Intelligenza Artificiale Tutto su AI e machine learning
Il Garante per la Protezione dei Dati Personali italiano ha pubblicato le prime linee guida operative rivolte alle aziende italiane sull’uso lecito dell’intelligenza artificiale generativa nel contesto lavorativo. Il documento rappresenta il primo contributo italiano specifico su questo tema, e si inserisce in un quadro regolatorio europeo che si sta rapidamente definendo tra l’AI Act, il GDPR e le normative settoriali. Per le aziende italiane che usano o stanno valutando l’adozione di strumenti AI generativi nei processi interni o nei servizi ai clienti, il documento del Garante è un riferimento normativo vincolante che merita attenzione.
Il contesto: perché il Garante è intervenuto sull’AI generativa
Il Garante ha già dimostrato di monitorare attivamente l’AI generativa con il blocco temporaneo di ChatGPT in Italia nel marzo 2023, risolto dopo che OpenAI ha apportato modifiche ai meccanismi di raccolta dati e trasparenza verso gli utenti. Quella vicenda ha reso evidente che gli strumenti AI generativi trattano dati personali in modo massiccio e spesso poco trasparente: i prompt degli utenti, i documenti caricati, le conversazioni storiche e i dati di utilizzo sono tutti dati che rientrano nell’ambito del GDPR.
Le linee guida ora pubblicate estendono l’intervento del Garante dal contesto consumer (uso individuale di chatbot) al contesto aziendale, dove le implicazioni privacy sono ancora più complesse. Un’azienda che usa un LLM per analizzare contratti di lavoro, processare dati di clienti, generare comunicazioni personalizzate o automatizzare processi HR sta trattando categorie di dati potenzialmente sensibili attraverso sistemi gestiti da terze parti, spesso con infrastrutture fuori dall’Unione Europea.
I punti chiave delle linee guida
Il documento affronta diversi temi operativi che ogni responsabile privacy aziendale deve conoscere. Il primo riguarda la base giuridica del trattamento: prima di adottare uno strumento AI generativo per attività che coinvolgono dati di dipendenti o clienti, l’azienda deve identificare la base giuridica del trattamento (consenso, contratto, legittimo interesse o obbligo legale) e documentarla nel registro dei trattamenti. Il legittimo interesse è frequentemente invocato, ma richiede un bilanciamento tra gli interessi aziendali e i diritti degli interessati che deve essere eseguito e documentato caso per caso.
Il secondo punto riguarda la valutazione d’impatto (DPIA): il Garante chiarisce che l’uso di AI generativa per trattamenti sistematici che coinvolgono categorie particolari di dati (salute, dati sindacali, dati biometrici) o per profilazione sistematica dei dipendenti richiede obbligatoriamente una DPIA. Molte aziende non hanno ancora eseguito DPIA per i propri strumenti AI generativi, un gap che le linee guida rendono non più ignorabile.
Il terzo punto riguarda la trasparenza verso gli interessati: dipendenti, clienti e partner devono essere informati quando interagiscono con sistemi AI generativi che trattano i loro dati, con quale finalità e per quanto tempo vengono conservati i dati di interazione. L’informativa privacy aziendale deve essere aggiornata per coprire questi trattamenti.
Il quarto punto riguarda i contratti con i fornitori AI: le aziende che usano strumenti AI generativi basati su API o piattaforme di terze parti devono verificare che i contratti con questi fornitori includano le clausole di responsabile del trattamento richieste dal GDPR (data processing agreement). Molti fornitori americani offrono DPA standard che devono essere analizzati e, in alcuni casi, negoziati. Il tema si interseca con le questioni di trasferimento internazionale dei dati, che rimangono complesse nonostante l’accordo EU-US Data Privacy Framework. Le implicazioni pratiche per le aziende si intrecciano con quanto già discusso nella nostra guida su GDPR e intelligenza artificiale.
Le pratiche vietate e quelle fortemente sconsigliate
Le linee guida identificano alcune pratiche che il Garante considera non conformi o ad alto rischio. L’inserimento diretto di dati sensibili di dipendenti (dati di salute, procedimenti disciplinari, valutazioni psicologiche) in LLM commerciali senza adeguate garanzie contrattuali è esplicitamente sconsigliato. L’uso di AI generativa per decisioni automatizzate che producono effetti giuridici significativi sui dipendenti (licenziamento, promozione, variazione contrattuale) senza intervento umano significativo viola l’articolo 22 del GDPR. Il monitoraggio sistematico dei dipendenti attraverso l’analisi AI delle comunicazioni interne richiede una base giuridica specifica e una DPIA, ed è soggetto alle norme dello Statuto dei Lavoratori sulla sorveglianza a distanza.
Come adeguarsi: le azioni prioritarie per le aziende italiane
Per le aziende già alle prese con l’adozione di strumenti AI, il primo passo pratico è la mappatura: censire tutti gli strumenti AI generativi in uso (inclusi quelli adottati autonomamente dai singoli dipendenti, il cosiddetto Shadow AI) e valutarne le implicazioni privacy. Il secondo passo è verificare e aggiornare i DPA con i fornitori AI. Il terzo è revisionare le informative privacy verso dipendenti e clienti. Il quarto è identificare i trattamenti che richiedono DPIA e avviarne l’esecuzione. Per approfondire il tema dalla prospettiva della protezione dei dati personali nell’uso quotidiano degli strumenti AI, la nostra guida su AI e privacy offre indicazioni pratiche utili sia per i privati sia per i contesti aziendali.
Conclusioni
Le linee guida del Garante Privacy italiano sull’AI generativa colmano un vuoto di riferimenti operativi nazionali che le aziende italiane attendevano. Il messaggio centrale è che l’AI generativa non è una zona franca rispetto alla normativa sulla protezione dei dati: i principi del GDPR si applicano integralmente e richiedono un approccio strutturato, non improvvisato. Le aziende che hanno già adottato strumenti AI generativi senza fare questi passi hanno ora un documento ufficiale che identifica i gap di conformità. Il testo completo delle linee guida è disponibile sul sito del Garante all’indirizzo garanteprivacy.it.
