Lunedì mattina, ore 9:14. Arriva una mail da un prospect importante, una catena di cliniche del nord Italia. Oggetto: "Due diligence data protection, allegato questionario 62 voci". Il responsabile IT, che due settimane prima aveva attivato un assistente AI sul sito aziendale tutto contento perché rispondeva bene ai pazienti, apre il PDF e inizia a sudare freddo.
Articolo 28. Articolo 30. Articolo 35. DPIA. DPO. Trasferimenti extra-UE. Informativa ex art. 13. Consenso esplicito art. 9. Registro trattamenti. Misure tecniche ai sensi dell’art. 32. Notifica data breach entro 72 ore.
Chiama l’avvocato. L’avvocato, che è serio, dice una cosa semplice: "Guarda, se hai attivato un assistente AI che parla coi pazienti e gira su server americani, hai un problema. Hai venti cose da sistemare prima di firmare con la clinica, altrimenti il loro DPO ti boccia e perdi il contratto. E se il Garante ti guarda non è bello."
Questo articolo è la risposta a quella mail. Quattordici punti operativi, ordinati, con base giuridica, chi fa cosa, e la separazione netta fra il lavoro che un fornitore serio come TrueReply fa per te di default e il lavoro che resta in capo a te come titolare del trattamento. Non è un parere legale, non sostituisce l’avvocato e non sostituisce il DPO. È la checklist che ti permette di arrivare dall’avvocato e dal DPO già con il compito fatto al 70 percento, invece che a zero.
Perché il tema è caldo adesso e non fra tre anni
Fino al 2023 il Garante Privacy italiano ha tenuto d’occhio chatbot e AI con attenzione, ma senza provvedimenti eclatanti verso le PMI. Poi è successo tutto insieme.
Marzo 2023, blocco temporaneo di ChatGPT in Italia. Dicembre 2024, sanzione da 15 milioni di euro a OpenAI e obbligo di campagna informativa sei mesi. Febbraio 2025, 5 milioni di euro alla società che gestisce il chatbot Replika per base giuridica assente e privacy policy carente. Tutto il 2025, provvedimenti su chatbot più piccoli per privacy policy non conformi e informativa insufficiente.
Intanto a Bruxelles il Regolamento UE 2024/1689, conosciuto come AI Act, è entrato in vigore ad agosto 2024. L’articolo 50, che obbliga chiunque fornisca un sistema AI che interagisce con persone a informare chiaramente l’utente che sta parlando con un’AI, diventa pienamente applicabile ad agosto 2026. Mancano pochi mesi.
E in parallelo il GDPR resta in piedi identico a sé stesso, con le sue sanzioni fino al 4 percento del fatturato mondiale annuo e con un Garante italiano che non fa sconti ai piccoli solo perché sono piccoli.
In mezzo a questa tempesta normativa ci sono le PMI italiane che vogliono attivare un assistente AI per rispondere ai clienti la notte o su WhatsApp, e che spesso non hanno un DPO interno né un ufficio legale. A loro serve una lista di cose da fare, non un trattato.
Ecco la lista.
Punto 1. Identifica il ruolo, sei titolare del trattamento
La regola. Quando attivi un chatbot sul tuo sito o sul tuo WhatsApp, e i dati dei clienti passano dentro quel chatbot, tu sei il titolare del trattamento ai sensi dell’art. 4 n. 7 GDPR. Il fornitore dell’assistente AI è il responsabile del trattamento ex art. 4 n. 8. Questo vale anche se il chatbot è di terzi, anche se i dati stanno sul loro cloud, anche se il sistema risponde in autonomia senza che tu lo supervisioni.
Base giuridica. Art. 24 GDPR, responsabilità del titolare. La responsabilità primaria è sempre tua, non del fornitore.
Cosa fare. Mettilo per iscritto. Nel registro interno, nella policy aziendale, nel mansionario di chi gestisce l’assistente. Non è una formalità, è il punto da cui dipendono tutti gli altri tredici. Se pensi di essere responsabile invece che titolare, sbagli e ti esponi.
