A seguir la nota di Francesco GIORGIANNI, referente Innovazione digitale per AZIONE MESSINA
Piccole imprese, grandi regole: perché AI Act,
GDPR e Data Act riguardano anche artigiani e
commercianti
Dalla bottega artigiana al B&B, dall’officina al laboratorio alimentare: le norme europee su
privacy, intelligenza artificiale e dati non sono solo materia per grandi aziende tecnologiche.
Quando si parla di GDPR, AI Act e Data Act, molti piccoli imprenditori pensano subito a grandi
multinazionali, piattaforme digitali e uffici legali pieni di specialisti. La realtà è diversa. Anche una
piccola attività della Sicilia può essere coinvolta da queste norme, non perché debba comportarsi
come una grande azienda, ma perché ogni giorno raccoglie, conserva e usa informazioni su clienti,
dipendenti, fornitori e strumenti digitali.
Un parrucchiere conserva numeri di telefono e appuntamenti. Un’estetista può trattare informazioni
delicate sulla salute o sull’immagine delle persone. Un’impresa edile raccoglie indirizzi, fotografie di
cantieri e dati dei committenti. Un B&B gestisce documenti degli ospiti e prenotazioni online.
Un’officina lavora con targhe, dati dei veicoli e strumenti diagnostici. Un ristorante può usare Wi-Fi per i
clienti, sistemi di prenotazione, newsletter o programmi fedeltà.
Il GDPR, Regolamento UE 2016/679, riguarda la protezione dei dati personali. L’AI Act, Regolamento UE
2024/1689, disciplina lo sviluppo e l’uso dell’intelligenza artificiale. Il Data Act, Regolamento UE
2023/2854, regola l’accesso e l’uso dei dati generati da prodotti connessi, macchinari, servizi cloud e
software.
Per il tessuto economico siciliano, composto in larga parte da microimprese e attività familiari, il tema
non è costruire grandi apparati burocratici. Il tema è evitare l’improvvisazione. Una foto pubblicata
senza consenso, una telecamera installata male, una password condivisa, dati dei clienti copiati
dentro un chatbot o documenti conservati senza protezione possono creare problemi reali.
Le sanzioni previste dalle norme europee possono essere molto elevate, ma non sono automatiche. Le
autorità devono considerare gravità, durata, responsabilità, collaborazione, misure adottate e
dimensione dell’impresa. Una piccola azienda non è immune, ma una gestione ordinata e
proporzionata può incidere in modo decisivo.
Nel GDPR, l’articolo 83 prevede massimali fino a 20 milioni di euro o al 4% del fatturato mondiale
annuo per le violazioni più gravi. Nell’AI Act, l’articolo 99 prevede, per alcune violazioni, massimali fino
a 35 milioni di euro o al 7% del fatturato mondiale annuo. Nel Data Act, l’articolo 40 affida agli Stati
membri il compito di stabilire sanzioni effettive, proporzionate e dissuasive.
Il messaggio, però, non deve essere quello della paura. Mettere ordine nei dati significa lavorare
meglio, proteggere i clienti, ridurre le contestazioni e presentarsi in modo più professionale. Le norme europee non chiedono a un artigiano di diventare un esperto informatico: chiedono attenzione,
trasparenza e buon senso.
Riferimenti normativi essenziali
• GDPR: Regolamento UE 2016/679, artt. 5 e 83.
• AI Act: Regolamento UE 2024/1689, artt. 4 e 99.
• Data Act: Regolamento UE 2023/2854, art. 40.
Tre cose da fare subito
• Fare un elenco dei dati raccolti: clienti, dipendenti, fornitori, immagini e documenti.
• Controllare dove finiscono questi dati: telefono, PC, cloud, gestionale e piattaforme online.
• Stabilire una regola interna: niente dati personali o riservati negli strumenti digitali o AI senza sapere come saranno usati.
