compliance gdpr e ai act

Agenti AI nell’assistenza clienti: norme da rispettare e best practice

Home Sicurezza digitale Privacy
Indirizzo copiato

Gli agenti AI nell’assistenza clienti presentano implicazioni normative sotto il GDPR attualmente e l’AI Act dal 2026. Necessitano valutazioni d’impatto, informative adeguate e misure tecniche appropriate per tutelare dati di operatori e utenti

Pubblicato il 17 apr 2025
Diego Fulco

Direttore Scientifico Istituto Italiano per la privacy e la valorizzazione dei dati

agentic ai (1)

Nel B2C, è importante garantire un buon servizio di assistenza clienti. Spesso, l’assistenza clienti è esternalizzata a società di call center, che la erogano sia tramite canale telefonico che via chat. Per ottimizzare i servizi offerti ai propri committenti e per agevolare i propri operatori nello svolgimento delle attività quotidiane, i call center tendono sempre di più a integrare i processi di assistenza ai clienti con strumenti di intelligenza artificiale (AI).

Bot Strategy: come adottare con successo un assistente virtuale AI

Fra questi, spiccano gli agenti AI, assistenti virtuali capaci di eseguire compiti complessi in modo autonomo e di collaborare con operatori umani, dandogli supporto o fornendogli raccomandazioni in tempo reale. Gli agenti AI si differenziano dalle chatbot tradizionali. Infatti, mentre le chatbot rispondono a input predefiniti con risposte programmate e dunque limitate, gli agenti AI evolvono continuamente grazie all’apprendimento automatico, migliorando il servizio. Inoltre, possono collegarsi a database, sistemi CRM, ERP o strumenti esterni di analisi, per fornire risposte accurate e aggiornate.

Quadro normativo per gli agenti AI nell’assistenza clienti

L’uso degli agenti AI nell’assistenza clienti soggiace a due normative: una pienamente operante (il GDPR), l’altra (AI Act) in vigore, ma che per il tema che stiamo affrontando diventerà esecutiva dal 2 agosto 2026.

Tipologie di agenti AI e impatti sui dati personali

Sul piano della protezione dei dati personali, possiamo suddividere gli agenti AI per l’assistenza clienti in due tipologie: quelli che non determinano trattamenti di dati personali degli utenti finali aggiuntivi rispetto a quelli già svolti nell’attività di call center ordinaria, ma possono determinare trattamenti aggiuntivi dei dati degli operatori del call center, e quelli che invece ampliano nei mezzi o nelle finalità anche il trattamento dei dati degli utenti finali abitualmente svolto nell’assistenza clienti.

Alla prima tipologia appartengono agenti AI che generano riassunti delle chiamate gestite; oppure altri che fanno traduzione in tempo reale di testi scambiati dall’operatore con l’utente finale; o altri ancora che permettono di gestire le richieste degli utenti finali prima mediante chatbot e poi, solo quando l’intervento umano è considerato realmente necessario, mediante trasferimento della chiamata verso gli operatori umani.

Alla seconda tipologia sono riconducibili agenti AI che, in sostituzione o in aggiunta a quanto sopra, facilitano l’operatore in attività dispositive (permettendo, ad es., la registrazione, direttamente nell’assistente digitale, dell’autolettura di un utente finale che voglia cambiare fornitore di energia); o permettono di dare agli utenti finali risposte personalizzate sulla base del loro profilo o delle loro esigenze, o fanno un’analisi automatizzata del sentiment dell’utente finale durante la chiamata, dando poi raccomandazioni su come gestirlo.

