GDPR · IA cloud in azienda

Posso usare ChatGPT, Claude & Co. con i dati dei clienti?

Risposta breve: no – non nelle versioni standard.

ChatGPT, Claude, Gemini e Copilot sono servizi cloud statunitensi. Nel momento in cui dati personali entrano in un prompt, inizia un trasferimento verso un paese terzo (USA) – con tutti gli obblighi GDPR che le aziende spesso sottovalutano. Chi lavora senza accordo di trattamento dati o usa la versione gratuita viola il GDPR già al primo prompt.

Vedi l'alternativa sovrana Richiedi una consulenza
No

Con account standard e senza misure aggiuntive, l'utilizzo non è conforme al GDPR.

  • Nessun accordo di trattamento su Free/Plus/Pro
  • Trasferimento dei dati verso gli USA
  • Il segreto professionale può essere violato penalmente
Di cosa parliamo

ChatGPT, Claude & Co. – ecco gli strumenti

I quattro principali assistenti IA sono servizi cloud di fornitori statunitensi. Ogni testo inserito lascia così la tua azienda e l'Europa.

ChatGPT
OpenAI · USA

Leader di mercato di OpenAI. Gli input sono elaborati negli USA. Gli account Free e Plus non hanno accordo di trattamento e possono usare gli input per addestrare il modello.

Claude
Anthropic · USA

Modello linguistico di Anthropic. Ospitato su AWS US. Gli account standard non sono progettati per il trattamento di dati personali in aziende europee.

Gemini
Google · USA

Modello linguistico di Google. Gli input confluiscono nell'ecosistema Google. L'intreccio con altri servizi USA amplifica la problematica del trasferimento.

Copilot
Microsoft · USA

L'assistente IA di Microsoft (basato sui modelli OpenAI). Anche con tenant M365 nell'UE, il fornitore resta soggetto al CLOUD Act statunitense.

I punti critici legali

Sei domande GDPR a cui i cloud LLM raramente rispondono in modo pulito

Chi inserisce dati dei clienti in ChatGPT, Claude o Gemini in genere inciampa su più di uno di questi punti contemporaneamente.

01

Nessun accordo di trattamento dati

Art. 28 GDPR

Gli account Free, Plus e Pro non prevedono un accordo di trattamento. Senza tale accordo, trasferire dati personali al fornitore è già illecito.

02

Trasferimento verso un paese terzo (USA)

Art. 44–49 GDPR · Schrems II

I dati finiscono su server statunitensi. Il EU-US Data Privacy Framework del 2023 è un ponte politico la cui certezza giuridica è di nuovo contestata da autorità garanti e tribunali. Il CLOUD Act resta intatto.

03

Nessuna base giuridica solida

Art. 6 GDPR

Un vero consenso dei tuoi clienti per il trattamento da parte di OpenAI o Anthropic praticamente non viene mai raccolto. L'interesse legittimo raramente prevale sui rischi di un trasferimento verso paesi terzi.

04

Obblighi informativi non rispettati

Art. 13 & 14 GDPR

I clienti devono essere informati in modo trasparente che i loro dati sono condivisi con LLM statunitensi – inclusi destinatari, trasferimento e base giuridica. In pratica, nessuna informativa privacy lo riporta.

05

Segreto professionale violato

§ 203 del codice penale tedesco

Medici, avvocati, commercialisti, farmacisti, assicurazioni, banche: chi inserisce dati di clienti o pazienti in cloud LLM può commettere un reato ai sensi del § 203 StGB – punibile con multa o reclusione.

06

Segreti aziendali esposti

Legge sui segreti aziendali

Quando bozze contrattuali, prezzi, codice sorgente o strategie finiscono in cloud LLM, generalmente non sono più considerati sufficientemente protetti ai sensi della legge sui segreti aziendali.

Concretamente

Quali dati dei clienti sono particolarmente critici

È personale tutto ciò che rende identificabile una persona – nomi, indirizzi e-mail, numeri cliente, numeri di telefono, indirizzi IP. Anche solo uno di questi campi nel prompt fa scattare gli obblighi GDPR.

I dati particolarmente sensibili ai sensi dell'art. 9 GDPR – salute, religione, origine etnica, orientamento sessuale – non dovrebbero praticamente mai entrare nei cloud LLM. Il rischio è qui al massimo.

