Intelligenza artificiale e GDPR: come usare ChatGPT senza rischiare una violazione della privacy

Intelligenza artificiale e GDPR: come usare ChatGPT senza rischiare una violazione della privacy

Hai mai caricato il testo di un contratto, un preventivo, una relazione tecnica o una strategia marketing dentro uno strumento di intelligenza artificiale per correggerlo, riassumerlo o renderlo più chiaro? Tranquillo, non sei solo: per molte PMI, professionisti e agenzie, ChatGPT e simili sono diventati dei veri e propri strumenti di lavoro quotidiani. Dalla revisione di un testo all’analisi dei dati, infatti, il loro utilizzo permette di snellire le attività, migliorare la produttività e ottimizzare l’organizzazione.

Il problema è che, molto spesso, le informazioni che condividiamo con questi strumenti non si limitano alle sole indicazioni operative, ma contengono nomi, indirizzi, dati fiscali e contrattuali riferibili a clienti, collaboratori e fornitori. E quando “diamo in pasto” questi dati a uno strumento esterno, non stiamo più facendo un semplice copia-incolla: stiamo trattando dati personali.

In questo articolo vediamo come usare l’intelligenza artificiale senza violare il GDPR, quali sono i rischi più sottovalutati e quali accorgimenti adottare per lavorare in modo più sicuro.

Il rischio invisibile: cosa succede quando carichi dati dei clienti su ChatGPT o altri strumenti IA

Date queste premesse, probabilmente ti starai chiedendo quante volte hai rischiato di violare la normativa senza saperlo. Niente panico: l’intelligenza artificiale, in quanto tale, non è vietata dal GDPR. Ciò a cui devi prestare attenzione non è tanto lo strumento che stai utilizzando, ma dove finiscono le informazioni che inserisci e con quali garanzie vengono trattate.

Quando carichi un testo, un documento o uno screenshot in una piattaforma di intelligenza artificiale, infatti, stai trasmettendo quel contenuto a un soggetto terzo, cioè al provider che eroga il servizio. Se nel materiale caricato sono presenti dati riferibili a clienti, collaboratori o fornitori, è necessario verificare cosa può fare il provider con quei dati: se li conserva, se li utilizza per migliorare i propri sistemi, dove vengono trattati e se esiste un accordo che disciplini il rapporto tra le parti.

Per questo, prima ancora di chiederti “posso caricare questo documento?”, ti consigliamo di chiederti “questo documento contiene dati personali? Se sì, posso rimuoverli”? Senza queste informazioni, l’utilizzo dell’IA rischia di diventare un passaggio poco controllato all’interno dei tuoi processi.

ChatGPT, dati e addestramento: quali impostazioni controllare prima di usare l’IA

In molti strumenti consumer o gratuiti, testi, prompt, documenti e conversazioni possono essere utilizzati per migliorare i sistemi, salvo impostazioni diverse previste dal singolo provider. Questo significa che i documenti che condividi con l’intelligenza artificiale potrebbero entrare, almeno in alcuni casi, nei processi di miglioramento del servizio.

La buona notizia è che, spesso, l’IA ti permette di intervenire direttamente sulle impostazioni privacy. In ChatGPT, per esempio, puoi disattivare l’uso delle conversazioni per l’addestramento entrando nelle impostazioni dell’account e disabilitando l’opzione “Migliora il modello per tutti”. Anche altri strumenti, come Gemini, prevedono pannelli dedicati alla gestione o disattivazione dell’attività, anche se le modalità e gli effetti possono cambiare in base al tipo di account e alle condizioni del servizio. 

Questa, però, è solo una prima misura di cautela. Disattivare l’addestramento non equivale ad avere un accordo formale sul trattamento dei dati, né permette di caricare qualsiasi contenuto senza attenzione. Per un uso professionale continuativo, le strade più sicure sono utilizzare piani Business, Team o Enterprise con garanzie contrattuali più adeguate, oppure rimuovere manualmente i dati personali prima di inserire il documento nello strumento, sostituendo nomi, indirizzi, codici fiscali e altri dettagli identificativi con segnaposto neutri.

Usare l’IA senza violare la privacy: cosa oscurare prima di caricare un documento

Fin qui tutto bene: ma quali sono, nella pratica, i dati da oscurare per evitare che l’intelligenza artificiale possa identificare una persona, un cliente o una situazione specifica? Nella maggior parte dei casi, è più semplice di quanto sembri. Prima di caricare un documento, dovresti rimuovere o sostituire:

• Nomi e cognomi;

• Codici fiscali, Partite IVA e dati identificativi;

• Indirizzi, dati catastali e riferimenti a immobili specifici;

• Numeri di telefono, email e firme;

• Riferimenti bancari, IBAN e dati di pagamento;

• Targhe, numeri di pratica, codici cliente o altri identificativi interni;

• Importi, mansioni, date o dettagli particolarmente riconoscibili.

Lo stesso ragionamento vale per screenshot, report, email, contratti, preventivi, verbali, relazioni tecniche e documenti amministrativi.

Il modo più pratico per farlo è anonimizzare i dati, andando a sostituire i dati reali con segnaposto neutri, mantenendo intatta la struttura del documento. Per esempio: [cliente], [fornitore], [indirizzo], [importo], [codice fiscale] e così via. Questo consente comunque all’IA di lavorare sul contenuto, senza esporre informazioni non necessarie.

