ChatGPT in azienda e nLPD: cosa puoi fare e cosa evitare

Il tuo team usa già ChatGPT, con o senza permesso. La domanda giusta non è "se", ma "come": cosa si può inserire in uno strumento AI e cosa no, secondo la legge svizzera sulla protezione dei dati.

ChatGPT in azienda e nLPD: cosa puoi fare e cosa evitare

Il tuo team usa già ChatGPT. Con il tuo permesso o senza. Lo vedo in quasi tutte le PMI con cui lavoro in Ticino: c'è chi riscrive le email, chi riassume documenti, chi incolla "solo un pezzetto" di contratto. La domanda giusta quindi non è se usare l'AI in azienda, ma come: cosa si può inserire in uno strumento AI e cosa no, secondo la nLPD, la legge svizzera sulla protezione dei dati.

In questo articolo provo a rispondere nel modo più concreto possibile, con esempi da PMI e una policy che puoi adottare domani. Se ti serve il quadro generale della legge, ho scritto una guida pratica alla nLPD per le PMI: qui mi concentro sul caso specifico di ChatGPT e degli strumenti AI. Una premessa doverosa: questa non è una consulenza legale, è l'esperienza di chi aiuta le PMI a usare questi strumenti ogni giorno.

Il punto di partenza: i dati inseriti escono dall'azienda

Quando incolli un testo in ChatGPT, quel testo viene elaborato sui server del fornitore, fuori dal tuo perimetro. E nelle versioni consumer, quelle gratuite o personali, i dati inseriti possono essere usati per addestrare i modelli, salvo disattivazione esplicita nelle impostazioni. Le versioni business ed enterprise, e l'accesso via API, in genere prevedono il contrario: il fornitore si impegna a non usare i tuoi dati per l'addestramento. Ma va verificato strumento per strumento, perché le condizioni cambiano.

Per la nLPD questo punto è decisivo. Usare uno strumento AI significa trattare dati: se nel prompt ci sono dati personali di clienti o dipendenti, il titolare del trattamento resti tu, e la responsabilità non si trasferisce allo strumento. La nLPD non vieta l'AI: ti chiede di sapere cosa inserisci, dove finisce e con quali garanzie.

Cosa NON inserire mai

Quattro categorie che, nella versione consumer di uno strumento AI, non dovrebbero mai entrare.

  • Dati personali di clienti e dipendenti. Nomi, email, telefoni, indirizzi. L'esempio classico: incollare l'elenco clienti dal gestionale per "sistemarlo", o l'email di reclamo di un cliente con nome e cognome per farsi scrivere la risposta.
  • Dati degni di particolare protezione. Salute, opinioni religiose o politiche, dati di candidati e CV. Un certificato medico di un dipendente in ChatGPT è probabilmente la violazione più grave che una PMI possa fare con l'AI.
  • Segreti industriali. Listini riservati, ricette e processi produttivi, strategie commerciali, codice proprietario che contiene le logiche del tuo business.
  • Dati finanziari nominativi. Buste paga, fatture con nominativi, situazioni debitorie di clienti specifici, condizioni contrattuali riservate.

La regola pratica che uso nelle formazioni: se non lo manderesti per email a uno sconosciuto, non incollarlo in uno strumento AI consumer.

Cosa puoi fare tranquillamente

La lista di ciò che è sicuro è molto più lunga di quella dei divieti, ed è qui che sta il valore.

  • Testi generici e bozze. Descrizioni prodotto, post per il sito o LinkedIn, comunicazioni interne senza nomi, scalette per riunioni e presentazioni.
  • Riformulazioni e traduzioni di testi non riservati: rendere più chiara un'offerta standard, tradurre una pagina del sito, correggere il tono di una risposta (senza il nome del destinatario).
  • Codice e formule senza dati. Una formula Excel, uno script, una query: finché non contengono dati reali o credenziali, nessun problema.
  • Analisi su dati anonimizzati o inventati. "Ho 200 clienti divisi in queste tre fasce, come li segmenterei?" funziona benissimo senza un solo nome vero.

In pratica: quasi tutto il lavoro di scrittura, sintesi e ragionamento si può fare in sicurezza, se togli dai prompt le persone identificabili e i dati riservati.

Le impostazioni e le versioni giuste

Oltre al "cosa", conta il "dove". Tre mosse concrete, in ordine di impegno.

