Intelligenza artificiale e privacy per le aziende, lucchetto e circuito su sfondo scuro DC Academy

Intelligenza artificiale e privacy: la guida per le aziende

Jun 13, 2026

L'intelligenza artificiale e la privacy sono il primo nodo che ogni azienda italiana incontra quando porta strumenti come ChatGPT, Gemini o Claude dentro il lavoro quotidiano. La domanda vera non è "posso usarla", ma "cosa posso darle in pasto senza violare il GDPR o rischiare una sanzione". La risposta breve: puoi usarla quasi ovunque, a patto di sapere quali dati restano fuori dal prompt, come configurarla e cosa scrivere nell'informativa. In questa guida vediamo, in modo concreto, cosa un imprenditore o un professionista può davvero fare oggi, quali sono le regole in vigore nel 2026 e i tre errori che fanno scattare i guai.

In questo articolo

Quali dati puoi dare all'intelligenza artificiale e quali no

Il rischio più concreto non arriva dalla normativa, arriva dai tuoi collaboratori. Secondo uno studio di LayerX del 2025, il 77 per cento degli utenti aziendali copia e incolla dati direttamente dentro i chatbot, spesso da account personali non gestiti. E secondo le ricerche di Cyberhaven aggiornate al quarto trimestre 2025, i dati sensibili sono arrivati a rappresentare il 34,8 per cento di tutto ciò che i dipendenti incollano su ChatGPT, contro l'11 per cento del 2023.

La regola pratica è semplice. Puoi usare l'intelligenza artificiale liberamente su tutto ciò che non identifica una persona o non è riservato: bozze di testi, idee di marketing, riassunti di documenti pubblici, codice, traduzioni, analisi di mercato. Vanno invece tenuti fuori dal prompt, oppure anonimizzati prima, i dati personali dei clienti (nomi, email, numeri, indirizzi), i dati sensibili (salute, dati giudiziari), i contratti riservati e qualsiasi informazione coperta da segreto aziendale. Se devi lavorare proprio su quei dati, la strada corretta è usare le versioni business degli strumenti, che per contratto non addestrano i modelli sui tuoi input.

Le regole in vigore nel 2026: GDPR, AI Act e legge italiana

Oggi un'azienda italiana si muove dentro tre livelli di regole che si sovrappongono.

Il GDPR resta la base. Ogni volta che tratti dati personali con l'intelligenza artificiale ti servono un accordo con il fornitore (il Data Processing Agreement), un'informativa privacy aggiornata che dica che usi questi strumenti, e in molti casi una valutazione d'impatto. Le sanzioni del GDPR arrivano fino a 20 milioni di euro o al 4 per cento del fatturato globale.

L'AI Act europeo aggiunge un secondo livello, ma con una novità che pochi conoscono. Gli obblighi più pesanti, quelli per i sistemi ad alto rischio dell'Allegato III (selezione del personale, credit scoring, biometria), sono stati rinviati: con l'accordo raggiunto dai legislatori europei il 7 maggio 2026, la scadenza per questi sistemi è slittata al 2 dicembre 2027, mentre per quelli integrati nei prodotti si arriva al 2 agosto 2028 (fonte: analisi Travers Smith, maggio 2026). Tradotto: la stragrande maggioranza delle PMI, che usa l'intelligenza artificiale per marketing, customer care o produttività, non rientra nei sistemi ad alto rischio e non deve affrontare quegli adempimenti. Le sanzioni dell'AI Act, per chi ci ricade, arrivano fino a 35 milioni di euro o al 7 per cento del fatturato globale.

La legge italiana 132 del 2025, in vigore dal 10 ottobre 2025, è il terzo livello. Fissa i principi nazionali di trasparenza, non discriminazione e supervisione umana, e va letta insieme alle indicazioni del Garante per la protezione dei dati personali.

Che il Garante faccia sul serio lo dimostra il caso più noto: a OpenAI è stata comminata una sanzione di 15 milioni di euro per il trattamento dei dati degli utenti di ChatGPT, con l'obbligo di una campagna informativa di sei mesi (provvedimento del Garante privacy, novembre 2024).

I 3 errori che espongono la tua azienda

Quasi tutti i problemi reali nascono da tre comportamenti, non dalla complessità della legge.

