Il Regolamento UE 2024/1689 (AI Act) è entrato in vigore con applicazione progressiva: dal febbraio 2025 i sistemi a rischio inaccettabile sono vietati; dall’agosto 2026 si applicano gli obblighi di trasparenza per general-purpose AI; dall’agosto 2027 entrano in vigore le regole complete sui sistemi ad alto rischio.
Intreccio con il GDPR
Per chi tratta dati personali in input o output di un sistema di IA, GDPR e AI Act si applicano in parallelo. La base giuridica del trattamento, la DPIA, il principio di minimizzazione, i diritti dell’interessato (in particolare il diritto a non essere sottoposti a decisioni automatizzate ex art. 22) restano governati dal GDPR. L’AI Act aggiunge requisiti di robustezza, accuratezza, trasparenza e supervisione umana che si traducono – per i sistemi ad alto rischio – in obblighi documentali e tecnici che richiedono un sistema di gestione strutturato.
ISO/IEC 42001: il SGAI
La ISO/IEC 42001:2023 definisce il primo Sistema di Gestione per l’Intelligenza Artificiale (AIMS): policy, risk management, ciclo di vita del modello, supervisione, miglioramento continuo. È lo strumento più maturo per dimostrare conformità sostanziale all’AI Act ed è strutturalmente integrabile con ISO 27001 e con il proprio Sistema Privacy GDPR.