Responsabilità. Amministratore, direzione, in collaborazione con DPO se nominato.
Punto 2. Fai un DPA scritto con il fornitore dell’assistente AI
La regola. Art. 28 GDPR. Il titolare non può affidare dati a un responsabile esterno senza un contratto scritto che regoli in dettaglio il trattamento. Quel contratto si chiama Data Processing Agreement, DPA, o accordo ex art. 28. Deve contenere oggetto, durata, natura e finalità, tipi di dati, categorie di interessati, obblighi del responsabile, diritti del titolare, sub-responsabili autorizzati, misure di sicurezza, assistenza in caso di data breach, restituzione o cancellazione dati a fine contratto, audit.
Base giuridica. Art. 28 GDPR, paragrafo 3 in particolare.
Cosa fare. Chiedi il DPA al fornitore prima di firmare il contratto commerciale. Se il fornitore ti risponde "non abbiamo un DPA standard" o "firmiamo solo il contratto commerciale", fuggi. Un fornitore AI che non sa cos’è un DPA nel 2026 non è un fornitore, è un rischio.
Responsabilità. Titolare, con supporto legale o DPO.
Punto 3. Verifica dove stanno fisicamente i dati
La regola. Il GDPR non vieta di trasferire dati fuori dall’Unione Europea, ma li vincola pesantemente. Serve una delle basi previste dagli artt. 44-49. Se il fornitore sta negli USA, dopo Schrems II serve adesione al Data Privacy Framework o, in alternativa, clausole contrattuali standard più assessment dei rischi. Se sta in altri paesi, serve una decisione di adeguatezza o clausole standard o consenso esplicito dell’interessato caso per caso.
Per una PMI italiana che vuole dormire tranquilla, la risposta più pulita è: server in UE, dati che non escono dall’UE, niente trasferimenti. Punto.
Base giuridica. Art. 44 e seguenti GDPR, sentenza CGUE C-311/18 Schrems II.
Cosa fare. Chiedi al fornitore, nero su bianco, la data residency. Dove sono i server dello strumento? In quale paese? E i subprocessor, dove stanno? OpenAI? Anthropic? Se la risposta è "tutto negli Stati Uniti" fai una riflessione seria. Se è "server UE con inferenza LLM che viene processata negli USA", capisci esattamente cosa vuol dire in termini di trasferimento.
Responsabilità. Titolare, DPO.
Punto 4. Scrivi l’informativa ex art. 13 e mettila prima dell’avvio chat
La regola. Prima che l’utente inserisca anche solo un carattere nella chat, deve sapere chi tratta i suoi dati, perché, su quale base giuridica, per quanto tempo, a chi verranno comunicati, dove viaggiano, quali diritti ha. Art. 13 GDPR elenca tutto. Non è negoziabile.
Il Garante ha sanzionato Replika proprio per informativa incompleta. Ha sanzionato OpenAI per lo stesso motivo. Ha sanzionato altri chatbot più piccoli nel corso del 2025 con motivazioni analoghe.
Base giuridica. Artt. 12, 13 GDPR.
Cosa fare. Preparare un’informativa privacy dedicata all’agente AI, non quella generica del sito. Metterla linkata nel primo messaggio del sistema, oppure in un pulsante "Informativa" sempre visibile accanto alla chat. Usare linguaggio chiaro, italiano semplice, non legalese indecifrabile. La tua Privacy Policy generale su Privacy Policy è il punto di partenza, ma l’assistente merita un paragrafo dedicato.
Esempio di apertura minima che suggeriamo ai nostri clienti:
Benvenuto. Sto rispondendo con un sistema di intelligenza artificiale, non con un operatore umano. I messaggi che scambi vengono trattati da {NomeAzienda} come titolare, con server in Unione Europea, per rispondere alle tue domande e, se lasci i tuoi contatti, per ricontattarti. Conserviamo la conversazione per 30 giorni e poi la cancelliamo. Trovi l’informativa completa qui: [link]. Non inserire dati sensibili sanitari o giudiziari senza aver letto l’informativa.
