Compliance · Guida
Agenti IA conformi al GDPR — cosa serve realmente
Il GDPR si applica a ogni piattaforma di agenti IA che tratta dati personali di residenti UE, indipendentemente dalla sede del fornitore. La conformità significa più di un badge « siamo conformi »: richiede una base giuridica per attività di trattamento, diritti dell'interessato implementati a livello dei dati, un DPA (accordo di trattamento) firmato tra cliente e fornitore, archiviazione isolata per tenant, politica trasparente di addestramento dei modelli e log di audit che resistano al controllo normativo. Per gli agenti IA in particolare, l'Articolo 22 (decisioni automatizzate) aggiunge requisiti espliciti: il cliente — non il fornitore — deve determinare quando è richiesta una revisione umana.
Il GDPR riformulato per le piattaforme di agenti IA
I sei principi fondamentali dell'Articolo 5 del GDPR, tradotti in ciò che significano per un fornitore di agenti IA.
Liceità , correttezza, trasparenza
Ogni attività di trattamento richiede una base giuridica (consenso, contratto, interesse legittimo, ecc.) registrata per azione. I clienti ottengono trasparenza su come gli agenti ragionano e decidono.
Limitazione della finalitÃ
I dati raccolti per un'azione di agente non possono essere riutilizzati per un'altra senza una nuova base giuridica. Nessuna clausola « usiamo i tuoi dati per migliorare il nostro prodotto ».
Minimizzazione dei dati
Gli agenti accedono solo ai campi necessari per il compito specifico. Gli scope minimi OAuth 2.0 lo impongono a livello di integrazione.
Esattezza
Gli output sono verificabili; output errati di agenti possono essere corretti o cancellati. Il log di audit traccia ogni versione di ogni record.
Limitazione della conservazione
Conservazione configurabile dal cliente per categoria di dati. Trascrizioni di conversazioni di agenti, registrazioni di chiamate ed eventi CRM hanno tutti TTL configurabili.
Integrità e riservatezza
Crittografia a riposo (AES-256) e in transito (TLS 1.3). Isolamento dei tenant crittografico, non solo logico. Obiettivo audit SOC 2 Type I Q3 2026.
10 implementazioni tecniche che dimostrano la conformità al GDPR
Un fornitore può dichiarare conformità . Queste sono le implementazioni che la dimostrano quando si presenta un auditor.
Base giuridica per azione
Ogni azione di agente registra la sua base giuridica (consenso, contratto, interesse legittimo, obbligo legale). Esportabile per interessato su richiesta.
Export di accesso dell'interessato
Export con un clic di tutto ciò che la piattaforma detiene su un interessato nominato — CRM, email, trascrizioni di chiamate, output generati dagli agenti.
Cancellazione a livello di tenant
La cancellazione si propaga in ogni cache di agente e nel grafo di dati condiviso entro 30 giorni. Non « soft delete » — rimozione effettiva con ricevuta di prova di cancellazione.
Export strutturato
Export leggibile dalla macchina (JSON, CSV) di tutti i dati dei clienti, non solo dati personali. Re-importabile in piattaforme concorrenti tramite schemi standard.
Gate di revisione umana
Le decisioni ad alto rischio (pagamenti sopra la soglia, blocchi di account, clausole contrattuali di alto valore) richiedono per impostazione predefinita l'approvazione umana. Configurabile per policy cliente.
Isolamento dei tenant
Isolamento crittografico dei tenant dal livello database in su. Nessun vector store condiviso, nessuna cache di prompt condivisa tra clienti.
DPA con elenco sub-responsabili
DPA (accordo di trattamento) firmato tra cliente e fornitore. Elenco sub-responsabili (inclusi fornitori LLM) pubblicato e versionato. Clienti notificati dei cambi di sub-responsabili con periodo di opposizione.
Log di audit
Log di audit immutabile di ogni azione di agente: timestamp, identità dell'agente, input, output, confidenza, base giuridica, identificatore dell'interessato. Esportabile per l'autorità di controllo.
Crittografia + controllo accessi
AES-256 a riposo, TLS 1.3 in transito. RBAC per operatori umani. Agenti autenticati per richiesta. Rotazione pianificata dei segreti.