Mai inserire nei cloud LLM

  • Nomi, indirizzi, date di nascita di clienti
  • Dati sanitari o di trattamento (Art. 9)
  • Candidature, curricula
  • Dati contrattuali, di prezzo e condizioni
  • Codice sorgente con logica interna o credenziali
  • Scambi e-mail 1:1 con i clienti
  • Dati di clienti, pazienti o assistiti
Le conseguenze

Cosa può succedere se va male?

⚖️

Multa GDPR

fino a 20 M€

Oppure il 4 % del fatturato globale del gruppo. Si applica l'importo più alto (art. 83 GDPR).

👥

Risarcimento danni

Art. 82 GDPR

Ogni persona interessata può richiedere un risarcimento del danno immateriale – anche senza prova concreta del danno.

🚨

Responsabilità penale

§ 203 StGB

Per i professionisti tenuti al segreto, alle sanzioni aziendali si aggiungono multe o reclusione personale.

📉

Reputazione

difficile da quantificare

Le multe pubblicate e gli incidenti privacy restano visibili nei motori di ricerca e nella stampa di settore per anni.

Soluzioni

Come usare l'IA in azienda in modo sicuro?

Tre strade – ordinate per livello di protezione. La più solida è quella in cui i tuoi dati non lasciano mai la tua sede.

Consigliato · massima protezione

IA on-premise – i dati restano in azienda

Un'IA che gira sul tuo hardware. Nessun trasferimento verso paesi terzi, nessun accordo di trattamento necessario, pieno accesso alle fonti interne senza rischio di compliance.

  • Nessun dato lascia la tua rete
  • GDPR fuori ambito (nessun responsabile esterno)
  • Adatto anche a professioni del § 203
Maggiori dettagli su KOSMO On-Premise
Adatto a condizioni

Fornitore IA UE con accordo di trattamento

Fornitori europei specializzati con hosting nell'UE, accordo di trattamento e politica di addestramento trasparente. Rischio ridotto, ma controllo periodico necessario.

  • Verificare accordo di trattamento e hosting UE
  • Esclusione dell'addestramento sui tuoi input
  • Verificare la capogruppo e l'esposizione al CLOUD Act
Rischioso · usare con cautela

Anonimizzazione coerente

Se i cloud LLM sono inevitabili: rimuovi i riferimenti personali prima del prompt. Sostituisci i nomi con segnaposto, ometti gli indirizzi, niente testo grezzo dai contratti.

  • Policy d'uso chiara in azienda
  • Formare i collaboratori
  • Rischio residuo – re-identificazione possibile
Domande frequenti

FAQ – le domande di dettaglio più comuni

ChatGPT Enterprise offre un accordo di trattamento, rinuncia all'addestramento sui tuoi input e trattamento dei dati nell'UE come opzione. È molto meglio della variante Plus. Il problema di fondo resta: OpenAI è una società USA, e il CLOUD Act consente alle autorità americane di accedere ai dati. Una DPIA GDPR è obbligatoria, e per dati sensibili o professioni del § 203 Enterprise spesso non basta.

Fonti & approfondimenti

Questa pagina si basa sulle seguenti fonti pubbliche e ufficiali:

Argomenti correlati su Splitbot.ai

RAG & Datenschutz
Cosa significa la guida DSK sui sistemi RAG per le PMI
On-Premise KI
Eseguire KOSMO in locale — sovranità dei dati grazie al proprio hardware
EU AI Act
Splitblog: cosa significa l'EU AI Act per enti pubblici e aziende
Chatbots im Vergleich
Quale chatbot per quale caso d'uso? Confronto delle funzionalità

Sovrano invece che rischioso

KOSMO gira sul tuo hardware o in data center sovrani europei. Niente cloud USA, niente trasferimenti verso paesi terzi, pieno controllo.

Scopri KOSMO On-Premise Consulenza gratuita

Questa pagina offre una panoramica generale e non sostituisce una consulenza legale. Nei casi concreti – in particolare per dati sensibili o segreto professionale – rivolgiti al tuo responsabile della protezione dei dati o a uno studio specializzato.

Partner e sostenitori