"Ma il GDPR si applica anche all'intelligenza artificiale?"
Me l'hanno chiesto così tante volte che ho perso il conto. E ogni volta la risposta è la stessa: il GDPR non sa cosa sia l'intelligenza artificiale. Al GDPR interessa una cosa sola: come tratti i dati personali delle persone. Il resto — che tu usi carta, Excel o un modello di linguaggio da miliardi di parametri — è un dettaglio tecnico.
Eppure questo "dettaglio tecnico" sta creando un bel grattacapo a tante organizzazioni. Perché usare l'AI per gestire documenti significa, quasi sempre, trattare dati personali in modi nuovi. E spesso significa anche mandarli da qualche parte dove prima non andavano.
Come ha sottolineato l'European Data Protection Board nel suo parere sui modelli AI: "I principi del GDPR supportano un'AI responsabile". Non sono in conflitto — ma bisogna sapere come applicarli.
Vediamo di fare chiarezza.
I documenti aziendali sono pieni di dati personali (più di quanto pensi)
Prima obiezione che sento sempre: "Ma noi non trattiamo dati personali, facciamo B2B."
Aspetta. Apri un contratto a caso. Ci sono nomi e firme? Quello è un dato personale. C'è un indirizzo di consegna? Dato personale. Un riferimento a una persona di contatto con email e telefono? Dati personali. Un IBAN intestato a una persona fisica? Dato personale.
E non parliamo dei documenti HR — CV, buste paga, valutazioni delle performance — che sono praticamente al 100% dati personali. O delle pratiche legali, dove spesso ci sono anche dati sensibili: informazioni sulla salute, convinzioni religiose, appartenenza sindacale.
Morale: se gestisci documenti aziendali, gestisci dati personali. Non c'è scampo.
Cosa succede quando l'AI incontra il GDPR
Ecco dove le cose si complicano. Immagina di usare un servizio cloud per cercare informazioni nei tuoi documenti. Carichi un contratto, chiedi "quali sono le clausole di riservatezza?", ottieni una risposta.
Cosa è successo dietro le quinte? Il documento è stato inviato a un server esterno. È stato elaborato — il che significa che un algoritmo ha "letto" tutti i dati personali contenuti. È stato probabilmente memorizzato, almeno temporaneamente. E in alcuni casi — questo è il punto controverso — potrebbe essere stato usato per addestrare il modello.
Ora, secondo il GDPR, ognuno di questi passaggi è un "trattamento". E ogni trattamento richiede una base giuridica. Se i dati vengono trasferiti fuori dall'UE, servono garanzie specifiche. Se c'è profilazione automatizzata, entrano in gioco altri obblighi.
Il risultato? Quello che sembrava un semplice gesto — caricare un documento e fare una domanda — dal punto di vista privacy è un'operazione complessa che richiede contratti, verifiche, valutazioni.
Come spiega bene l'IAPP nella loro analisi sull'AI Act e GDPR, i principi fondamentali restano gli stessi: liceità, trasparenza, limitazione delle finalità, minimizzazione dei dati. Ma applicarli a sistemi AI richiede attenzione particolare.
La trappola dei "server sicuri"
Una delle frasi che mi fa più alzare le antenne è: "Tranquillo, i nostri server sono sicurissimi."
Non perché sia falsa, ma perché risponde alla domanda sbagliata. Il GDPR non chiede solo che i dati siano sicuri. Chiede che tu sappia esattamente dove sono, chi ci accede, per quanto tempo vengono conservati, e che tu possa cancellarli su richiesta.
Con molti servizi cloud, queste informazioni sono vaghe. Dove sono fisicamente i server? Dipende dal carico. Chi sono i sub-responsabili? Una lista di 40 aziende in 15 paesi. Posso cancellare i dati? Certo, ma restano nei backup per 6 mesi.