Primo, la shadow AI. Sono i collaboratori che usano strumenti personali e gratuiti per lavorare, senza che l'azienda lo sappia. Secondo il Cost of a Data Breach Report 2025 di IBM, un'azienda su cinque ha subito una violazione legata proprio a questo uso non controllato, e il 97 per cento di chi ha avuto incidenti non aveva controlli di accesso adeguati.

Secondo, usare la versione gratuita su dati dei clienti. Nelle versioni consumer i tuoi input possono essere usati per addestrare il modello. Sui dati aziendali questo è un rischio, sui dati dei clienti è una violazione potenziale del GDPR.

Terzo, non dirlo a nessuno. Se tratti dati personali con l'intelligenza artificiale e non lo scrivi nell'informativa, sei scoperto anche quando lo strumento è perfetto. La trasparenza, prima ancora che un obbligo, è la cosa che ti protegge.

La checklist privacy per partire in sicurezza

Ecco i passi concreti per portare l'intelligenza artificiale in azienda senza esporti, anche se non sei un tecnico.

  1. Scegli gli strumenti in versione business e attiva l'opzione che esclude l'addestramento sui tuoi dati.
  2. Firma il Data Processing Agreement con ogni fornitore che tratta dati personali.
  3. Aggiorna l'informativa privacy citando gli strumenti di intelligenza artificiale che usi.
  4. Scrivi una regola interna di una pagina: cosa si può incollare nei prompt e cosa no.
  5. Forma le persone, perché il 77 per cento del rischio passa da loro.
  6. Anonimizza i dati personali prima di darli in pasto, quando puoi.

Fatti questi sei passi, sei già più avanti della maggior parte delle aziende italiane. Il punto non è rinunciare all'intelligenza artificiale per paura della privacy: è costruire il flusso giusto una volta sola, e poi lavorare tranquillo.

Domande frequenti

Posso usare ChatGPT in azienda rispettando il GDPR?

Sì. Devi usare la versione business, firmare il Data Processing Agreement, aggiornare l'informativa privacy ed evitare di incollare dati personali dei clienti nei prompt salvo che siano anonimizzati.

L'AI Act obbliga la mia PMI a fare qualcosa nel 2026?

Nella maggior parte dei casi no. Gli obblighi pesanti riguardano i sistemi ad alto rischio e sono stati rinviati al 2 dicembre 2027. Una PMI che usa l'intelligenza artificiale per marketing, vendite o produttività non rientra in quella categoria.

Quali dati non devo mai mettere in un prompt?

Dati personali identificabili dei clienti, dati sensibili come salute o dati giudiziari, contratti riservati e segreti aziendali. Se devi lavorarci, usa versioni business che non addestrano i modelli sui tuoi input.

Cosa rischio se sbaglio?

Le sanzioni del GDPR arrivano fino a 20 milioni di euro o al 4 per cento del fatturato, quelle dell'AI Act fino a 35 milioni o al 7 per cento. Il Garante italiano ha già sanzionato OpenAI per 15 milioni di euro nel 2024.

Devo nominare un responsabile della protezione dei dati?

Dipende. La nomina del responsabile della protezione dei dati è obbligatoria quando tratti dati personali su larga scala o categorie particolari. Per molte PMI non lo è, ma serve comunque un'informativa chiara e un accordo con i fornitori.

Porta l'intelligenza artificiale in azienda nel modo giusto

La privacy non è il muro che ti tiene fuori, è il modo in cui entri senza farti male. Se vuoi capire dove l'intelligenza artificiale ti fa risparmiare ore ogni settimana, e costruire i flussi giusti fin dal primo giorno, parti da qui: scopri Automatizza Tutto, l'analisi funzionale che mappa la tua azienda e ti dice esattamente cosa automatizzare con l'intelligenza artificiale.

Articoli correlati

 
La newsletter:

+70.000 iscritti ricevono almeno un consiglio a settimana su come sfruttare LinkedIn.

Iscriviti ora →

Altri articoli👇🏼:

Articoli LinkedIn nel 2026: Come Scriverli per Aumentare la Visibilità Jun 13, 2026
Intelligenza artificiale e privacy: la guida per le aziende Jun 13, 2026
LinkedIn per Agenti Immobiliari nel 2026: Come Trovare Clienti con il Personal Branding Jun 13, 2026