AI in azienda e privacy: cosa sapere prima di usarla

Te lo chiedo senza giri di parole: hai mai incollato in ChatGPT l’email di un cliente, un contratto, un elenco di nominativi, per farti aiutare a sistemarli? Se la risposta è sì, non sei l’unico, e non è una catastrofe. Ma è il momento di leggere queste righe. Perché l’AI in azienda è una grande opportunità, e usarla è giusto, ma c’è un lato che in pochi spiegano: cosa succede ai dati che ci metti dentro. Non serve diventare giuristi né farsi prendere dalla paura. Serve sapere poche cose chiare per usarla con la testa. Vediamole.

Una premessa onesta, prima di iniziare: questa è una guida pratica, non un parere legale. Per situazioni delicate o trattamenti importanti di dati personali, il riferimento giusto è un avvocato esperto di privacy o un responsabile della protezione dei dati. Qui ti do il buon senso operativo che serve a non sbagliare per distrazione.

Usare ChatGPT al lavoro è un problema di privacy?

Dipende da cosa ci metti dentro. Lo strumento in sé non è il problema: il problema nasce quando inserisci dati personali o riservati in uno strumento pubblico, senza sapere che fine fanno. Usato con criterio, l’AI al lavoro è sicura; usato a casaccio, ti espone a rischi reali.

Il punto è che, quando incolli informazioni in uno strumento AI pubblico, quei dati lasciano la tua azienda e finiscono sui server di qualcun altro. Se sono dati tuoi e innocui, poco male. Se sono dati personali di clienti o dipendenti, o informazioni riservate, stai facendo un trattamento di dati che ricade sotto le regole della privacy, il GDPR. E quelle regole valgono a prescindere dallo strumento.

La buona notizia è che evitare i guai è semplice, una volta che sai dove sta la linea. Le prossime sezioni sono esattamente questo: dove sta la linea, e come restare dalla parte giusta.

Quali dati non dovresti MAI inserire in un’AI pubblica

Esiste una lista corta di cose che, in uno strumento AI pubblico e gratuito, è meglio non inserire mai. La regola generale: tutto ciò che è personale, riservato o protetto resta fuori, salvo che tu non stia usando uno strumento pensato apposta per i dati aziendali.

In concreto, tieni fuori:

• Dati personali di clienti o dipendenti: nomi associati a informazioni, email, numeri di telefono, indirizzi, codici fiscali. Sono dati altrui, e tu ne sei responsabile.
• Dati sensibili: informazioni su salute, opinioni, situazioni delicate. Qui le regole sono ancora più severe.
• Informazioni riservate dell’azienda: contratti, segreti commerciali, dati finanziari non pubblici, progetti coperti da riservatezza.
• Credenziali e accessi: password, chiavi, codici. Mai, per nessun motivo.

Il trucco pratico che insegno ai team è semplice: prima di incollare qualcosa, chiediti “lo scriverei su un foglietto lasciato in sala d’attesa?”. Se la risposta è no, non va in un’AI pubblica. Se ti serve davvero lavorare su quei dati, togli prima le parti che identificano le persone, oppure usa uno strumento business.

Strumenti pubblici vs versioni business: che differenza c’è?

Questa è la distinzione che cambia tutto, e quasi nessuno la spiega ai non addetti. Le versioni business di molti strumenti AI garantiscono per contratto che i tuoi dati non vengano usati per addestrare i modelli, cosa che le versioni pubbliche gratuite non sempre assicurano.

Non è solo questione di pagare. È questione di quali condizioni accetti. Per fare un esempio concreto, OpenAI dichiara nella sua pagina sulla privacy per le aziende che per i prodotti business (come le versioni Team, Enterprise e l’accesso via API) i dati inseriti non vengono usati per addestrare i modelli, per impostazione predefinita. Le versioni gratuite consumer hanno regole diverse e, salvo modifiche nelle impostazioni, possono usare ciò che inserisci.

