ARIA è conforme al Regolamento europeo sull'intelligenza artificiale (AI Act). Qui trovi il dettaglio degli obblighi attuati, i ruoli giuridici e i sistemi AI impiegati.
Ultimo aggiornamento: 30 giugno 2026
Il Regolamento (UE) 2024/1689 («AI Act») è entrato in vigore il 1° agosto 2024 e prevede applicazione progressiva: le pratiche vietate (art. 5) e l'AI literacy (art. 4) sono in vigore dal 2 febbraio 2025; le regole su governance e sanzioni dal 2 agosto 2025; l'applicazione generale dal 2 agosto 2026. Il Digital Omnibus on AI, approvato il 29 giugno 2026, proroga le scadenze per i sistemi ad alto rischio a dicembre 2027 / agosto 2028, ma conferma la deadline del 2 dicembre 2026 per gli obblighi di trasparenza sui contenuti generati da AI (art. 50).
In Italia le autorità nazionali competenti sono ACN e AgID; il Garante per la protezione dei dati personali (GPDP) supervisiona i profili GDPR intersecanti.
ARIA opera in una duplice veste:
I clienti (tenant) che attivano i moduli ARIA sono a loro volta deployer dei sistemi AI offerti da ARIA. I contratti ARIA (DPA art. 28 GDPR + condizioni di servizio) disciplinano la catena di responsabilità.
ARIA dichiara di non impiegare, né offrire ai propri clienti, sistemi AI che:
I casi d'uso coperti da ARIA (prenotazioni, CRM, marketing, voice booking) non rientrano nelle categorie ad alto rischio dell'Allegato III (HR, credito, assicurazioni, accesso a servizi essenziali, biometria, law enforcement, istruzione).
In conformità all'art. 50 del Regolamento, ARIA adotta le seguenti misure:
X-AI-Generated: true per marcatura machine-readable.ARIA ha predisposto un programma interno di alfabetizzazione AI che copre: natura e funzionamento dei sistemi AI impiegati; ruolo di ARIA come provider/deployer; rischi tipici (allucinazioni, bias, dipendenza dal dato in input); limiti dei sistemi e soglie di escalation; normativa applicabile. Il programma è revisionato ogni sei mesi o in occasione di variazioni normative significative.
La Fundamental Rights Impact Assessment (FRIA) è un obbligo che l'art. 27 pone in capo a specifici deployer di sistemi AI ad alto rischio: soggetti pubblici, privati che erogano servizi pubblici, e deployer di sistemi per credit scoring o pricing assicurativo vita/salute.
I sistemi AI offerti da ARIA (prenotazioni, CRM, marketing, voice booking, gestione medica) non rientrano nelle categorie ad alto rischio dell'Allegato III che attivano l'obbligo di FRIA. ARIA non eroga servizi di valutazione creditizia, scoring assicurativo, selezione HR automatizzata o servizi pubblici essenziali. La FRIA pertanto non è attualmente obbligatoria per ARIA né per i suoi tenant.
Condizioni future che attiverebbero la FRIA: qualora un tenant utilizzasse moduli ARIA per valutare l'affidabilità creditizia, per pricing assicurativo o per screening automatizzato di candidati, ARIA ne valuterà l'obbligatorietà in sede contrattuale prima del go-live di quel caso d'uso specifico.
La Data Protection Impact Assessment (DPIA) non è un obbligo AI Act ma GDPR (art. 35), tuttavia l'AI Act la richiama esplicitamente: per i sistemi ad alto rischio che trattano dati personali, la FRIA integra la DPIA senza sostituirla.
Il trattamento di dati di prenotazione e contatto su scala non "larga" non attiva l'obbligo di DPIA ai sensi dell'art. 35 GDPR. I tenant standard non sono tenuti a eseguire una DPIA per l'uso dei moduli ARIA ordinari.
Il trattamento di dati sanitari (categorie speciali art. 9 GDPR) rientra nelle tipologie che richiedono obbligatoriamente una DPIA prima del trattamento. ARIA ha predisposto un sistema integrato di supporto alla DPIA per i tenant del settore medico:
La pre-DPIA generata da ARIA è un punto di partenza strutturato, non un documento legale definitivo. Prima del go-live con dati sanitari reali, il tenant deve far revisionare e firmare il documento da un professionista abilitato (DPO, avvocato o consulente privacy). ARIA non si sostituisce a questa valutazione professionale.
I sistemi AI di ARIA sono configurati per operare sotto supervisione umana: i tenant possono disattivare i moduli AI in qualsiasi momento dal portale di gestione, i log delle conversazioni sono conservati e consultabili, gli incidenti gravi vengono segnalati al team ARIA entro 24 ore. Sono in vigore rate limit e guardrail tematici (in particolare per il settore medico) per prevenire usi impropri.
Per domande relative alla conformità AI Act, scrivi a privacy@haiaria.com. Questa pagina viene aggiornata ad ogni variazione normativa rilevante o modifica sostanziale dei sistemi AI di ARIA.
Documenti correlati: Informativa Privacy (GDPR) · Termini di Servizio · Data Processing Agreement