Questa apertura soddisfa in un colpo solo GDPR art. 13 e AI Act art. 50. Risparmia sanzioni.
Responsabilità. Titolare, con supporto DPO o legale.
Punto 5. Scegli la base giuridica giusta, e non è sempre il consenso
La regola. Art. 6 GDPR elenca sei basi giuridiche possibili: consenso, contratto, obbligo legale, interesse vitale, interesse pubblico, legittimo interesse. Per un assistente AI che risponde a domande commerciali, la base più frequente è l’esecuzione di misure precontrattuali richieste dall’interessato, cioè art. 6.1.b. Oppure il legittimo interesse del titolare a fornire customer care, art. 6.1.f. Il consenso art. 6.1.a serve solo se stai facendo trattamenti che vanno oltre la richiesta stessa, tipo marketing successivo o profilazione.
Se tratti dati sensibili, ad esempio dati sanitari in uno studio medico, servono anche le condizioni ulteriori dell’art. 9, tipicamente consenso esplicito o finalità di medicina.
Base giuridica. Artt. 6 e 9 GDPR.
Cosa fare. Mappare, per ogni finalità, quale base giuridica usi. Rispondere alla richiesta del cliente è una finalità, richiamarlo dopo è un’altra, profilarlo per proporgli prodotti è una terza. Ognuna ha la sua base. Documentare questa mappatura nel registro trattamenti.
Responsabilità. DPO, titolare.
Punto 6. Gestisci il consenso in modo granulare e revocabile
La regola. Art. 7 GDPR. Se la base giuridica è il consenso, deve essere libero, specifico, informato, inequivocabile, documentato e revocabile con la stessa facilità con cui è stato dato. Un check-box preselezionato non è consenso. Un "accettando qui accetti tutto" non è consenso. Un consenso unico per sei finalità diverse non è consenso.
Base giuridica. Artt. 4 n.11, 7 GDPR, linee guida EDPB 05/2020.
Cosa fare. Nel chatbot, se vuoi raccogliere consenso per marketing successivo, TrueReply deve chiederlo in modo separato, esplicito, con risposta utente che dica di sì chiaramente. Tipo: "Vuoi ricevere la nostra newsletter con offerte? Rispondi sì o no." Il sì va loggato, con timestamp, con testo della richiesta, con IP o identificativo di sessione. E l’utente deve poter scrivere "mi disiscrivo" in qualsiasi momento e vedere revocato il consenso in automatico.
Responsabilità. Titolare, insieme al fornitore che deve fornire gli strumenti tecnici.
Punto 7. Definisci la retention e falla rispettare
La regola. Art. 5.1.e GDPR, principio di limitazione della conservazione. I dati vanno tenuti solo per il tempo necessario alla finalità, dopodiché cancellati o anonimizzati. Non esiste una retention universale valida per tutti i chatbot: dipende dalle finalità. Per un assistente AI di customer care, 30-90 giorni sono ragionevoli. Per una conversazione che ha generato un lead commerciale, più lunga perché diventa parte del CRM. Per dati sanitari, regole ulteriori dettate dal Garante e dalle linee guida settoriali.
Per i file audio delle chiamate voice, l’EDPB e il Garante italiano storicamente indicano retention brevi, tipo 6 mesi salvo necessità specifiche documentate.
Base giuridica. Art. 5.1.e GDPR, linee guida EDPB.
Cosa fare. Scrivi nel registro trattamenti la retention per ogni tipo di dato: conversazioni testuali, trascrizioni voice, audio voice, log tecnici, metadati. Configura lo strumento perché cancelli in automatico al termine del periodo. Documenta il processo di cancellazione.
Responsabilità. Titolare, con supporto tecnico del fornitore.
