrato
L’evoluzione normativa europea – che vede in parallelo l’attuazione della NIS2, l’AI Act e il GDPR – delinea un quadro in cui le diverse discipline non possono più essere interpretate in modo isolato in quanto, ormai, la protezione dei dati personali, la resilienza informatica e la sicurezza dei sistemi di IA rappresentano facce diverse di una stessa medaglia.
La soluzione preferibile è che le organizzazioni sviluppino programmi di conformità integrata, che prevedano la cooperazione tra le diverse funzioni coinvolte (privacy, sicurezza IT e compliance) e la definizione di procedure condivise di gestione del rischio, nonchè l’adozione di sistemi di monitoraggio continuo.
Un approccio sinergico, basato sulla security by design e su una cultura aziendale della prevenzione, consente non solo di ridurre la probabilità di incidenti, ma anche di migliorare la fiducia degli utenti e la reputazione dell’impresa.
Conclusioni
La gestione dei data breach nell’era dell’intelligenza artificiale richiede una visione strategica che superi la separazione tra obblighi normativi. Integrare la conformità al GDPR con gli adempimenti della NIS2 e dell’AI ACT significa adottare una logica di protezione olistica dei dati e dei sistemi, in cui privacy, sicurezza e innovazione convivono in equilibrio. Solo un modello organizzativo fondato su questa integrazione potrà garantire una reale tutela dei diritti digitali e la sostenibilità giuridica delle nuove tecnologie.
