Guida

AI e dati aziendali: cosa sapere
su privacy e sicurezza prima di iniziare

Dove finiscono i tuoi dati quando usi un modello AI, differenze tra cloud e on-premise, cosa serve per restare conformi.

Tempo di lettura ~11 minuti

La domanda che ferma più progetti AI nelle PMI italiane non è tecnica, è questa: "ma dove vanno a finire i nostri dati?". È una domanda giusta. La risposta non è "è tutto sicuro" né "è tutto pericoloso": dipende da quale servizio usate, come lo configurate e quali dati ci mettete dentro. Questa guida mette in fila le cose da capire prima di iniziare, con un occhio al GDPR.

1. Cosa succede ai dati

Le tre domande
che contano davvero

Quando inviate un testo a un modello AI in cloud, quel testo lascia la vostra rete, viaggia cifrato fino ai server del fornitore, viene elaborato e torna indietro come risposta. Tre domande contano davvero su cosa accade in mezzo:

  • I miei dati vengono usati per addestrare il modello? È il timore più diffuso. La risposta dipende dal servizio e dal piano: tipicamente i servizi a uso aziendale (API e piani business) non usano i contenuti dei clienti per addestrare i modelli per impostazione predefinita, mentre i servizi gratuiti per consumatori a volte sì. Va verificato nelle condizioni del fornitore, perché cambia tutto.
  • Per quanto tempo vengono conservati? I fornitori conservano i dati per un periodo (ad esempio per prevenire abusi), poi li eliminano. Alcuni offrono opzioni di conservazione zero o ridotta per i clienti che ne hanno bisogno. È un punto da chiarire prima, non dopo.
  • In quale Paese vengono elaborati? Conta per il GDPR. Diversi fornitori e le piattaforme cloud partner offrono opzioni di residenza dei dati nell'area UE.

Punto fermo: le politiche cambiano e variano per piano. Non fidatevi di quello che "si dice" o di una guida vecchia. Leggete le condizioni del servizio specifico che state per usare, nella versione corrente.

2. Le opzioni di deployment

Cloud, cloud privato,
on-premise

"On-premise" significa far girare il modello sui propri server, dentro casa. Per i modelli più potenti, oggi, è raramente praticabile per una PMI: richiede hardware costoso e competenze specialistiche. Ma non è l'unica alternativa al cloud pubblico. Lo spettro reale è questo:

Modalità Dove girano i dati Per chi
API in cloud pubblico Sui server del fornitore del modello La maggior parte delle PMI. Veloce da avviare, costo a consumo.
Modello via cloud "vostro" (AWS, Google Cloud, Azure) Dentro il vostro account cloud, in una regione che scegliete (anche UE) Chi ha già un'infrastruttura cloud e requisiti di residenza dei dati.
Modelli aperti self-hosted Sui vostri server o nel vostro cloud privato Chi ha competenze interne e dati molto sensibili. Qualità inferiore ai modelli di punta.

La via di mezzo più interessante per molte aziende è la seconda: gli stessi modelli, ma erogati attraverso la piattaforma cloud che già usate, con la possibilità di scegliere la regione geografica di elaborazione. Si ottiene gran parte del controllo senza dover gestire hardware proprio.

3. Il GDPR in pratica

Senza panico,
i concetti chiari

Se trattate dati personali (nomi, email, dati di clienti o dipendenti) con un servizio AI, il GDPR si applica. I concetti da avere chiari sono pochi:

Chi è chi

La vostra azienda è il titolare del trattamento: decidete voi perché e come trattare i dati. Il fornitore AI agisce come responsabile del trattamento: tratta i dati per vostro conto. Questo rapporto va regolato con un accordo sul trattamento dei dati (DPA, Data Processing Addendum), che i fornitori seri mettono a disposizione. Senza DPA firmato, usare il servizio con dati personali è un problema.

Le quattro cose da verificare

  • Base giuridica. Avete un motivo legittimo per trattare quei dati (contratto, consenso, legittimo interesse). Usare l'AI non crea una base nuova: dovete avere già il diritto di trattare quei dati per quello scopo.
  • Minimizzazione. Mandate al modello solo i dati che servono al compito, non l'intero archivio. È un principio del GDPR ed è anche buon senso (e costa meno).
  • Trasferimenti fuori UE. Se l'elaborazione avviene fuori dall'area UE, servono garanzie adeguate (clausole contrattuali standard, o un'opzione di residenza dei dati nell'UE offerta dal fornitore).
  • Informativa e trasparenza. Se usate l'AI in modo che incide sulle persone (clienti, candidati), va riflesso nelle vostre informative privacy.

