GDPR e immagini con AI: perché i founder iniziano a preoccuparsi
Regolamentazione
Le domande del GDPR sulle immagini con AI di solito partono dai dati personali, dalla base giuridica, dai responsabili del trattamento, dalla conservazione, dai diritti di accesso e da quanto sia spiegabile il percorso del tuo modello.
- Date
- 3 luglio 2026
- Author
- Unexposed

Questo non è un parere legale. È il punto in cui i founder smettono di sorridere alla demo e iniziano a chiedersi cosa memorizzi il database.
La preoccupazione per il GDPR di solito inizia con una domanda semplice: l’immagine è un dato personale? Se un’immagine identifica o può ragionevolmente essere collegata a una persona, la risposta potrebbe essere sì. I volti sono il caso più evidente, ma anche il contesto può contare: badge, località, nomi, documenti, case e altri indizi possono trasformare un’immagine normale in un dato personale.
Poi arriva la base giuridica. Perché stai trattando l’immagine? Consenso? Contratto? Interessi legittimi? Qualcos’altro? La risposta dipende dal prodotto, dal rapporto con l’utente, dalla giurisdizione e dal caso d’uso. “Perché l’endpoint del modello ha accettato il caricamento” non è una delle basi giuridiche del GDPR, il che è scortese ma comprensibile.
I responsabili del trattamento e i sub-responsabili arrivano subito dopo. Se la tua funzione di immagini con AI invia contenuti a un fornitore terzo, devi capire che tipo di relazione è. Quali dati vengono inviati? Con quali termini? Vengono conservati? Sono usati per l’addestramento o per una revisione di sicurezza? Possono essere cancellati? Chi è responsabile nel rispondere alle richieste degli utenti?
La conservazione è dove i founder diventano davvero nervosi. Conservi i caricamenti? Le uscite? Le miniature? I prompt? I job falliti? I log? Gli screenshot di supporto? Se sì, perché e per quanto tempo? Se la risposta è “finché qualcuno non si ricorda di eseguire la pulizia”, metti giù il caffè e allontanati dalla produzione.
Il parere 28/2024 dell’EDPB sui modelli di AI non è una checklist di prodotto per ogni app di immagini, ma rafforza che i principi del GDPR si applicano ancora ai dati personali nei contesti dei modelli di AI. Un prodotto di immagini con AI non diventa esente dalla responsabilità solo perché l’output è impressionante.
La mossa pratica del founder è tracciare il percorso dei dati. Cosa entra, dove va, chi lo riceve, cosa viene conservato, cosa viene cancellato e cosa rimane come dato operativo privo di contenuto. Questa mappa farà emergere il lavoro privacy più in fretta che discutere in modo astratto di “compliance AI”.
La conversazione sul GDPR è spaventosa perché trasforma le sensazioni in sostantivi.
Ma è utile. I sostantivi si possono progettare.
Ulteriore lettura: EDPB Parere 28/2024, I tuoi dati e La promessa di privacy che gli utenti capiscono davvero.