Tradotto: se in azienda vuoi usare l’AI su materiale di lavoro reale, la versione business non è un lusso, è la scelta sensata. Costa qualcosa, ma ti dà il controllo sui dati che la versione gratuita non garantisce. Per le prove e le attività su dati non sensibili, la versione pubblica va benissimo. Per il resto, sali di livello.

Cosa dice il GDPR, in soldoni (senza fare i giuristi)

Senza addentrarci nel legalese, il principio del GDPR che ti riguarda è uno: se tratti dati personali di altre persone, sei responsabile di come lo fai, e l’AI non ti esonera da questa responsabilità. Inserire dati personali in uno strumento AI è un trattamento, come qualsiasi altro.

Il Garante per la protezione dei dati personali, l’autorità italiana sulla privacy, segue il tema da vicino: sulla sua pagina dedicata all’intelligenza artificiale raccoglie indicazioni e provvedimenti, e ricorda che i principi del GDPR continuano a valere pienamente anche per l’AI. Non a caso, nel 2023 il Garante intervenne proprio su ChatGPT per questioni di trattamento dei dati: segno che la cosa è presa sul serio.

Il messaggio per una PMI è rassicurante ma chiaro: non devi avere paura dell’AI, devi solo trattarla come tratti qualsiasi altro strumento che maneggia dati. Con attenzione e con regole. Le regole non cambiano perché lo strumento è nuovo.

Come mettere in sicurezza l’uso dell’AI in azienda

La parte pratica, finalmente. Mettere in sicurezza l’uso dell’AI non richiede un progetto complicato: richiede poche mosse fatte bene. Le due leve più potenti sono una policy interna semplice e un minimo di formazione del team.

Ecco cosa funziona, in ordine di importanza:

• Scrivi una policy breve. Una pagina che dice cosa si può e cosa non si può inserire negli strumenti AI, quali strumenti usare e a chi chiedere nel dubbio. La maggior parte dei guai nasce da distrazione, non da malizia: una regola chiara li previene.
• Forma le persone. Spiega al team perché certi dati non vanno inseriti, con esempi concreti del vostro lavoro. Una persona che capisce il perché sbaglia molto meno di una a cui hai solo vietato qualcosa.
• Scegli gli strumenti giusti. Per il lavoro su dati reali, versioni business con garanzie sui dati. Per il resto, anche le gratuite, ma con la consapevolezza di cosa non metterci.
• Rimuovi i dati identificativi. Quando puoi, lavora su informazioni “ripulite” dai dati che identificano le persone. Spesso all’AI serve il contenuto, non i nomi.

Questo è esattamente il tipo di accompagnamento che faccio quando aiuto un’azienda ad adottare l’AI: non solo “quale strumento”, ma “come usarlo senza farsi male”. È una parte importante della consulenza AI per le PMI, perché la sicurezza nell’uso è la condizione per usarla davvero, e non a metà per paura.

Disclaimer e quando serve un legale

Chiudo dove ho aperto, perché è importante. Questa guida ti dà il buon senso operativo, non un parere legale. Per la maggior parte degli usi quotidiani e a basso rischio, le regole pratiche che hai letto bastano a stare tranquillo.

Ma ci sono situazioni in cui serve una persona competente accanto: quando tratti dati personali su larga scala, quando lavori con dati sensibili, quando l’AI entra in processi che incidono su diritti delle persone, o semplicemente quando hai un dubbio serio. In quei casi, un avvocato esperto di protezione dati o un responsabile della protezione dei dati (DPO) è l’interlocutore giusto, non un articolo.

Usare l’AI in azienda è una buona idea, e rinunciarci per paura sarebbe un errore. La strada giusta non è evitarla: è usarla sapendo dove sta la linea. Se vuoi adottarla nella tua azienda in modo sicuro e ragionato, parliamone, e definiamo insieme un uso che ti faccia stare tranquillo. Per i dettagli su come trattiamo i dati di chi ci contatta, trovi tutto nella privacy policy.