Ruolo · Privacy e compliance

DPO (Data Protection Officer) e AI Act

Per il DPO l'AI Act non è una normativa parallela: è un'estensione naturale del lavoro che già fai sul GDPR. La FRIA è la nuova DPIA. Il registro dei sistemi di IA è una versione strutturata del registro dei trattamenti. La differenza è che con l'AI Act inizi ad avere obblighi diretti del tuo cliente verso autorità nuove (AgID, ACN) — il tuo perimetro si amplia.

Il cambiamento principale

Aggiungi al tuo perimetro la FRIA (Art. 27 AI Act) e il registro dei sistemi di IA, coordinandoli con la DPIA (Art. 35 GDPR) e il registro dei trattamenti.

Le nuove responsabilità

Cosa devi fare, in ordine di urgenza.

  • Art. 26 (deployer)Mantenere il registro dei sistemi di IA dell'organizzazione, allineato al registro dei trattamenti.
  • Art. 27Eseguire o supervisionare la FRIA per i sistemi ad alto rischio nei contesti previsti dall'Art. 27.
  • GDPR Art. 35 + AI Act Art. 27Coordinare DPIA e FRIA quando lo stesso sistema le richiede entrambe — pratica raccomandata: un solo documento composito.
  • Art. 26Supportare il management nella selezione fornitori AI: chiedere Allegato IV, Dichiarazione di Conformità, IFU.
  • Art. 4Tenere il registro alfabetizzazione del personale (Art. 4) — chi tocca i sistemi AI ha formato, traccia conservata.
Konformia per il tuo ruolo

I workflow che useresti ogni settimana.

Registro IA come fonte unica

Il registro Konformia tiene per ogni sistema: nome, fornitore, finalità d'uso, categorie di dato processato, ruolo dell'organizzazione (provider/deployer). Non sostituisce il registro dei trattamenti GDPR (che resta in capo al DPO), ma le anagrafiche AI sono allineate ai concetti GDPR familiari.

FRIA Art. 27 con wizard guidato

Il modulo FRIA include i campi richiesti dall'Art. 27: descrizione dell'uso, categorie di persone impattate, rischi specifici, misure di sorveglianza umana e di rimedio. È un'emissione PDF separata dalla DPIA (per cui Konformia non ha ancora un modulo dedicato — è in roadmap).

Audit log immutabile

Per il DPO che dovrà dimostrare l'efficacia del proprio operato, l'audit log Konformia (trigger Postgres append-only) è opponibile.

Copilot con corpus AgID + Garante

Le domande sul perimetro Garante (basi giuridiche, dati particolari) e sulle linee guida AgID hanno risposte del Copilot citate sul corpus normativo italiano integrato in Konformia.

Norma italiana UNI 11621-8:2026

Il ruolo di DPO (Data Protection Officer) mappa direttamente al profilo AI Compliance & Risk Manager della norma UNI 11621-8:2026 — la prima norma italiana sui ruoli AI in allineamento con il Regolamento (UE) 2024/1689.

Apri la scheda AI-CRM
Domande frequenti

Quello che chiedono nel tuo ruolo.

  • Devo eseguire la FRIA per ogni sistema ad alto rischio?
    No. La FRIA Art. 27 si applica ai deployer di sistemi ad alto rischio nei contesti elencati (banche, assicurazioni, servizi pubblici, ecc.). Per altri contesti è raccomandata, non obbligatoria. Konformia segnala quando il sistema attiva l'obbligo.
  • DPIA e FRIA sono lo stesso documento?
    No. La DPIA copre il trattamento di dati personali; la FRIA copre l'impatto sui diritti fondamentali del sistema AI (più ampia: discriminazione, dignità, accesso a servizi). Si sovrappongono nei sistemi che trattano dati personali. La pratica europea sta convergendo su un documento composito.
  • Sono DPO esterno multi-cliente. Konformia supporta?
    Sì. Konformia ha un piano per studi (consultancy) che permette di switchare istantaneamente fra organizzazioni clienti, con dati segregati a livello di database. Stesso login, due dozzine di registri AI distinti.
  • Il Garante chiederà mai i miei registri sistemi AI?
    Probabile — il Garante ha competenza sui sistemi AI che trattano dati personali. In pratica già lo fa con il registro dei trattamenti; il registro sistemi AI è l'estensione naturale di quel discorso.
Inizia con Konformia

Konformia per DPO (Data Protection Officer).

Workflow tarati sul tuo ruolo, registro condiviso col team, audit log opponibile. Tre minuti di setup, dieci anni di documentazione tecnica.