AI e GDPR: come usare l'intelligenza artificiale restando conformi

Il problema che nessuno vuole affrontare

L'adozione dell'AI in azienda sta accelerando, ma molte imprese lo fanno senza pensare alle implicazioni legali. I dipendenti usano ChatGPT per scrivere email, i team caricano dati di clienti in strumenti di analisi AI, le aziende integrano chatbot che raccolgono informazioni personali — spesso senza che il responsabile IT o il DPO ne siano consapevoli.

Il GDPR non vieta l'uso dell'AI, ma impone regole precise su come vengono trattati i dati personali. Ignorarle espone l'azienda a sanzioni fino al 4% del fatturato annuo globale — o 20 milioni di euro, se superiore — oltre a danni reputazionali difficili da quantificare.

I rischi più frequenti

Dati personali nei prompt

Il rischio più comune e sottovalutato: un dipendente copia in ChatGPT o in un altro strumento AI il contenuto di un'email di un cliente, una lista contatti, dati di un contratto. Questi dati vengono inviati a server di un'azienda estera (spesso americana) e possono essere usati per il training del modello.

Questo è un trasferimento di dati personali verso un paese terzo, che richiede una base giuridica adeguata ai sensi dell'art. 44 del GDPR. Nella maggior parte dei casi, non esiste e il trasferimento è illecito.

AI per decisioni automatizzate sulle persone

Se si usa l'AI per prendere decisioni che hanno effetti significativi sulle persone — selezione del personale, concessione di credito, profilazione dei clienti — il GDPR impone obblighi specifici: informativa trasparente, diritto all'opposizione, possibilità di revisione umana (art. 22).

Chatbot che raccolgono dati

Un chatbot sul sito aziendale che raccoglie nome, email e altre informazioni deve essere coperto da un'informativa privacy, avere una base giuridica per il trattamento e conservare i dati solo per il tempo strettamente necessario.

Come usare l'AI restando conformi

Regola 1: separare i dati personali dai prompt AI

La soluzione più pratica per le PMI è una policy aziendale chiara: nessun dato personale identificabile nei prompt degli strumenti AI cloud. Nei prompt si usano dati anonimizzati o pseudonimizzati. Se si ha bisogno di AI su dati personali, si usano soluzioni on-premise o cloud europee con garanzie contrattuali adeguate.

Regola 2: scegliere fornitori con garanzie GDPR

Alcuni fornitori AI offrono versioni enterprise con contratti DPA (Data Processing Agreement) conformi al GDPR, server in Europa e garanzia che i dati non vengano usati per il training. OpenAI Enterprise, Microsoft Azure OpenAI, Anthropic Claude for Business e Google Workspace AI rientrano in questa categoria. Verificare sempre l'esistenza del DPA prima di usare uno strumento AI su dati personali.

Regola 3: aggiornare il registro dei trattamenti

Il registro dei trattamenti richiesto dall'art. 30 del GDPR deve includere tutti i trattamenti con AI. Ogni strumento AI che elabora dati personali è un nuovo trattamento da documentare: finalità, categorie di dati, base giuridica, eventuali trasferimenti verso paesi terzi.

Regola 4: informare i dipendenti

I dipendenti che usano strumenti AI devono essere formati sui rischi di privacy. Non basta una policy scritta: serve formazione pratica con esempi concreti di cosa si può e non si può fare.

L'AI Act europeo aggiunge un nuovo livello

Dal 2025 è entrato gradualmente in vigore l'EU AI Act, il primo regolamento europeo specificamente dedicato all'intelligenza artificiale. Le PMI devono sapere che alcuni usi dell'AI sono classificati come "ad alto rischio" e richiedono obblighi aggiuntivi di trasparenza, documentazione e supervisione umana — in particolare nei settori HR, credito, infrastrutture critiche ed educazione.

Navigare tra GDPR e AI Act non è semplice, ma è necessario per chi vuole adottare l'AI in modo sostenibile nel lungo periodo.

Se vuoi approfondire come adottare l'AI nella tua azienda restando conforme al GDPR, contattaci per una consulenza gratuita: ti aiutiamo a costruire una strategia di adozione sicura e sostenibile.