GDPR e AI: come usare l'intelligenza artificiale senza violare la privacy
Tra GDPR, AI Act europeo e dati dei clienti, le aziende italiane navigano nel buio. La mappa pratica.
Il 60% delle aziende italiane usa già ChatGPT in modo informale, senza valutazioni privacy. È una bomba a orologeria.
I 3 livelli di rischio privacy con l'AI
Livello 1 — Tool pubblici (ChatGPT free, Gemini consumer): rischio alto, dati possibilmente usati per training.
Livello 2 — Versioni enterprise (ChatGPT Enterprise, Copilot M365, Claude for Work): rischio medio, no-training e residenza UE.
Livello 3 — Self-hosted o API con clausole sicure su infrastruttura UE: rischio basso.
DPIA: quando è obbligatoria
Quando l'AI tratta categorie particolari, prende decisioni con effetti significativi (HR, credito), monitora sistematicamente, o usa nuove tecnologie su larga scala.
Basi giuridiche valide
Legittimo interesse con bilanciamento documentato, esecuzione di un contratto, consenso esplicito. Mai assumere "consenso generico".
AI Act: cosa cambia da agosto 2026
4 livelli di rischio. La maggior parte degli usi cade in "rischio limitato" con obblighi di trasparenza.
Checklist pratica
1. Mappa quali tool AI usano i tuoi dipendenti. 2. Adotta una policy interna AI. 3. Scegli fornitori con DPA + no-training + UE. 4. DPIA prima del go-live. 5. Forma le persone.
FAQ
Posso usare ChatGPT con dati di clienti?
Solo Enterprise/Team con DPA firmato e no-training. Mai versione free.
Devo dichiarare ai clienti che uso AI?
Sì in molti casi. L'AI Act richiede trasparenza.