GDPR e Intelligenza Artificiale: Cosa Rischia un'Azienda Italiana che Usa AI sui Dati dei Clienti

Ogni giorno, migliaia di imprenditori e dipendenti italiani aprono ChatGPT, Gemini o altri strumenti AI e ci incollano dentro: email di clienti, contratti, dati anagrafici, fatture, conversazioni con fornitori, report interni. Lo fanno perché è comodo, veloce e funziona. Lo fanno senza pensarci due volte.

Il problema è che quei dati — una volta incollati nella finestra di un servizio AI esterno — lasciano la tua azienda ed entrano nei server di un fornitore americano, cinese o europeo che ha le proprie politiche su come li usa, per quanto tempo li conserva e se li utilizza per addestrare i propri modelli.

In molti casi, questo è una violazione del GDPR. Non perché usare l'AI sia illegale — non lo è. Ma perché trasferire dati personali dei tuoi clienti a un servizio esterno senza le garanzie giuridiche corrette lo è.

Questo articolo non è scritto da un avvocato e non sostituisce una consulenza legale. È scritto da chi progetta sistemi AI per le aziende ogni giorno, e che vede questa confusione ripetersi costantemente. L'obiettivo è darti una mappa chiara per capire dove sei esposto — e cosa puoi fare.

Il GDPR — General Data Protection Regulation — è il regolamento europeo sulla protezione dei dati personali, in vigore dal 2018. In Italia è applicato direttamente e vigilato dal Garante per la Protezione dei Dati Personali.

Il concetto centrale è semplice: ogni dato che identifica o può identificare una persona fisica — nome, email, codice fiscale, indirizzo IP, numero di telefono, ma anche opinioni politiche, dati sanitari, abitudini di acquisto — appartiene a quella persona. L'azienda che lo raccoglie e lo usa non è proprietaria di quel dato: è un titolare del trattamento, cioè una figura con responsabilità precise su come quel dato viene gestito, condiviso e protetto.

Quando affidi quei dati a un servizio esterno — qualsiasi servizio, non solo AI — stai trasferendo il trattamento a un responsabile esterno. Il GDPR richiede che questo trasferimento avvenga con garanzie formali: un contratto specifico, la verifica che il fornitore rispetti gli standard europei, e in alcuni casi il consenso esplicito delle persone i cui dati stai trasferendo.

Nella pratica quotidiana, quasi nessuno lo fa.

Facciamo un esempio concreto. Sei un commercialista a Potenza. Un cliente ti manda un estratto conto con nome, IBAN, movimenti degli ultimi sei mesi. Tu lo incolli in ChatGPT per farti aiutare a redigere una relazione finanziaria più velocemente.

In quel momento hai trasferito dati personali e finanziari di una persona fisica — il tuo cliente — a OpenAI, una società con sede negli Stati Uniti. Il tuo cliente non ne sa niente. Non ha dato il consenso. Tu non hai stipulato un Data Processing Agreement con OpenAI che regoli questo trasferimento secondo gli standard GDPR.

Questo scenario è ripetibile con qualsiasi professionista o imprenditore: l'avvocato che fa analizzare un contratto, il medico che cerca supporto su una cartella clinica, il titolare di un e-commerce che fa elaborare a Gemini i dati degli ordini, il responsabile HR che fa riassumere a un'AI i CV dei candidati.

Le conseguenze potenziali sono su due livelli. Il primo è normativo: il Garante Privacy può aprire un'istruttoria e comminare sanzioni che arrivano fino al 4% del fatturato annuo globale dell'azienda — non una cifra simbolica. Il secondo è reputazionale: se un cliente scopre che i suoi dati personali sono stati condivisi con servizi terzi senza il suo consenso, la fiducia che aveva riposto in te ha un costo difficile da recuperare.