Punto 8. Assicurati che i dati NON siano usati per addestrare modelli
La regola. Se il fornitore dell’agente AI usa le tue conversazioni per migliorare il proprio modello AI generico, stai facendo un trattamento ulteriore per finalità diverse da quella originaria. Secondo l’art. 5.1.b, principio di limitazione della finalità, serve base giuridica autonoma o compatibilità con la finalità originaria, che nel caso del training di solito non c’è. Inoltre rischi che i dati dei tuoi clienti finiscano dentro un modello che viene poi usato per altri clienti del fornitore, cosa che il Garante ha contestato pesantemente a OpenAI e Replika.
Base giuridica. Artt. 5.1.b, 6 GDPR, provvedimenti Garante su OpenAI 2024 e Replika 2025.
Cosa fare. Nel DPA deve esserci scritto, nero su bianco, che il responsabile non usa i dati per training di modelli propri o di terzi. Questo è il singolo requisito che oggi differenzia i fornitori AI seri dai fornitori "prendi e prova". Se il fornitore non lo garantisce contrattualmente, problema.
Responsabilità. Titolare, DPO.
Punto 9. Applica le misure tecniche e organizzative adeguate
La regola. Art. 32 GDPR. Il titolare e il responsabile devono garantire, tenuto conto dello stato dell’arte e dei rischi, misure adeguate di sicurezza. L’articolo elenca espressamente cifratura, pseudonimizzazione, capacità di assicurare riservatezza, integrità, disponibilità, resilienza, procedure di test, controllo degli accessi.
Base giuridica. Art. 32 GDPR.
Cosa fare. Per un assistente AI questo significa almeno: TLS 1.2+ in transito, cifratura at rest del database conversazioni, gestione chiavi con KMS, controllo accessi basato su ruoli, log degli accessi amministrativi, backup cifrati, disaster recovery testato, separazione ambienti di sviluppo e produzione.
Non sei tu a implementarli, è il fornitore. Ma tu devi verificare che li abbia. Chiedi la documentazione di sicurezza, una ISO 27001 o equivalente, un SOC 2, un audit report. O almeno una scheda tecnica scritta.
Responsabilità. Titolare vigila, responsabile implementa.
Punto 10. Tieni il registro dei trattamenti art. 30
La regola. Art. 30 GDPR. Il registro delle attività di trattamento è obbligatorio per i titolari, con una deroga per le imprese con meno di 250 dipendenti che si applica però solo se il trattamento è occasionale, non riguarda categorie particolari di dati, non comporta rischi per i diritti e le libertà degli interessati.
Il Garante italiano, nelle sue FAQ ufficiali, ha chiarito che nella pratica quasi tutte le PMI hanno l’obbligo di tenere il registro, perché i trattamenti ordinari tipo dipendenti, clienti, marketing, chatbot, non sono occasionali.
Base giuridica. Art. 30 GDPR.
Cosa fare. Se non hai ancora un registro, fallo. Se ce l’hai, aggiungi una voce specifica per il sistema con: finalità, categorie di interessati, categorie di dati, destinatari (il fornitore è un destinatario in quanto responsabile), trasferimenti extra-UE se ce ne sono, termini di cancellazione, misure di sicurezza. Modello semplificato Garante disponibile online.
Responsabilità. Titolare, DPO se nominato.
Punto 11. Fai la DPIA se ricorrono i presupposti
La regola. Art. 35 GDPR. La valutazione d’impatto sulla protezione dei dati è obbligatoria quando il trattamento presenti un rischio elevato per i diritti e le libertà delle persone, tipicamente in caso di uso di nuove tecnologie, monitoraggio sistematico, trattamento su larga scala di dati sensibili, profilazione automatizzata con effetti significativi. Il Garante ha pubblicato una lista di trattamenti per cui la DPIA è sempre obbligatoria (provvedimento 11 ottobre 2018) e una lista di trattamenti esclusi.