Non sto dicendo che sia illegale. Sto dicendo che la compliance diventa un esercizio burocratico continuo: DPA da firmare, clausole contrattuali da verificare, registri da aggiornare. E se qualcosa va storto — un data breach, una richiesta di accesso che non riesci a evadere — sei tu il responsabile, non il provider.
La soluzione che semplifica tutto
Sai qual è il modo più semplice per essere GDPR-compliant con l'AI documentale? Non far uscire i dati.
Se l'AI gira sulla tua infrastruttura, sui tuoi server, nella tua rete aziendale, tutta la complessità dei trasferimenti dati scompare. Non ci sono sub-responsabili da monitorare. Non ci sono trasferimenti extra-UE da giustificare. Non c'è ambiguità su dove siano i dati: sono lì, sotto il tuo controllo, punto.
Il diritto all'oblio? Cancelli il documento e non esiste più. Nessun backup in data center distribuiti dall'altra parte del mondo. Nessuna copia residua su cui non hai visibilità.
Non è solo una questione di compliance formale. È una questione di tranquillità. Quando un cliente ti chiede "ma i miei dati dove finiscono?", la risposta "restano qui, non escono mai dalla nostra rete" chiude la discussione.
"Ma l'on-premises costa troppo"
Sento spesso questa obiezione, e capisco da dove viene. L'idea di comprare hardware, installare software, gestire aggiornamenti... sembra roba da enterprise con budget milionari.
Ma le cose sono cambiate. Oggi esistono soluzioni come DocZoom che girano su hardware dedicato compatto — pensa a un dispositivo grande come un libro — e si installano in poche ore, non settimane. Il costo? Paragonabile a un paio d'anni di servizio cloud, con la differenza che dopo l'investimento iniziale i costi si riducono drasticamente.
E soprattutto: il costo della non-compliance quanto è? Come ricorda Harvard Business Review nell'analisi sull'EU AI Act, le sanzioni possono arrivare a €35 milioni o il 7% del fatturato globale per le violazioni più gravi. Il GDPR prevede fino al 4%. Un danno reputazionale da data breach può essere incalcolabile. Rispetto a questi rischi, l'investimento in una soluzione on-premises è un'assicurazione, non una spesa.
Quello che il DPO non ti dice (ma dovrebbe)
Parlo con molti Data Protection Officer, e c'è un tema ricorrente nelle nostre conversazioni: la difficoltà di tenere il passo con l'adozione dell'AI.
Il business vuole strumenti nuovi, i dipendenti iniziano a usare ChatGPT per i riassunti delle riunioni, qualcuno carica documenti su servizi esterni "solo per provare"... e il povero DPO si ritrova a rincorrere situazioni di fatto che nessuno gli aveva comunicato.
Con una soluzione on-premises, questo problema si riduce enormemente. Non perché magicamente tutti diventino disciplinati, ma perché il sistema è chiuso per design. Non c'è un modo semplice per far uscire i dati, anche volendo. È privacy by design nel senso più letterale del termine.
In pratica, cosa fare
Se stai valutando un sistema di AI documentale e la compliance GDPR ti preoccupa — come dovrebbe — ecco il mio suggerimento pratico.
Inizia a mappare i documenti che gestisci. Quanti contengono dati personali? Di che tipo? Poi chiediti: se questi documenti finissero online domani, quali sarebbero le conseguenze? Reputazionali, legali, economiche.
Se la risposta ti fa venire i brividi, l'on-premises è spesso la scelta più prudente.
Se invece gestisci solo documentazione tecnica, manuali, procedure standard... allora hai più flessibilità. Puoi valutare anche soluzioni cloud, facendo attenzione a chi scegli come provider e verificando bene il DPA.
In ogni caso, non delegare la scelta al reparto IT. La decisione su dove elaborare i dati personali è una decisione di governance, non tecnica. Il DPO deve essere coinvolto, e possibilmente anche i legali.
Se il tema prioritario è la compliance, puoi partire dalla pagina Contatti con una richiesta focalizzata su GDPR e governance dati.