Pipeline di violazione
Rilevamento → triage → notifica al cliente entro 72 ore dalla presa di conoscenza. Scriptato e provato trimestralmente.
Rischi GDPR comuni con agenti IA — e come mitigarli
Le modalità di fallimento che gli auditor cercano. Ogni rischio ha un modello di mitigazione concreto.
I fornitori LLM usano i tuoi prompt per addestrare i loro modelli.
Usare solo fornitori con clausole firmate di non-addestramento sui contenuti del cliente. Verificarlo nel DPA, non solo sulla pagina di marketing.
Le trascrizioni di conversazioni trapelano tra tenant tramite un vector store condiviso.
Richiedere embedding isolati per tenant. Chiedere al fornitore di mostrare la struttura del database — le collection condivise sono un campanello d'allarme.
I log degli agenti contengono dati personali conservati oltre la necessità .
Conservazione dei log configurabile dal cliente per categoria di dati. Default 30 giorni per dati non regolamentati, 10 anni solo per record GoBD/fiscali.
Registrazioni di chiamate memorizzate senza consenso esplicito.
L'agente di chiamata dichiara la registrazione all'inizio della chiamata. Consenso registrato nella pista di audit con timestamp e identificatore del chiamante. Oscuramento con un clic su richiesta.
Sub-responsabili al di fuori dell'UE trattano dati personali.
Opzione di residenza dati solo UE. Se vengono usati sub-responsabili USA, DPF (Data Privacy Framework) o SCC con valutazione d'impatto del trasferimento verificabile.
Le decisioni degli agenti non possono essere contestate perché il ragionamento è opaco.
Ogni decisione dell'agente registra la sua traccia di ragionamento. Gli interessati ottengono il ragionamento (in linguaggio semplice) su richiesta ai sensi dell'Articolo 15.
Un'integrazione dimenticata conserva token OAuth dopo la cancellazione.
La revoca dei token alla cancellazione è automatica. Il cliente può anche revocare alla fonte (impostazioni account Google / Microsoft) con un clic.
Cosa cercare nel DPA del fornitore
Richiedi il template DPA prima dell'acquisto, non durante l'onboarding. Queste sono le clausole che contano di più.
- ✓Clausola esplicita di non-addestramento: i contenuti del cliente non sono mai usati per addestrare modelli, senza clausole in piccolo di opt-out
- ✓Elenco sub-responsabili allegato, versionato e periodo di notifica prima dei cambiamenti (30 giorni minimo)
- ✓Tempistiche di gestione richieste interessati: accesso Articolo 15 entro 30 giorni, cancellazione Articolo 17 entro 30 giorni inclusa cascata dei responsabili a valle
- ✓Diritti di audit: il cliente può auditare i controlli di sicurezza del fornitore annualmente o più frequentemente per causa
- ✓Notifica di violazione: 48 ore tra presa di conoscenza del fornitore e notifica al cliente (più rigorosa della notifica alle autorità di 72 ore del GDPR)
- ✓Impegno di residenza dei dati: dove i dati sono archiviati, trattati, sottoposti a backup — per iscritto, non « tipicamente UE »
- ✓Restituzione e cancellazione alla risoluzione: dati restituiti in formato portabile entro 30 giorni; ricevuta di cancellazione emessa entro 60 giorni
- ✓Chiarezza del tetto di responsabilità : specificamente per violazioni della protezione dei dati, separato dal tetto di responsabilità generale
- ✓Legge applicabile e giurisdizione: idealmente Stato membro UE del cliente, non giurisdizione di origine del fornitore
Checklist GDPR per acquirenti di agenti IA — 12 punti
Stampala. Inviala al fornitore prima del contratto. Se una risposta è « ci stiamo lavorando », rimanda l'acquisto.
Accordo di trattamento dati
Il fornitore firma un DPA conforme al GDPR come standard, non negoziato per cliente?
Nessun addestramento per contratto
« Non addestriamo mai su contenuti del cliente » è nel DPA stesso, non solo sul sito web?
Isolamento dei tenant
L'isolamento dei tenant è crittografico — chiavi di crittografia separate per cliente — o solo partizionamento logico?
Trasparenza sub-responsabili
Esiste un elenco pubblico dei sub-responsabili con cronologia delle versioni? Il fornitore LLM è elencato?