La regola d'oro della prudenza

Prima di mandare qualcosa a un modello in cloud, chiedetevi: "sarei a mio agio se questo testo finisse, per ipotesi, fuori dal mio controllo?". Per i dati ordinari la risposta è di solito sì, con un fornitore serio e un DPA. Per dati particolarmente sensibili — categorie particolari ex art. 9 GDPR (salute, dati biometrici, ecc.), segreti industriali critici, credenziali — la prudenza dice di non inviarli affatto al cloud pubblico, o di anonimizzarli prima.

4. Sicurezza pratica

I rischi concreti
(e banali)

Oltre alla privacy formale, ci sono rischi di sicurezza pratici, spesso più probabili delle paure astratte:

  • La chiave API esposta. Il rischio numero uno e più sottovalutato. Una chiave finita in un repository pubblico o in un'email è una porta aperta sul vostro budget. Va trattata come una password: in un gestore di segreti, mai nel codice in chiaro.
  • Dati sensibili nei prompt "di prova". Durante gli esperimenti è facile incollare un documento vero con dati di clienti in uno strumento non ancora valutato. Stabilite presto cosa è permesso incollare e dove.
  • Shadow AI. I dipendenti usano strumenti AI gratuiti senza dirlo, incollando documenti aziendali. Non si combatte vietando (non funziona): si combatte offrendo uno strumento approvato e dicendo chiaramente cosa si può e non si può metterci.
  • Fiducia cieca nell'output. Un rischio diverso ma reale: usare una risposta sbagliata come se fosse verificata. Vale soprattutto dove l'output alimenta decisioni o documenti ufficiali.
5. Checklist

Otto passi
per partire conformi

  • Scegliete un servizio a uso aziendale, non un piano gratuito per consumatori, se trattate dati aziendali.
  • Firmate il DPA con il fornitore prima di trattare dati personali.
  • Verificate la residenza dei dati e attivate l'opzione UE se vi serve.
  • Chiarite ritenzione e uso per l'addestramento leggendo le condizioni correnti del servizio.
  • Definite una policy interna semplice: cosa si può incollare, cosa no, in quali strumenti. Una pagina basta.
  • Mettete in sicurezza le chiavi e impostate limiti di spesa.
  • Aggiornate le informative privacy se l'uso incide sulle persone.
  • Per i dati più sensibili, valutate il cloud privato o l'anonimizzazione, o semplicemente non usateli con l'AI.

In sintesi

Con un fornitore a uso aziendale, un DPA firmato, la residenza dei dati giusta e il principio di mandare solo ciò che serve, l'uso dell'AI sui dati ordinari è gestibile in piena conformità. I dati molto sensibili richiedono cautela in più o restano fuori dal cloud pubblico. Le politiche cambiano spesso: questa guida dà la mappa, ma la fonte di verità sono le condizioni correnti del fornitore e, per i casi delicati, il vostro consulente privacy o DPO.

FAQ

Domande
frequenti

I miei dati vengono usati per addestrare i modelli?

Sui piani API e business dei fornitori seri (Anthropic, OpenAI, Google) la risposta è no di default: i contenuti non sono usati per l'addestramento. Sui piani consumer gratuiti a volte sì. La risposta esatta sta nelle condizioni del servizio specifico: leggetele prima di mandare dati aziendali.

Posso usare l'AI con dati sensibili (clienti, dipendenti)?

I dati personali ordinari sì, con un fornitore business, DPA firmato e residenza UE. Per categorie particolari ex art. 9 GDPR (salute, dati biometrici, ecc.) o segreti industriali critici la prudenza dice: anonimizzare prima, oppure usare il cloud privato/self-hosted invece del cloud pubblico.

Cosa significa DPA e perché mi serve?

Il DPA (Data Processing Addendum) è il contratto che regola il rapporto fra voi (titolare del trattamento) e il fornitore AI (responsabile del trattamento). Senza DPA firmato, usare il servizio con dati personali è formalmente un problema. I fornitori seri lo mettono a disposizione direttamente nella console del loro servizio.

I dati restano in UE?

Dipende dalla configurazione. Diversi fornitori offrono un'opzione esplicita di residenza dei dati in area UE, va attivata. In alternativa, erogare il modello tramite il vostro cloud (AWS Bedrock, Google Vertex, Azure OpenAI) permette di scegliere la regione di elaborazione — spesso più semplice rispetto al chiamare l'API del fornitore direttamente.

Se uso ChatGPT gratuito, è conforme al GDPR?

Per uso personale sì. Per uso aziendale con dati di clienti o dipendenti no: il piano consumer non offre DPA, può usare i dati per training e non garantisce residenza UE. Va usato un piano Business/Team (per uso assistito interno) o l'API (per integrazioni), con DPA firmato.

Vuoi un confronto
sul vostro caso?

Una chiamata di 30 minuti per orientarsi. Senza demo precostituite.

Scrivici a [email protected]

← Torna alle guide