Adempimenti GDPR per gli agenti ai che monitorano gli operatori

Sul mercato, le soluzioni di agente AI sono messe da società specializzate (leader nello sviluppo di piattaforme per l’assistenza clienti) a disposizione delle aziende che offrono l’assistenza clienti o, più spesso, ai call center esterni ai quali esse esternalizzano l’attività. In base al principio di responsabilizzazione (art. 24 del GDPR), è onere del datore di lavoro degli operatori/Titolare del trattamento (sia esso l’azienda o il call center):

A) chiedersi se gli agenti AI comportano un monitoraggio automatizzato, anche solo potenziale, dell’attività degli operatori;

B) decidere se effettuare una Valutazione d’impatto ai sensi dell’art. 35 del GDPR;

C) in ogni caso, garantire adeguati livelli di sicurezza per i dati personali che incamerano;

D) disciplinare il trattamento di dati personali degli operatori da parte di fornitori di servizi connessi allo strumento;

E) in ogni caso, definire tempi proporzionati di conservazione dei dati;

F) valutare se c’è un trasferimento di dati personali verso Paesi terzi.

Vediamo nel dettaglio ciascuno di questi aspetti.

  1. Un agente AI usato per analizzare i contenuti delle chiamate al fine di gestire meglio l’assegnazione dei task agli operatori o di valutare le performance degli operatori deve essere considerato come uno strumento di controllo a distanza ai sensi dell’art. 4.1 dello Statuto dei lavoratori. Ciò significa che il suo impiego è subordinato a un accordo con le RSA o all’autorizzazione dell’Ispettorato del Lavoro.
  • Pur non essendo automaticamente necessario, lo svolgimento di una Valutazione d’impatto dovrebbe essere preso in considerazione nella misura in cui il trattamento – connesso all’uso di una nuova tecnologia – consente al datore di lavoro un controllo a distanza dell’attività dei dipendenti (operatori) e comporta il ricorso all’intelligenza artificiale, casistica di per sé rilevante nell’elenco delle tipologie di trattamenti soggetti al requisito di una Valutazione d’impatto accluso al provvedimento del Garante dell’11 ottobre 2018
  • Tutti i dati, in transit e at rest, devono essere crittografati per impedire accessi non autorizzati.
  • Il Titolare deve nominare le società erogatrici delle piattaforme che mettono a disposizione gli agenti AI Responsabili del trattamento. Solitamente, ciò accade sulla base di template contrattuali prodotti dalle società stesse. Spesso, queste ultime stipulano accordi con Big Tech provider di servizi cloud, che mettono a disposizione modelli di intelligenza artificiale generativa. Nel mettere a disposizione questi servizi, le Big Tech tendono a qualificarsi anch’esse, nelle loro condizioni di servizio, come Responsabili. Per l’esattezza, queste Big Tech andrebbero inquadrate come ulteriori Responsabili per conto delle società provider delle piattaforme per l’assistenza clienti (Sub-Responsabili).
  • Il Titolare deve imporre alle le società erogatrici delle piattaforme di cui sopra di trattare i dati personali necessari per l’elaborazione automatizzata delle tipologie di supporto sopra indicate per il tempo strettamente necessario a tale elaborazione e comunque non oltre la durata della chiamata.
  • Se la società che mette a disposizione gli agenti AI è stabilita fuori dallo Spazio Economico Europeo (SEE) e se non ricorrono altre condizioni tali da legittimare il trasferimento (es., in caso di società statunitense, iscrizioni della società e/o della Big Tech che le fornisce i servizi cloud e/o il modello di AI generativa allo EU – US Privacy Framework), bisogna effettuare un Transfer Impact Assessment (TIA) e sottoscrivere le Standard Contractual Clauses (SCC) della Commissione Europea.

Gestione delle trascrizioni vocali negli agenti ai per call center

Spesso, nell’ambito dei canali di assistenza clienti via telefono, gli agenti AI si basano su un meccanismo di trascrizione in tempo reale delle chiamate (c.d. speech-to-text). Le trascrizioni delle chiamate vengono analizzate dall’agente AI, che le usa per dare suggerimenti agli operatori e per semplificare in tempo reale i loro compiti.

La complessità aumenta se le trascrizioni effettuate dall’agente AI non vengono cancellate alla fine della chiamata, ma vengono riutilizzate per alimentare soluzioni di analisi qualitativa delle telefonate (c.d. speech analytics) che effettuano un’analisi approfondita delle conversazioni, eventualmente tarata su parole o correlazioni.