Per un assistente AI di customer care di PMI, generalista, senza dati sanitari, senza profilazione, senza decisioni automatizzate con impatto sull’utente, la DPIA di solito non è obbligatoria. Ma diventa obbligatoria se l’assistente tratta dati sanitari, dati giudiziari, profila utenti su larga scala, fa decision-making automatizzato.
Base giuridica. Art. 35 GDPR, provvedimento Garante 11 ottobre 2018.
Cosa fare. Fare una pre-valutazione: il tuo chatbot rientra nei casi obbligatori? Se sì, DPIA completa con metodologia Garante. Se no, documenta per iscritto la valutazione di non obbligo, così se un giorno il Garante ti chiede conto hai la prova che la riflessione l’hai fatta.
Responsabilità. DPO, titolare.
Punto 12. Valuta se devi nominare il DPO
La regola. Art. 37 GDPR. Il DPO è obbligatorio per enti pubblici, per chi fa monitoraggio sistematico su larga scala, per chi tratta su larga scala categorie particolari di dati. Per la maggior parte delle PMI italiane non è obbligatorio, ma diventa obbligatorio se tratti dati sanitari su larga scala (cliniche, poliambulatori, laboratori) o se fai profilazione sistematica (e-commerce strutturati, marketing automation pesante).
Base giuridica. Artt. 37, 38, 39 GDPR, linee guida WP29 n.243.
Cosa fare. Valuta se ricadi in uno dei casi obbligatori. Se sì, nomina un DPO, interno o esterno, comunica il nome al Garante tramite il portale online. Se no, puoi comunque scegliere di averlo in via volontaria, è una best practice e semplifica il dialogo con clienti enterprise che lo chiedono in due diligence.
Responsabilità. Amministratore, direzione.
Punto 13. Predisponi la procedura per i diritti degli interessati
La regola. Artt. 15-22 GDPR. Ogni utente che ha chattato col tuo bot può chiederti, in qualsiasi momento: accesso ai suoi dati, rettifica, cancellazione (art. 17, diritto all’oblio), limitazione del trattamento, portabilità in formato strutturato (art. 20), opposizione. Devi rispondere entro un mese, prorogabile a tre in casi complessi, e devi farlo gratuitamente salvo richieste manifestamente infondate o eccessive.
Base giuridica. Artt. 12-22 GDPR.
Cosa fare. Predisponi un indirizzo email o un modulo per le richieste, metti la procedura nell’informativa, forma il tuo customer care a ricevere e smistare queste richieste. Tecnicamente serve che il fornitore dell’assistente AI ti metta a disposizione strumenti per esportare le conversazioni di un singolo utente (diritto di accesso e portabilità) e per cancellarle (diritto all’oblio). Se il fornitore non ti dà questi strumenti, fatica a rispettare l’art. 12.
Responsabilità. Titolare, con supporto tecnico del fornitore.
Punto 14. Procedura di data breach entro 72 ore
La regola. Art. 33 GDPR. In caso di violazione dei dati personali, il titolare deve notificarla al Garante entro 72 ore dal momento in cui ne viene a conoscenza, salvo il caso in cui sia improbabile che la violazione presenti rischio per i diritti e le libertà degli interessati. Se il rischio è elevato, va comunicata anche agli interessati (art. 34).
Il responsabile del trattamento, cioè il fornitore dello strumento, deve informare il titolare senza ingiustificato ritardo quando viene a conoscenza di una violazione.
Base giuridica. Artt. 33, 34 GDPR.
Cosa fare. Avere una procedura interna scritta: chi riceve la notizia, chi decide, chi scrive la notifica, quale canale Garante si usa (portale online). Assicurarsi che nel DPA col fornitore ci sia l’obbligo di comunicazione tempestiva, idealmente entro 24-48 ore dalla scoperta, così da avere margine per le 72 totali. Tenere un log interno di tutti i near-miss, anche quelli non notificati, così se un giorno capita un audit hai tracciato tutto.