Residenza dei dati
Dove sono archiviati, trattati e sottoposti a backup i dati del cliente? È un'opzione solo UE?
Export diritto di accesso
Puoi attivare un export Articolo 15 completo dall'UI admin, o richiede un ticket di supporto?
Cascata del diritto cancellazione
La cancellazione si propaga a tutte le cache degli agenti, vector store e sub-responsabili entro 30 giorni?
Revisione umana Articolo 22
Puoi configurare quali decisioni degli agenti richiedono approvazione umana? Default approvazione per azioni distruttive.
Export log di audit
Il log di audit è esportabile in un formato utilizzabile per richieste delle autorità di controllo (JSON, CSV)?
Tempistica notifica violazione
Il fornitore si impegna a notificarti entro 48–72 ore dalla presa di conoscenza di una violazione?
Consenso chiamata telefonica
Se vengono usati agenti vocali, la piattaforma gestisce regole di consenso specifiche per giurisdizione (bilaterali in DE/AT/CH)?
Piano di uscita
Se annulli, c'è un processo documentato di restituzione e cancellazione con ricevuta di cancellazione?
Domande frequenti
Una piattaforma di agenti IA è titolare del trattamento o responsabile del trattamento ai sensi del GDPR?+
In quasi tutti gli scenari PMI, il cliente è il titolare del trattamento e la piattaforma di agenti IA è il responsabile del trattamento. La piattaforma opera sulle istruzioni del cliente, tratta dati nel tenant del cliente e non determina le finalità del trattamento.
L'Articolo 22 (decisioni automatizzate) vieta gli agenti IA?+
No. L'Articolo 22 richiede che gli interessati abbiano il diritto a una revisione umana per decisioni con effetti giuridici o similmente significativi. Le piattaforme di agenti IA si conformano offrendo gate di approvazione umana configurabili per tipo di decisione. I clienti (titolari del trattamento) configurano quali decisioni passano attraverso la revisione umana.
Posso usare una piattaforma di agenti IA con sede negli USA sotto il GDPR?+
Sì, se il fornitore opera sotto il Data Privacy Framework UE-USA o usa le Clausole Contrattuali Standard con una valida Valutazione di Impatto del Trasferimento. Chiedi la certificazione DPF o la documentazione SCC prima di firmare. Preferire fornitori con sede UE semplifica questo.
Gli agenti IA ricadono sotto l'EU AI Act in aggiunta al GDPR?+
Sì. L'EU AI Act aggiunge requisiti di trasparenza, classificazione del rischio e supervisione umana sopra il GDPR. La maggior parte degli agenti IA aziendali ricade in « rischio limitato » (richiedente trasparenza sull'uso dell'IA), non « rischio alto ». Gli agenti vocali ricadono anche sotto le regole di trasparenza che richiedono la divulgazione che l'utente sta parlando con un'IA.
Qual è il maggior fattore di rischio GDPR per gli acquirenti di agenti IA?+
Le clausole di addestramento. Molti fornitori optano per default per un opt-out per funzionalità per il miglioramento dei modelli, che è praticamente inapplicabile per PMI con molti utenti. Insisti su un non-addestramento di default contrattuale nel DPA.
Le registrazioni di chiamate sotto il GDPR richiedono sempre il consenso?+
In Austria, Germania e Svizzera: sì, entrambe le parti devono consentire prima della registrazione. In altri Stati membri UE, le regole di consenso variano. Una piattaforma di agenti vocali conforme dichiara la registrazione all'inizio della chiamata e registra il consenso nella pista di audit — facendolo funzionare in tutte le giurisdizioni.
Per quanto tempo devo conservare i log di audit degli agenti?+
Per dati aziendali non regolamentati: scelta del cliente, default 30 giorni. Per azioni fiscali (fatture, pagamenti): 10 anni sotto GoBD (DE) / RGS (AT). L'agente di compliance separa i due in modo che non conservi troppo a lungo i dati non fiscali.
Ottieni il DPA prima di acquistare
Prenota una sessione di 30 minuti con il nostro team compliance. Esaminiamo il DPA completo, l'elenco sub-responsabili e rispondiamo ufficialmente a ciascuna delle 12 domande della checklist.