Versioni Business, Team o Enterprise: quali garanzie servono per lavorare con l’IA

Se la quantità di documenti e dati che carichi ogni giorno rende poco praticabile l’oscuramento manuale delle singole informazioni, puoi valutare il passaggio a versioni Business, Team o Enterprise dei principali strumenti di intelligenza artificiale. Queste soluzioni offrono generalmente un quadro più controllato rispetto agli account gratuiti o consumer e, in molti casi, prevedono impostazioni amministrative, condizioni più chiare sull’utilizzo dei dati e documentazione contrattuale dedicata.

In questi casi, tuttavia, può essere comunque necessario disciplinare il rapporto di responsabilità esterna del provider, ai sensi dell’art. 28 del GDPR, attraverso un accordo che definisca ruoli, istruzioni, misure di sicurezza, responsabilità e limiti del trattamento. 

Naturalmente, scegliere una versione business non significa poter caricare qualsiasi documento senza criterio. Anche in presenza di garanzie contrattuali, restano validi i principi di minimizzazione, riservatezza e sicurezza: se un dato non serve, non dovrebbe essere inserito; se può essere anonimizzato, è preferibile farlo; se il documento contiene informazioni particolarmente delicate, è opportuno valutare con attenzione se e come utilizzare l’IA.

Intelligenza artificiale e data breach: quando un errore diventa una violazione

Hai appena caricato un contratto su ChatGPT e ora temi di aver commesso un data breach? Non andare in panico: caricare un documento nel tool sbagliato, dimenticare di oscurare un nome o usare un account non correttamente configurato non comporta, di per sé, una violazione dei dati personali.

Il data breach si verifica quando i dati personali vengono distrutti, persi, modificati, comunicati o resi accessibili in modo non autorizzato. Nel contesto dell’IA, questo può accadere, ad esempio, se un documento con dati di clienti viene caricato su una piattaforma non autorizzata, se il provider può utilizzare quei contenuti per finalità non compatibili con il rapporto professionale, oppure se informazioni riservate vengono condivise senza garanzie adeguate con un soggetto esterno.

Se però ti sei accorto di aver commesso un errore, non ignorarlo. Ricostruisci con precisione cosa è stato caricato, da chi, su quale piattaforma, con quale account e con quali impostazioni attive. Valuta la tipologia dei dati coinvolti, il numero di interessati, le possibili conseguenze e le garanzie offerte dal provider. Solo a quel punto potrai capire se l’episodio può essere gestito internamente o se, nei casi più gravi, è necessario procedere con una notifica al Garante entro i termini previsti dal GDPR.

Consulenza GDPR per usare l’intelligenza artificiale senza rischi

L’intelligenza artificiale può essere un supporto prezioso per il tuo lavoro. Tuttavia, proprio perché entra in attività quotidiane, deve essere gestita con attenzione: questo significa sapere quali strumenti vengono utilizzati, quali dati vengono inseriti, come vengono gestiti, e quali regole interne è necessario adottare adottare per evitare violazioni accidentali.

Se vuoi capire se gli strumenti di intelligenza artificiale utilizzati nella tua attività sono coerenti con il GDPR, richiedi una consulenza GDPR online. Potrai verificare come usare l’IA in modo più sicuro, senza bloccare l’innovazione e senza esporre inutilmente i dati dei tuoi clienti.

FAQ: intelligenza artificiale e GDPR

1. Posso usare ChatGPT con i dati dei clienti?

Puoi usare strumenti di intelligenza artificiale anche in ambito professionale, ma non dovresti inserire dati personali dei clienti senza prima aver valutato lo strumento, le impostazioni privacy, le condizioni contrattuali e le misure di sicurezza. Quando possibile, è preferibile anonimizzare i dati presenti nei documenti prima di caricarli.

2. ChatGPT è conforme al GDPR?

Non esiste una risposta valida per ogni caso. La conformità dipende dal tipo di account utilizzato, dalle impostazioni attive, dai dati inseriti, dalle finalità del trattamento e dagli accordi disponibili con il provider. Per un uso professionale stabile, è opportuno valutare soluzioni business e verificare la presenza di un accordo sul trattamento dei dati.

3. Come si anonimizzano i dati prima di usare l’IA?

Per anonimizzare un testo, bisogna rimuovere o sostituire tutti gli elementi che permettono di identificare una persona: nomi, cognomi, indirizzi, codici fiscali, dati di contatto, riferimenti contrattuali, dettagli economici o informazioni specifiche riconducibili a un soggetto. L’obiettivo è fare in modo che il contenuto non possa essere collegato a una persona fisica identificata o identificabile.

4. Cos’è un DPA e quando è obbligatorio?

Il DPA, o Data Processing Agreement, è l’accordo che disciplina il trattamento dei dati personali da parte di un responsabile del trattamento per conto del titolare. Può essere necessario quando un provider esterno tratta dati personali nell’ambito di un servizio utilizzato dall’azienda o dal professionista. In questi casi, il rapporto deve essere regolato in modo conforme all’art. 28 del GDPR.