Responsabilità. Titolare, DPO, con supporto tempestivo del fornitore.
Tabella sintetica dei 14 punti
| # | Cosa | Base giuridica | Chi è responsabile |
|---|---|---|---|
| 1 | Identifica il ruolo titolare | Art. 24 GDPR | Amministratore, DPO |
| 2 | DPA con il fornitore | Art. 28 GDPR | Titolare, legale |
| 3 | Verifica data residency | Artt. 44-49 GDPR | Titolare, DPO |
| 4 | Informativa chatbot art. 13 | Artt. 12, 13 GDPR | Titolare, DPO |
| 5 | Base giuridica corretta | Artt. 6, 9 GDPR | DPO, titolare |
| 6 | Consenso granulare e revocabile | Art. 7 GDPR | Titolare, fornitore |
| 7 | Retention policy | Art. 5.1.e GDPR | Titolare, fornitore |
| 8 | No training su dati clienti | Artt. 5.1.b, 6 GDPR | Titolare verifica DPA |
| 9 | Misure tecniche art. 32 | Art. 32 GDPR | Fornitore implementa, titolare vigila |
| 10 | Registro trattamenti | Art. 30 GDPR | Titolare, DPO |
| 11 | DPIA se applicabile | Art. 35 GDPR | DPO, titolare |
| 12 | Nomina DPO se obbligatorio | Artt. 37-39 GDPR | Amministratore |
| 13 | Procedura diritti interessati | Artt. 12-22 GDPR | Titolare, fornitore |
| 14 | Data breach 72 ore | Artt. 33, 34 GDPR | Titolare, DPO, fornitore |
AI Act, il quindicesimo punto che arriva ad agosto 2026
Il Regolamento UE 2024/1689, AI Act, introduce obblighi che si affiancano al GDPR, non lo sostituiscono. Per un assistente AI di PMI il pezzo rilevante è l’articolo 50, trasparenza. Dice una cosa semplice: chiunque faccia interagire un sistema AI con persone deve informare chiaramente l’interessato che sta parlando con un’AI e non con un umano, al primo contatto, in modo distinguibile.
Non è negoziabile, non ha eccezioni per i piccoli, si applica anche ai chatbot di un idraulico di quartiere. La data di piena applicabilità è il 2 agosto 2026.
Se segui il Punto 4 di questa checklist (informativa al primo messaggio che dice "sto rispondendo con un sistema di intelligenza artificiale"), soddisfi anche l’art. 50 AI Act. In un colpo solo copri GDPR art. 13 e AI Act art. 50.
Cosa fa TrueReply di default, per te
Come fornitore dell’agente AI, TrueReply opera come responsabile del trattamento ai sensi dell’art. 28 GDPR e risponde ai quattordici punti in questo modo.
DPA. Firmiamo con ogni cliente un Data Processing Agreement completo, standard e gratuito, che copre tutti i contenuti richiesti dall’art. 28.3, inclusi sub-responsabili autorizzati, misure di sicurezza, procedura di data breach, assistenza ai diritti degli interessati, obblighi di fine contratto.
Data residency. I server TrueReply stanno in Unione Europea. Le conversazioni testuali, i prompt, le risposte, le trascrizioni voice sono memorizzate su infrastruttura cloud con data center UE. Per l’inferenza LLM lavoriamo con provider che garantiscono contrattualmente il non-training e che sono coperti da Data Privacy Framework o clausole standard, con assessment documentato.
Cloud KMS. Tutti i dati a riposo sono cifrati con chiavi gestite tramite Cloud KMS, chiavi ruotate automaticamente, accesso logged.
No training. I dati dei clienti di TrueReply non vengono mai usati per addestrare modelli AI, né nostri né di terzi. È scritto nel DPA, è un vincolo contrattuale forte, è un punto non negoziabile anche con i nostri subprocessor LLM.
