supersqualo
Privacy & Sicurezza

Mettere dati aziendali su ChatGPT: cosa rischi davvero (multa Garante, perdita IP)

Caricare contratti, listini o dati clienti su ChatGPT pubblico sembra innocuo. In realtà stai aprendo un fronte legale che può costarti decine di migliaia di euro fra sanzioni Garante e perdita di proprietà intellettuale.

Di Super Squalo·4 min lettura
Nota. Una nota importante: l'IA è uno di quei settori dove tre mesi cambiano lo scenario. Sto dietro alle guide come posso, però se leggi a distanza non dare per scontato che ogni dettaglio sia ancora aggiornato.

Giovedì pomeriggio, ufficio. Il responsabile commerciale entra in scrivania col listino aggiornato, te lo passa, ti dice: "butta tutto su ChatGPT e fammi una presentazione client per domani". Tu apri il browser, copi 200 righe di prezzi, condizioni, sconti riservati ai clienti grossi e clicchi invio. In dieci secondi hai appena spedito i listini riservati su server americani.

Ti dico cosa rischi davvero, senza allarmismi e senza minimizzare.

Il pasticcio in cui finisci se "tanto è solo un assistente"

Il punto non è ChatGPT in sé, è cosa ci metti dentro. Su un account free o personale, quello che incolli può essere usato per addestrare il modello. Anche sui piani business le cose sono migliorate, ma non sono perfette: il dato è comunque transitato per un'azienda americana, e se domani c'è una richiesta giudiziaria sotto leggi USA, quel dato è raggiungibile.

Tre cose succedono a chi non ci pensa. Prima: perdita di proprietà intellettuale. Codice sorgente, formule chimiche, ricette, listini riservati, presentazioni con clausole commerciali. Tutto materiale che ti dà un vantaggio competitivo. Una volta uscito non lo riprendi.

Seconda: sanzione del Garante. Se nel testo che incolli ci sono dati personali di clienti, dipendenti, fornitori, stai trasferendo dati fuori dall'Unione europea senza base giuridica. Il Garante nel 2023 ha bloccato ChatGPT in Italia per questo, e a dicembre 2024 ha multato OpenAI per 15 milioni proprio sul tema della gestione dei dati personali.

Terza: fuga di dati strategici. Samsung nel 2023 ha vietato ChatGPT internamente perché tre dipendenti avevano incollato codice sorgente sensibile. La storia è uscita su Bloomberg e TechCrunch. Non sono cifre da prendere a ridere, e Samsung non è l'azienda della porta accanto.

Cosa NON puoi fare

Non puoi incollare contratti, listini, codici sorgente, formule, ricette, dati clienti su account ChatGPT free o personale. Quei dati possono essere usati per addestrare il modello, e da lì uscire un giorno in una risposta a chiunque.

Non puoi caricare CV di candidati, valutazioni di dipendenti, dati di malattia, dati di terzi. Sono dati personali e qualcuno è anche dato sensibile. Senza base giuridica chiara non escono dall'Unione europea.

Non puoi non avere una policy interna scritta su cosa il personale può e non può mettere su strumenti di IA. Se il tuo dipendente fa danni e tu non hai mai dato istruzioni, il titolare del trattamento sei tu, non lui.

Non puoi firmare contratti con fornitori IA senza guardare dove gira il dato. Server in USA = trasferimento extra UE, e serve un meccanismo giuridico (clausole contrattuali standard, e comunque il rischio non è zero).

Cosa invece devi fare

Mettiamola in concreto. Primo passo: policy aziendale in una pagina chiara. Cosa si può mettere (testi pubblici, brainstorming generici), cosa no (dati clienti, dati dipendenti, listini, contratti, codice sorgente). Lista chiusa, non sottinteso.

Secondo passo: scegli uno strumento di IA con server in Europa, contratto di trattamento dati firmato col fornitore, possibilità di disattivare l'addestramento sui tuoi prompt. Esistono soluzioni italiane decenti, oppure puoi tenerti un sistema interno per i dati sensibili.

Terzo passo: formazione del personale, non un corso da venti minuti. Mezza giornata vera, dove fai vedere casi concreti e cosa non si fa. La gente capisce di più con esempi che con regolamenti.

Quarto passo: aggiorna l'informativa privacy ai clienti, ai dipendenti, ai fornitori. Una sezione dedicata: "l'azienda utilizza strumenti di intelligenza artificiale per finalità interne, con queste garanzie". Trasparenza, e ti copri.

I paletti che non si toccano

Niente account personali per uso lavoro. Account aziendali, controllati, con possibilità di revoca. Audit log degli accessi e dei prompt che escono dall'azienda, almeno aggregato.

I dati strategici — listini riservati, formule, ricette, codice sorgente core — non vanno mai su servizi cloud terzi. Se devi farci elaborazioni IA, usi un sistema dentro l'azienda dove i dati restano tuoi.

Backup cifrato, password manager aziendale, autenticazione a due fattori sugli account IA. Sono cose noiose, ma una multa del Garante o una causa per furto di IP sono molto più noiose.

Polizza assicurativa: verifica con il broker che la tua copertura includa danni da fuga di dati legati a strumenti IA. Alcune polizze datate non lo prevedono ancora.

Una nota personale

ChatGPT in azienda è uno strumento potente se lo usi con la testa, una bomba a orologeria se lo usi a casaccio. Sul gruppo Telegram di Super Squalo (t.me/Squalogruppo) ci sono titolari e responsabili IT che hanno già messo in piedi policy serie. Si scambiano modelli, si raccontano gli errori. Si risponde gratis. Se stai partendo da zero, fatti vedere.

Hai un dubbio? Vieni a parlarne.

Gruppo Telegram aperto. Domande, opinioni, casi vissuti. Senza venditori e senza spam. Per consulenza personale o caso aziendale, usa il pulsante consulenza.

Entra nel gruppo TelegramRichiedi consulenza