Va detto che la situazione non è uniforme. OpenAI, Google e altri grandi fornitori AI offrono oggi versioni enterprise o API con contratti GDPR-compliant — ma si tratta di piani specifici, a pagamento, che richiedono configurazione consapevole. La versione gratuita di ChatGPT che apri dal browser non offre quelle garanzie per impostazione predefinita.

Non serve diventare esperti di diritto per muoversi in modo consapevole. Bastano tre domande da porsi ogni volta che si valuta l'adozione di uno strumento AI in azienda.

1. Questi dati identificano qualcuno? Se la risposta è sì — nome di un cliente, email, partita IVA, dati di acquisto, qualsiasi informazione riconducibile a una persona fisica — sei nel perimetro del GDPR. Non è una zona grigia: è una certezza.

2. I dati escono dai miei server? Se usi un servizio cloud esterno — e quasi tutti gli strumenti AI lo sono — i dati vengono trasmessi a infrastrutture di terze parti. La domanda successiva è: dove si trovano fisicamente quei server? Chi può accedervi? Per quanto tempo vengono conservati i dati inviati?

3. Ho un contratto che regola questo trasferimento? Il GDPR richiede che il rapporto con qualsiasi fornitore esterno che tratta dati per tuo conto sia formalizzato in un Data Processing Agreement — un accordo che definisce cosa il fornitore può fare con quei dati, per quanto tempo, con quali misure di sicurezza. Se non lo hai, sei esposto.

Se rispondi «sì» alla prima domanda e «no» alla terza, hai un problema concreto da risolvere — indipendentemente dalla dimensione della tua azienda.

La soluzione non è smettere di usare l'AI — sarebbe controproducente e, per molte aziende, già impossibile da un punto di vista operativo. La soluzione è usarla nel modo giusto, con l'architettura giusta.

Esistono fondamentalmente due approcci per mettere in sicurezza l'uso dell'AI in azienda rispetto al GDPR.

Approccio 1: usare i piani enterprise dei fornitori esistenti. OpenAI, Google e Microsoft offrono versioni business dei loro servizi AI con contratti GDPR-compliant, data residency europea e garanzie esplicite di non usare i dati inviati per addestrare i propri modelli. Per molte aziende di medie dimensioni, questo è un punto di partenza ragionevole — a patto di configurare correttamente gli strumenti e di formalizzare i contratti.

Approccio 2: AI privata, su infrastruttura propria. Per le aziende che trattano dati particolarmente sensibili — dati sanitari, legali, finanziari, segreti industriali — la soluzione più robusta è eseguire modelli AI su server controllati dall'azienda stessa, senza che nessun dato esca mai verso l'esterno. Esistono oggi modelli open-source di qualità molto alta che possono girare su infrastrutture private, offrendo capacità paragonabili ai servizi cloud ma con garanzie di sovranità del dato totali.

Il secondo approccio richiede competenze tecniche più elevate per essere implementato correttamente — ma offre qualcosa che nessun contratto con un fornitore esterno può garantire davvero: la certezza che i dati dei tuoi clienti non lascino mai il tuo perimetro. Per alcuni settori e alcuni tipi di dati, questa certezza non è un lusso. È un requisito.

Il GDPR non è una legge pensata per bloccare l'innovazione. È una legge pensata per garantire che l'innovazione non avvenga a spese della fiducia che le persone ripongono nelle aziende con cui interagiscono. Chi la ignora non sta «risparmiando tempo» — sta accumulando un rischio silenzioso che prima o poi trova una forma concreta.

La buona notizia è che muoversi in modo corretto non è complicato come sembra. Richiede consapevolezza, qualche domanda al proprio consulente privacy, e in alcuni casi un'architettura tecnica pensata per la protezione dei dati fin dall'inizio — non aggiunta come patch alla fine.

Se stai valutando come introdurre l'AI nella tua azienda a Potenza o in Basilicata in modo che sia efficace e conforme, è esattamente il tipo di progettazione che facciamo. Non vendiamo strumenti AI generici: costruiamo sistemi su misura in cui la sovranità del dato è un principio architetturale, non un optional.