Retention configurabile. La retention delle conversazioni è configurabile per account, il default è 90 giorni, il cliente può impostarla più corta (minimo 7 giorni) o più lunga (massimo 24 mesi) in base alle proprie finalità documentate. I file audio voice hanno retention separata, default 6 mesi.
Misure di sicurezza. TLS 1.3 in transito, cifratura at rest, accessi amministrativi loggati, backup cifrati, separazione ambienti, tenant logico per cliente, no accesso ai dati del cliente da parte del personale salvo richiesta esplicita per debug con tracciamento.
Supporto ai diritti degli interessati. API e interfaccia admin permettono di esportare tutte le conversazioni di un singolo utente, cancellarle, bloccare ulteriori trattamenti. Tempi di risposta a richieste di diritto d’accesso da parte del titolare entro 5 giorni lavorativi.
Data breach. Procedura interna di risposta entro 24 ore dalla scoperta, comunicazione al cliente titolare entro 48 ore al massimo, così lui ha margine per rientrare nelle 72 ore verso il Garante.
AI Act art. 50. Il primo messaggio del sistema, configurabile ma con default già conforme, include la dichiarazione che l’utente sta interagendo con un sistema AI.
Cosa resta responsabilità tua
Questi sono i punti che nessun fornitore può fare al posto tuo, perché sono scelte tue come titolare.
Informativa privacy del sito. La Privacy Policy pubblica del tuo sito deve menzionare l’assistente come trattamento, il fornitore, la base giuridica, la retention che hai scelto. La tua Privacy Policy di TrueReply è un buon esempio di stile, ma il contenuto è tuo.
Cookie Policy. Se TrueReply usa cookie tecnici o di sessione, vanno inclusi nella Cookie Policy. Se usi un consent banner, lo strumento deve rispettarne lo stato.
Termini di servizio. I tuoi Termini e condizioni devono allinearsi con le condizioni d’uso dell’agente AI, in particolare per l’e-commerce dove il sistema può raccogliere ordini.
Base giuridica e finalità. La scelta di quale base giuridica usare (contratto? legittimo interesse? consenso?) è tua, deve essere documentata nel registro, deve essere coerente con quello che effettivamente fai.
DPIA se applicabile. Se il tuo chatbot rientra nei casi obbligatori (dati sanitari, profilazione, scala grande), la DPIA la fai tu col supporto del DPO. TrueReply fornisce input tecnici (descrizione del trattamento, misure di sicurezza, flussi dati) ma la valutazione finale è tua.
Nomina DPO. Se sei nel caso obbligatorio, lo nomini tu.
Consenso marketing. Se vuoi usare i dati raccolti dal chatbot per marketing successivo (newsletter, richiami commerciali, profilazione), il consenso va raccolto da te secondo le regole del Punto 6. TrueReply ti dà gli strumenti tecnici per richiederlo nel flusso conversazionale, ma la decisione di chiederlo e il testo della richiesta sono tuoi.
Formazione del personale. Chi in azienda gestisce l’assistente e risponde alle richieste di diritto d’accesso deve essere formato. TrueReply fornisce documentazione tecnica e onboarding ma non formazione GDPR del tuo personale.
Template di informativa per il primo messaggio
Ecco una versione pronta all’uso, che i nostri clienti adattano al loro caso. Copia, sostituisci le variabili, fai rileggere al tuo DPO o avvocato.
Benvenuto su [NomeAzienda]. Rispondo con un sistema di intelligenza artificiale, non con un operatore umano. I messaggi che scambi vengono trattati da [NomeAzienda], P.IVA [numero], titolare del trattamento, con server in Unione Europea, per rispondere alle tue domande ed eventualmente ricontattarti se lasci i tuoi dati. La base giuridica è l’esecuzione di misure precontrattuali da te richieste (art. 6.1.b GDPR). Conserviamo la conversazione per [N] giorni. Non usiamo i dati per addestrare modelli AI. Puoi chiedere accesso, rettifica o cancellazione scrivendo a [email@azienda.it]. Informativa completa: [link]. Non inserire dati sanitari o giudiziari in questa chat.