Gli obiettivi del ricorso a questa soluzione – tendenzialmente combinata con una o più delle altre sopra citate – potrebbero essere l’individuazione dei motivi più comuni per i quali gli utenti finali effettuano la chiamata, il monitoraggio dell’andamento del servizio erogato, l’analisi della soddisfazione degli utenti finali in una logica di servizio e di ausilio agli operatori, o altre ancora.

Per proteggere i dati degli operatori, lo speech analytics deve essere svolto nel rispetto di misure adeguate, possibilmente tarate sulle prescrizioni date dal Garante a TIM con un provvedimento del 18 aprile 2018.

Inoltre, se ad implementare un agente AI con speech analytics è una società di call center che opera come Responsabile, è probabile che il Titolare, oltre a dover autorizzare il Responsabile all’uso della soluzione, debba informarne gli utenti finali e scegliere la base giuridica, che potrebbe essere il legittimo interesse.

Protezione dei dati degli utenti con gli agenti AI nell’assistenza

Come visto sopra, c’è una tipologia emergente di agenti AI che ampliano nei mezzi o nelle finalità il trattamento dei dati degli utenti finali abitualmente svolto nell’assistenza clienti. In base al GDPR, questi agenti AI sono utilizzabili solo se il Titolare (cioè l’azienda che eroga assistenza ai propri clienti):

  • informa gli utenti finali di questo trattamento, indicandone bene la finalità. Ad esempio, se l’agente AI supporta l’operatore nell’analisi del sentiment dell’utente finale, la finalità perseguita potrebbe essere di profilazione, o di prevenzione di reclami e contenziosi, o di entrambe.
  • definisce la base giuridica del trattamento. Qualora opti per la base giuridica del legittimo interesse, svolge e documenta (per eventuali controlli del Garante) un test di legittimo interesse.
  • decide se effettuare una Valutazione d’impatto e- in caso positivo – la svolge, eventualmente con la collaborazione del call center esterno nominato Responsabile, motivando la proporzionalità del trattamento e mettendo adeguatamente fuoco i rischi che incombono sui diritti e sulle libertà degli utenti finali e le misure adottate per affrontarli.

Soprattutto se l’agente AI implica una profilazione in tempo reale dell’utente finale, l’assolvimento di questi obblighi non è banale: richiede uno sforzo di analisi tecnica della soluzione con le professionalità appropriate, uno sforzo comunicativo e di linguaggio verso l’utenza, uno sforzo organizzativo per raggiungere con l’informativa un’utenza molto ampia nei cui confronti questo adempimento spesso è già stato osservato.

Agenti AI nell’assistenza clienti e AI Act

Il ricorso agli agenti AI presenterà implicazioni di conformità al Regolamento (UE) 1689/2024 (“AI Act”). Secondo il considerando (27) dell’AI Act, gli esseri umani devono essere consapevoli del fatto di comunicare o interagire con un sistema di AI. Secondo il considerando (132), alcuni sistemi di AI destinati all’interazione con persone fisiche possono comportare rischi specifici di impersonificazione o inganno. Perciò, secondo l’art. 50.1 dell’AI Act, i fornitori di sistemi di AI destinati a interagire direttamente con le persone fisiche devono progettarli e svilupparli in modo che le persone fisiche interessate siano informate del fatto di stare interagendo con un sistema di AI, a meno che ciò non risulti evidente dal punto di vista di una persona fisica ragionevolmente informata, attenta e avveduta, tenendo conto delle circostanze e del contesto di utilizzo. Rispetto alle persone fisiche/operatori dell’assistenza clienti, l’assolvimento di questo obbligo è semplice.

Altro aspetto da chiarire è se gli agenti AI capaci di identificare il sentiment degli utenti finali debbano essere considerati come “sistemi di riconoscimento delle emozioni, e quindi sistemi di AI ad alto rischio, con le relative conseguenze in termini di compliance al Capo III dell’AI Act a carico delle società leader in piattaforme per l’assistenza clienti che li mettono a disposizione (soggezione a una procedura di valutazione della conformità, governance dei dati, documentazione tecnica, sistema di gestione della qualità, accuratezza, robustezza e cibersicurezza, obblighi di registrazione, ecc.).

