Se usi strumenti di intelligenza artificiale come ChatGPT, Claude o Perplexity, hai il diritto legale di sapere esattamente quali dati conservano su di te. È un diritto garantito dal GDPR all'articolo 15, comunemente chiamato Subject Access Request (SAR) o diritto di accesso ai dati personali. Vale per qualsiasi servizio che tratta dati di residenti nell'Unione Europea.

Fare questa richiesta è un esercizio istruttivo. Non perché si scopra qualcosa di scandaloso, ma perché vedere i propri dati aggregati in un unico file cambia concretamente il modo in cui si usano questi strumenti. Ho inviato la SAR a tre piattaforme AI. Ecco cosa aspettarsi, e come leggere i dati ricevuti senza cadere in interpretazioni fuorvianti.

Come presentare una Subject Access Request a ChatGPT, Claude e Perplexity

ChatGPT e Claude offrono una procedura diretta: Impostazioni → Privacy o Dati → Esporta. Entro poche ore si riceve un archivio compresso con tutte le conversazioni e i metadati associati.

Perplexity richiede di contattare il team privacy via email o modulo dedicato; i tempi di risposta sono più lunghi.

Per qualsiasi altro servizio la regola generale è: cercate la sezione Privacy nelle impostazioni, oppure scrivete al Data Protection Officer (DPO), che ogni organizzazione che tratta dati di residenti UE è obbligata ad avere. Per legge, hanno 30 giorni di tempo per rispondere.

Cosa troverete nell'archivio dati: conversazioni, metadati e memorie

Il contenuto varia leggermente per struttura ma è simile nella sostanza:

• Log completi delle conversazioni
• Metadati: timestamp, dispositivi utilizzati
• Informazioni dell'account
• Nel caso di Claude: un file memories.json con le memorie generate automaticamente dal sistema

Su quest'ultimo punto vale fare chiarezza, perché circolano alcune interpretazioni imprecise. Il file memories.json di Claude non è un "dossier psicologico" costruito per profilare l'utente a fini commerciali. È il database della funzione Memoria: una feature esplicita, documentata, modificabile e cancellabile dall'utente in qualsiasi momento dalle impostazioni. Il suo scopo è rendere le conversazioni coerenti nel tempo, esattamente come dichiarato nella documentazione pubblica di Anthropic.

Il file può contenere sintesi dettagliate di preferenze e situazioni personali. È corretto esserne consapevoli. Confondere però una funzionalità di personalizzazione con sorveglianza occulta genera allarmismo senza produrre comprensione utile.

Il nodo reale è più semplice: la quantità di informazioni sensibili che accumuliamo inconsapevolmente in questi sistemi nel corso dei mesi — dati su noi stessi, su colleghi, su clienti, su processi interni — spesso senza averci mai pensato esplicitamente.

Cosa fare con questi dati: tre livelli di risposta

Per uso personale: Revisionate periodicamente le memorie salvate ed eliminate quelle che non volete conservate. Valutate l'uso della modalità temporanea o incognito quando trattate argomenti che non volete archiviati.

Per uso professionale individuale: Distinguete tra ciò che è pertinente condividere con un sistema esterno e ciò che non lo è. Dati di clienti, informazioni riservate, dettagli su colleghi o situazioni aziendali delicate non dovrebbero transitare su piattaforme cloud consumer senza una valutazione esplicita.

Per le organizzazioni: La SAR individuale è un esercizio da proporre a un campione di dipendenti. Non per sanzionare, ma per rendere visibile a tutti — HR inclusa — quali informazioni escono dall'azienda attraverso l'uso quotidiano degli strumenti AI. È spesso il punto di partenza più efficace per costruire una policy sensata, perché trasforma un problema astratto in qualcosa di concreto e misurabile.

Una nota finale sul rapporto tra utilità e consapevolezza

Gli strumenti di intelligenza artificiale sono utili. La risposta giusta non è smettere di usarli, ma farlo con la stessa consapevolezza con cui si gestisce qualsiasi altro strumento professionale che tratta dati. Nessuno lascerebbe una cartella con dati sensibili su un tavolo pubblico; la stessa logica dovrebbe valere per un prompt.

Esercitare il proprio diritto di accesso ai dati non richiede competenze tecniche. Richiede cinque minuti e un po' di curiosità. Vale la pena.

FAQ

Cos'è una Subject Access Request (SAR)?

È la richiesta formale prevista dall'articolo 15 del GDPR che permette a qualsiasi persona residente nell'UE di ottenere copia di tutti i dati personali che un'organizzazione conserva su di lei.

Quanto tempo hanno le aziende per rispondere a una SAR?

30 giorni dalla ricezione della richiesta, prorogabili a 90 giorni in casi di particolare complessità, con obbligo di comunicare la proroga entro il primo mese.

Posso cancellare i dati che trovo nell'archivio?

Sì. Il GDPR prevede anche il diritto alla cancellazione (art. 17). Puoi richiedere la rimozione dei tuoi dati personali o, nel caso di funzionalità come la Memoria di Claude, cancellarli direttamente dalle impostazioni.

Hai trovato utile questo articolo?

Expert

Alessandro Reati 

Psicologo del lavoro e consulente direzionale certificato CMC-ICMCI, da oltre 25 anni si occupa di consulenza, formazione e coaching, guidando programmi di cambiamento e sviluppo organizzativo presso aziende nazionali e multinazionali, associazioni e istituzioni. Il focus dei suoi interventi è sulla valorizzazione delle risorse umane e della community professionale. Privilegia metodi di intervento partecipativi e basati sul coinvolgimento attivo. A lungo professore a contratto presso diverse università, è autore di numerosi articoli pubblicati su riviste scientifico-professionali e blog divulgativi e coautore di una decina di volumi. Scopri di più