L'EU AI Act è legge applicabile da febbraio 2025. Le multe GDPR hanno superato i due miliardi di euro l'anno scorso. Chiunque conduca ricerca utenti con supporto IA ora opera su un campo da gioco con regole nuove.
La maggior parte degli articoli sulla regolamentazione dell'IA sembrano scritti da avvocati per avvocati. Questo spiega cosa è realmente cambiato, cosa conta per la pratica della ricerca e dove si trovano le trappole tipiche.
Le tre ondate dell'EU AI Act
L'EU AI Act non è arrivato tutto insieme. Si è dispiegato a ondate.
A febbraio 2025 sono entrate in vigore le pratiche IA vietate. Chiunque usasse software di riconoscimento delle emozioni nella ricerca sul posto di lavoro o in ambito educativo ha visto quella porta chiudersi. Il divieto è categorico: nessuna analisi facciale per dedurre stati emotivi in questi contesti.
Ad agosto 2025 sono seguite le regole per l'IA general purpose. I fornitori di modelli come Claude o GPT ora hanno obblighi di trasparenza. Devono documentare cosa è entrato nell'addestramento e divulgare quando qualcuno sta interagendo con un'IA.
Ad agosto 2026 arriva il pieno peso dei requisiti ad alto rischio. Mancano sette mesi. Chiunque conduca ricerche che toccano decisioni di assunzione, concessione di credito o valutazioni educative dovrebbe iniziare a prepararsi ora.
Cosa resta permesso e cosa no
Il riconoscimento delle emozioni è vietato nei luoghi di lavoro e nelle scuole. Chiunque avesse pianificato di usare software di analisi facciale per misurare le reazioni degli utenti durante ricerche sui dipendenti o test di prodotti educativi: non è più possibile. Non importa se i partecipanti acconsentono. La pratica stessa è proibita in questi contesti. Le applicazioni mediche e gli scenari di sicurezza sono le uniche eccezioni.
L'analisi del sentiment basata sul testo resta legale. Analizzare ciò che le persone scrivono o dicono, estrarre temi, identificare sentimenti positivi o negativi dal linguaggio: tutto questo resta permesso. La differenza cruciale è che si analizza il contenuto, non segnali biometrici. Serve comunque un consenso GDPR appropriato, ovviamente.
Le interviste condotte da IA richiedono divulgazione. L'articolo 50 dell'AI Act stabilisce che gli utenti devono essere informati quando interagiscono con un sistema IA. Chiunque impieghi un moderatore IA per interviste non può fingere che sia umano. Questo non è solo eticamente richiesto; ora è legge.
L'esenzione per la ricerca è più stretta di quanto molti pensino. L'articolo 2 contiene esenzioni per la ricerca scientifica, ma queste si applicano principalmente allo sviluppo e al test dei sistemi IA stessi. Condurre ricerca utenti con strumenti IA non qualifica automaticamente. Verifica attentamente prima di fare affidamento su questo.
Le tre trappole più comuni
Dopo oltre due decenni in questo campo, vedo i team cadere nelle stesse trappole ripetutamente. La regolamentazione ha solo alzato la posta.
Consenso sciatto. Il GDPR richiede consenso informato in linguaggio chiaro, dato liberamente, con una spiegazione comprensibile di quali dati vengono raccolti e perché. La maggior parte dei moduli di consenso sono troppo vaghi o sepolti in gergo legale che nessuno legge. Se il tuo processo di consenso non passa il test "Mia madre capirebbe questo?", probabilmente non è conforme.
Conservare i dati troppo a lungo. Lo studio è finito sei mesi fa. Le registrazioni sono ancora su un drive condiviso. Le trascrizioni esistono in tre strumenti diversi. Nessuno sa chi ha accesso. Queste sono esattamente le situazioni che diventano violazioni GDPR. I periodi di conservazione dovrebbero essere definiti prima che inizi la raccolta dati.
Nascondere l'uso dell'IA. Usi uno strumento IA per la trascrizione, la codifica iniziale o le interviste stesse. I partecipanti dovrebbero saperlo. Non perché sia spaventoso, ma perché la trasparenza è ora legalmente richiesta e è sempre stata eticamente appropriata.
Come QUALLEE implementa questo
Quando ho iniziato a costruire QUALLEE, era chiaro che la conformità non poteva essere un ripensamento. Troppi strumenti trattano la privacy come una funzionalità da aggiungere dopo.
I nostri server sono situati in Germania, ospitati da Hetzner. I dati di ricerca non lasciano l'UE. Non li instrediamo attraverso provider cloud statunitensi e non li archiviamo in paesi con protezione dati più debole.
Non usiamo analisi biometrica. Niente riconoscimento facciale, niente rilevamento di emozioni da segnali video o audio. La nostra IA analizza ciò che i partecipanti dicono, non come appaiono i loro volti. Questa non è solo una decisione legale; è anche metodologica. Il testo rivela la motivazione. Le espressioni facciali sono notoriamente inaffidabili per dedurre stati interni.
Ogni intervista QUALLEE chiarisce che i partecipanti stanno parlando con un'IA. Nessun inganno, nessuna ambiguità. Questa trasparenza migliora persino la qualità dei dati. I partecipanti spesso condividono più apertamente con intervistatori IA perché non si preoccupano del giudizio sociale.
La conservazione dei dati è integrata nel sistema. I periodi di conservazione vengono impostati quando si crea un progetto. Alla scadenza, i dati vengono realmente eliminati, non solo nascosti.
La regolamentazione come standard minimo
L'EU AI Act e il GDPR stanno costringendo l'industria a fare cose che avremmo dovuto fare comunque. Ottenere consenso genuino. Essere trasparenti sui metodi. Non conservare i dati più a lungo del necessario. Rispettare le persone che partecipano alla nostra ricerca.
Questi non sono ostacoli alla buona ricerca, ma prerequisiti.
I team che trattano la conformità come uno standard minimo da raggiungere con riluttanza saranno sempre in ritardo. Quelli che integrano pratiche etiche nel loro workflow fin dall'inizio scopriranno che la regolamentazione è a malapena un freno.
La ricerca utenti è sempre stata incentrata sulla comprensione delle persone. Trattarle con rispetto non è solo legalmente richiesto; è il fondamento di fiducia che rende possibile una buona ricerca in primo luogo.
Provalo tu stesso
QUALLEE conduce interviste potenziate dall'IA che sono conformi fin dall'inizio. Server in Germania, niente biometria, piena trasparenza. Un'intervista dura circa 20–30 minuti.