Secondo l’art. 3, lettera 39 dell’AI Act, un «sistema di riconoscimento delle emozioni» è un sistema di AI finalizzato all’identificazione o all’inferenza di emozioni o intenzioni (quali felicità, tristezza, rabbia, sorpresa, disgusto, imbarazzo, eccitazione, vergogna, disprezzo, soddisfazione e divertimento) di persone fisiche sulla base dei loro dati biometrici. Considerare automaticamente la voce come dato biometrico appare eccessivo. L’art. 4.1, 14) del GDPR definisce i «dati biometrici» come «i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici»; la stessa identica definizione è ripresa dall’art. 3.1, 34) dell’AI Act. La voce diventa dato biometrico quando un sistema di riconoscimento vocale prima registra una persona nota catturandone la voce e poi invia quel campione vocale a un motore biometrico. Il motore biometrico crea un modello partendo dal campione, identifica le caratteristiche distintive del discorso di una persona e crea un’“impronta vocale” unica per quell’individuo.

Quando l’agente AI fungerà da sistema di riconoscimento delle emozioni nel senso sopra indicato, i deployer dovranno informare le persone fisiche che vi sono esposte in merito al suo funzionamento, a norma dell’art. 50.3 dell’AI Act. Dal 2 agosto 2026, un’azienda che vorrà usare agenti AI per un’analisi automatizzata del sentiment attraverso il riconoscimento delle emozioni dell’utente finale durante la chiamata, dovrà ottemperare a questa ulteriore – gravosa – previsione.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

F
Diego Fulco
Direttore Scientifico Istituto Italiano per la privacy e la valorizzazione dei dati
Seguimi su