  • Disattiva l'addestramento dove possibile. Nelle versioni consumer di molti strumenti c'è un'impostazione per escludere le proprie conversazioni dall'addestramento dei modelli. È il minimo sindacale, da fare subito su ogni account usato per lavoro.
  • Passa a una versione business. ChatGPT Team o Enterprise prevedono che i dati non vengano usati per l'addestramento e offrono controlli di amministrazione. Non è un dettaglio: cambia il quadro contrattuale con il fornitore.
  • Valuta le alternative nel tuo perimetro. Se lavori in Microsoft 365, Copilot usato nel tenant aziendale mantiene i dati nel perimetro Microsoft esistente, con i permessi che hai già configurato.

Un'avvertenza onesta: nessuna versione ti rende conforme "in automatico". La conformità dipende da cosa inserisci, da come configuri lo strumento e da come regoli il rapporto con il fornitore quando tratti dati personali. Vale a maggior ragione quando l'AI smette di essere un assistente occasionale e diventa parte dei processi, per esempio in un progetto di automazione AI: lì la scelta dello strumento e del perimetro dei dati va fatta a monte, non a posteriori.

Una policy AI semplice in 5 punti

Senza regole scritte, ognuno decide da sé, e ottieni la Shadow AI: strumenti non autorizzati usati di nascosto, con i dati che escono senza che tu lo sappia. La soluzione non è un regolamento di trenta pagine. Basta una pagina, con cinque punti.

  • 1. Strumenti approvati. Quali strumenti AI si possono usare per lavoro e con quali account. Tutto il resto è fuori.
  • 2. Cosa non inserire mai. Le quattro categorie viste sopra, con due o tre esempi concreti presi dalla tua azienda.
  • 3. A chi chiedere. Una persona di riferimento per i dubbi. Nel dubbio si chiede prima, non dopo.
  • 4. Formazione. Almeno una sessione pratica per tutto il team: cosa è sicuro, cosa no e perché. È il punto che fa funzionare gli altri quattro, ed è il cuore della mia formazione AI nelle PMI.
  • 5. Revisione periodica. Strumenti e condizioni d'uso cambiano in fretta: rileggi la policy ogni sei mesi e aggiorna l'elenco degli strumenti approvati.

Non vietare: forma

Dopo aver visto decine di situazioni diverse, la mia conclusione è sempre la stessa: il modo migliore per gestire il rischio non è vietare, è formare. Il divieto spinge l'uso nell'ombra e ti fa perdere i benefici; un team formato sa cosa può inserire, usa le versioni giuste e trasforma l'AI in un vantaggio invece che in un rischio. È esattamente ciò che faccio con la formazione AI per aziende e PMI: mezza giornata sul tuo caso concreto, con i tuoi strumenti e le tue regole. Se vuoi parlarne, scrivimi.

Questo articolo ha scopo informativo e non costituisce consulenza legale. Per casi specifici rivolgiti a un consulente legale o all'autorità competente (PFPDT).


Vuoi usare ChatGPT in azienda senza rischi inutili? Ti aiuto a scegliere gli strumenti e le versioni giuste, scrivere la policy e formare il team, partendo dai tuoi processi reali.

Domande frequenti

ChatGPT è vietato dalla nLPD?

No. La nLPD non vieta ChatGPT né altri strumenti AI: regola il trattamento dei dati personali. Dipende da come lo usi: se non inserisci dati personali o riservati, o se lo fai con garanzie adeguate, puoi usarlo. Il problema nasce quando dati di clienti o dipendenti finiscono in uno strumento senza controllo.

Posso inserire dati dei clienti se anonimizzati?

Sì, se sono davvero anonimizzati: la persona non deve essere identificabile nemmeno incrociando le informazioni rimaste. Togliere solo il nome spesso non basta, perché ruolo, azienda e contesto possono reidentificare qualcuno. Nel dubbio, meglio sostituire i dati con segnaposto generici prima di incollare.

Copilot è più sicuro di ChatGPT per un'azienda?

Non è un confronto binario: dipende dalla configurazione. Copilot usato nel tenant Microsoft 365 aziendale, con i dati che restano in quel perimetro e senza addestramento sui tuoi dati, offre garanzie che la versione gratuita di ChatGPT non dà. Ma anche ChatGPT in versione Team o Enterprise cambia molto il quadro. Conta come è configurato lo strumento, non il logo.

Serve una policy scritta anche per una micro-impresa?

Sì. Basta una pagina: quali strumenti sono approvati, cosa non inserire mai, a chi chiedere in caso di dubbio. Anche con tre persone, senza una regola scritta ognuno decide da sé, e il rischio è lo stesso di un'azienda grande.

← Torna al Magazine