supersqualo
Privacy & Sicurezza

Gemini integrato in Workspace: i tuoi documenti diventano training data?

Google ha messo Gemini dentro Gmail, Docs, Drive, Meet. La promessa è che «i tuoi dati restano tuoi». La realtà è più sfumata e con un paio di clausole che vale la pena leggere bene.

Di Super Squalo·3 min lettura
Nota. L'intelligenza artificiale è un settore in movimento continuo. Le guide vengono aggiornate ma non sempre in tempo reale. Se stai leggendo questo articolo a distanza di tempo, verifica che i dettagli più tecnici siano ancora attuali.

Martedì mattina, ufficio del titolare. Apri Gmail e in alto a destra ti compare il pulsantino di Gemini. Apri Docs e ti propone di scrivere il documento al posto tuo. Apri Meet e ti dice che può trascrivere e riassumere la riunione coi clienti. Sembra magia. Poi ti viene il dubbio giusto: i miei documenti, le mie email, le mie riunioni stanno diventando materiale di addestramento per il modello del prossimo anno?

Risposta breve: dipende dal piano che hai. Risposta lunga: ci sono dettagli che cambiano tutto, e quasi nessuno li configura come si deve.

Il pasticcio in cui finisci se non distingui i piani

Google ha due famiglie di prodotti che si chiamano allo stesso modo ma vivono mondi diversi. Da una parte c'è Gemini consumer, quello che usi col Gmail personale: di default le tue conversazioni servono a migliorare il modello, e revisori umani possono leggerle. Si può spegnere, ma di partenza è acceso.

Dall'altra c'è Gemini in Workspace, quello dei piani Business, Enterprise, Education: contrattualmente, i prompt e i contenuti non vengono usati per addestrare i modelli base e non vengono letti da revisori umani. Lo dice il contratto sulla protezione dati di Workspace.

Differenza enorme. Se hai una piccola impresa con account Workspace Business sei in zona protetta. Se invece il tuo commerciale apre Gemini personale sul suo Gmail per riassumere l'offerta del cliente, sei nei guai. È successo a una azienda piemontese con 25 dipendenti su Workspace Standard. Un cliente ha chiesto informazioni sul trattamento dei suoi dati. È venuto fuori che il piano non copriva Gemini come pensavano. Nessuno aveva fatto la valutazione d'impatto privacy. L'informativa non parlava di IA generativa. Tre mesi di lavoro per sistemare, e una notifica al Garante in via cautelativa.

Cosa NON puoi fare

Non puoi usare Gemini consumer con email personale per il lavoro aziendale. Mai. Se ti serve, attivi Workspace.

Non puoi lasciare Gemini in Workspace acceso di default senza guardare quali dati tocca. L'accesso a Drive, Gmail e Calendar amplifica la superficie esposta in un colpo solo.

Non puoi fargli trascrivere riunioni con clienti o pazienti senza informativa specifica e consenso. Sennò la riunione diventa una violazione.

Non puoi saltare la valutazione d'impatto sulla privacy se Gemini elabora dati di categoria particolare (sanitari, giudiziari, sindacali). Il Garante su questi punti non scherza: OpenAI 15 milioni a dicembre 2024, Synlab 2,5 milioni nel 2024 per i dati sanitari finiti dove non dovevano. Non sono cifre da prendere a ridere.

Cosa invece si può fare bene

La configurazione minima sicura per una PMI è in sei punti.

Uno: passa a Workspace Business Plus o Enterprise. Solo questi danno il contratto sulla protezione dati esteso a Gemini come si deve.

Due: dalla console di amministrazione, dentro le impostazioni di Workspace, configura quali utenti possono usare Gemini e su quali servizi. Non lasciare aperto a tutti per default.

Tre: attiva la residenza dati in Europa. Disponibile sui piani Enterprise, è il modo più semplice per dire "i miei dati restano qui".

Quattro: aggiorna l'informativa privacy che dai ai clienti. Dichiara esplicitamente che usi IA generativa di Google, finalità e tempi di conservazione.

Cinque: scrivi una policy interna di una pagina. I dipendenti non usano Gemini consumer per attività aziendali, mai. Se serve, si chiede l'attivazione su account Workspace. Falla firmare.

Sei: attiva i log di attività di Gemini per la tracciabilità. Se domani ti chiedono cosa è stato elaborato e da chi, devi saperlo.

I paletti che non si toccano

Anche con la configurazione perfetta, Workspace resta un servizio americano soggetto a leggi americane sull'accesso ai dati. Per la roba davvero sensibile — dati sanitari, giudiziari, brevetti, segreti industriali — la scelta più protetta resta un sistema IA su server europeo dedicato con modelli aperti, integrato con Workspace solo per i flussi non sensibili. I documenti riservati non passano mai dal cloud Google, e Gemini lo usi per le cose che possono passarci senza problemi: bozze di email interne, calendari, appunti di riunioni interne.

È la stessa logica che usi col conto in banca: non tieni tutto sul conto corrente.

Una nota personale

Io di mestiere monto sistemi IA privati per piccole imprese italiane. Non vendo corsi, non vendo formule magiche. Mi occupo di gente che ha cose serie da proteggere e poca voglia di smanettare con i contratti. Se vuoi capire se la tua configurazione di Workspace e Gemini regge, sul gruppo Telegram di Super Squalo (t.me/Squalogruppo) se ne discute ogni giorno, e si risponde gratis.

Il pulsantino di Gemini, intanto, lascialo lì. Stavolta sai cosa controllare prima di cliccarlo.

Hai un dubbio? Vieni a parlarne.

Gruppo Telegram aperto. Domande, opinioni, casi vissuti. Senza venditori e senza spam. Per consulenza personale o caso aziendale, usa il pulsante consulenza.

Entra nel gruppo TelegramRichiedi consulenza