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
L'ANALISI
INIZIATIVE
PODCAST
Video&podcast
Analisi
VIDEO&PODCAST
Video & Podcast
Social
Iniziative
INNOVAZIONE
EU Stories | Dalla produzione industriale a fucina di innovazione: come il Polo universitario della Federico II a San Giovanni a Teduccio ha acceso il futuro
L'INIZIATIVA
DNSH e Climate proofing: da adempimento ad opportunità. Spunti e proposte dal FORUM PA CAMP Campania
INNOVAZIONE
EU Stories, il podcast | Laboratori Aperti: riqualificazione e innovazione in 10 città dell’Emilia-Romagna
Da OpenCoesione 3.0 a Cap4City: ecco i progetti finanziati dal CapCoe.  Il podcast “CapCoe. La coesione riparte dalle persone”
Capacità amministrativa e coesione: il binomio vincente per lo sviluppo dei territori
FORUM PA PLAY: come unire sostenibilità e investimenti pubblici. Speciale FORUM PA CAMP Campania
Scenari
Il quadro economico del Sud: tra segnali di crescita e nuove sfide
Sostenibilità
Lioni Borgo 4.0: un passo verso la città del futuro tra innovazione e sostenibilità
Podcast
Centro Servizi Territoriali: uno strumento per accompagnare gli enti nell’attuazione della politica di coesione. Il podcast “CapCoe. La coesione riparte dalle persone”
Podcast
EU Stories, il podcast | Politiche di coesione e comunicazione: una sinergia per il futuro
Opinioni
La comunicazione dei fondi europei da obbligo ad opportunità
eBook
L'analisi della S3 in Italia
Norme UE
European Accessibility Act: passi avanti verso un’Europa inclusiva
Agevolazioni
A febbraio l’apertura dello sportello Mini Contratti di Sviluppo
Quadri regolamentari
Nuovi Orientamenti sull’uso delle opzioni semplificate di costo
Coesione
Nuovo Bauhaus Europeo (NEB): i premi che celebrano innovazione e creatività
Dossier
Pubblicato il long form PO FESR 14-20 della Regione Sicilia
Iniziative
400 milioni per sostenere lo sviluppo delle tecnologie critiche nel Mezzogiorno
Formazione
“Gian Maria Volonté”: dalle aule al mondo del lavoro, focus sui tirocini della Scuola d’Arte Cinematografica
TRANSIZIONE ENERGETICA
Il ruolo del finanziamento BEI per lo sviluppo del fotovoltaico in Sicilia
Formazione
“Gian Maria Volonté”: dalla nascita ai progetti futuri, focus sulla Scuola d’Arte Cinematografica. Intervista al coordinatore Antonio Medici
MedTech
Dalla specializzazione intelligente di BionIT Labs una innovazione bionica per la disabilità
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
INNOVAZIONE
EU Stories | Dalla produzione industriale a fucina di innovazione: come il Polo universitario della Federico II a San Giovanni a Teduccio ha acceso il futuro
L'INIZIATIVA
DNSH e Climate proofing: da adempimento ad opportunità. Spunti e proposte dal FORUM PA CAMP Campania
INNOVAZIONE
EU Stories, il podcast | Laboratori Aperti: riqualificazione e innovazione in 10 città dell’Emilia-Romagna
Da OpenCoesione 3.0 a Cap4City: ecco i progetti finanziati dal CapCoe.  Il podcast “CapCoe. La coesione riparte dalle persone”
Capacità amministrativa e coesione: il binomio vincente per lo sviluppo dei territori
FORUM PA PLAY: come unire sostenibilità e investimenti pubblici. Speciale FORUM PA CAMP Campania
Scenari
Il quadro economico del Sud: tra segnali di crescita e nuove sfide
Sostenibilità
Lioni Borgo 4.0: un passo verso la città del futuro tra innovazione e sostenibilità
Podcast
Centro Servizi Territoriali: uno strumento per accompagnare gli enti nell’attuazione della politica di coesione. Il podcast “CapCoe. La coesione riparte dalle persone”
Podcast
EU Stories, il podcast | Politiche di coesione e comunicazione: una sinergia per il futuro
Opinioni
La comunicazione dei fondi europei da obbligo ad opportunità
eBook
L'analisi della S3 in Italia
Norme UE
European Accessibility Act: passi avanti verso un’Europa inclusiva
Agevolazioni
A febbraio l’apertura dello sportello Mini Contratti di Sviluppo
Quadri regolamentari
Nuovi Orientamenti sull’uso delle opzioni semplificate di costo
Coesione
Nuovo Bauhaus Europeo (NEB): i premi che celebrano innovazione e creatività
Dossier
Pubblicato il long form PO FESR 14-20 della Regione Sicilia
Iniziative
400 milioni per sostenere lo sviluppo delle tecnologie critiche nel Mezzogiorno
Formazione
“Gian Maria Volonté”: dalle aule al mondo del lavoro, focus sui tirocini della Scuola d’Arte Cinematografica
TRANSIZIONE ENERGETICA
Il ruolo del finanziamento BEI per lo sviluppo del fotovoltaico in Sicilia
Formazione
“Gian Maria Volonté”: dalla nascita ai progetti futuri, focus sulla Scuola d’Arte Cinematografica. Intervista al coordinatore Antonio Medici
MedTech
Dalla specializzazione intelligente di BionIT Labs una innovazione bionica per la disabilità
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

  • Simulazione DEM nella produzione alimentare: vantaggi e casi pratici

  • qualità del cibo

    Simulazione DEM nella produzione alimentare: vantaggi e casi pratici

    07 Apr 2025

    di Francesco Lia

    Condividi
  • Dazi Usa: quali strategie per le aziende europee

  • l'analisi

    Dazi Usa: quali strategie per le aziende europee

    04 Apr 2025

    di Lucia Iannuzzi e Paolo Massari

    Condividi
  • Criptovalute in crisi, ma l’euro digitale non darà il colpo di grazia

  • l'analisi

    Criptovalute in crisi, ma l’euro digitale non darà il colpo di grazia

    12 Nov 2024

    di Ernesto Damiani

    Condividi

Articolo 1 di 4