Questa versione copre: informativa ex art. 13 (titolare identificato, finalità, base giuridica, retention, diritti), AI Act art. 50 (dichiarazione AI al primo messaggio), trasparenza su data residency e no-training. È densa ma leggibile, e soprattutto è verificabile dal Garante se un giorno lo chiedesse.
Domande che ci fanno spesso
Ma io sono una PMI con 5 dipendenti, davvero devo fare tutto questo?
Sì. Il GDPR non ha una soglia dimensionale sotto la quale non si applica. L’unica soglia è quella dei 250 dipendenti per il registro trattamenti, e abbiamo visto che nella pratica si applica lo stesso quasi sempre. L’articolo 13 sull’informativa si applica a te come a Vodafone. Le sanzioni possono essere proporzionate, ma l’obbligo è lo stesso. Detto questo, quattordici punti gestiti bene con un fornitore conforme prendono una settimana di lavoro, non sei mesi. Non è una tragedia, è una checklist.
Cosa rischio se non faccio nulla?
Sanzioni amministrative fino a 20 milioni di euro o 4% del fatturato mondiale annuo (art. 83.5 GDPR), prendendo il maggiore. Nella pratica, per una PMI italiana il Garante tara la sanzione sulla gravità e sul fatturato, ma provvedimenti nell’ordine di 5.000-50.000 euro non sono rari nemmeno per realtà piccole. Più il danno reputazionale, più il rischio di perdere contratti con clienti enterprise che ti chiedono la due diligence in ingresso.
Il mio avvocato dice che devo fare una DPIA anche se il chatbot è banale. Giusto?
Dipende. Se TrueReply tratta dati sanitari o fa profilazione o fa decisioni automatizzate con effetti sull’utente, l’avvocato ha ragione. Se è un assistente AI di customer care generalista per un e-commerce di scarpe, la DPIA non è obbligatoria: basta documentare la pre-valutazione. Parla col tuo DPO per distinguere i due casi.
TrueReply è una società italiana?
TrueReply è un prodotto di Michele Bogoni, P.IVA 04555040239, con sede in Italia (Monteforte d’Alpone, VR). Interlocutore legale italiano, fattura italiana, supporto in italiano, contratti italiani. Dettagli su Chi siamo.
Serve davvero un avvocato?
Per la checklist sì, non per tutti i 14 punti ma almeno per la revisione dell’informativa, per il registro, per la valutazione su DPIA e DPO. Una consulenza iniziale da 500-1.500 euro risparmia problemi da 50.000. È un investimento, non un costo.
Il punto di Michele
GDPR e AI Act non sono burocrazia per impedirti di lavorare, sono il contratto sociale con cui l’Unione Europea ha detto: "puoi fare AI, puoi fare chatbot, puoi monetizzare i dati, ma in un certo modo". Chi rispetta quel contratto ha un vantaggio competitivo: vende a clienti enterprise che fanno due diligence, dorme la notte, non si fa bloccare dal Garante a metà campagna.
La scelta dei fornitori è il 50% del lavoro. Un agente AI gestito da un fornitore AI sconosciuto, con server negli USA, senza DPA, che usa i tuoi dati per allenare modelli, non è compliance-friendly. Cambiare fornitore in corsa, dopo che hai già raccolto mille conversazioni, è un disastro. Meglio scegliere bene all’inizio.
Se vuoi capire se TrueReply è il fornitore giusto per te, con DPA pronto e quattordici punti presidiati di default, la linea CHAT è il punto di partenza (canone sulla pagina prezzi). Include assistente AI, server UE, DPA, retention configurabile, API diritti degli interessati. Parla con il nostro team: ti mandiamo il DPA in PDF prima ancora di firmare il contratto commerciale, così lo passi al tuo avvocato con calma. È il modo in cui lavoriamo coi clienti enterprise e funziona anche per le PMI.
