I dipendenti inseriscono in ChatGPT dati sensibili come documenti aziendali, codice, informazioni clienti e dati interni. Questo espone le aziende a rischi di sicurezza, perdita di proprietà intellettuale e violazioni GDPR se non esistono policy chiare.

Infatti, chiedersi cosa ci mettono dentro i propri dipendenti è la prima domanda che dovresti porti se sei un manager, un responsabile HR, o un membro del CdA di un'organizzazione che non ha ancora una policy sull'uso degli strumenti AI.

Quanto usiamo l'AI al lavoro?

L'adozione dell'AI generativa nel lavoro quotidiano è cresciuta in modo rapido e, per molte organizzazioni, largamente non governato. Secondo il Global AI at Work Survey 2025 di BCG (condotto su oltre 10.000 lavoratori in 11 paesi) più di tre quarti dei manager e dirigenti dichiara di usare strumenti AI generativa più volte a settimana. Tra i lavoratori di prima linea la penetrazione è più bassa ma in crescita.

E quando le persone non hanno strumenti aziendali a disposizione, la stessa ricerca mostra che oltre la metà si arrangia comunque con strumenti propri. Il problema, quindi, non è se l'AI viene usata, ma è cosa ci finisce dentro e chi ne è consapevole.

Il rischio concreto

Quando un dipendente incolla in ChatGPT la bozza di un contratto per chiedere una revisione, o usa Claude per sintetizzare i risultati di un'indagine di clima interno, o chiede a Perplexity come rispondere a una mail difficile di un cliente, sta trasferendo dati aziendali, spesso sensibili, a un sistema di terze parti, frequentemente con sede fuori dall'Unione Europea.

Dal punto di vista del GDPR, questo non è un dettaglio. È una comunicazione di dati personali a un titolare autonomo del trattamento, o quantomeno un trasferimento a un responsabile esterno (art. 28).

In entrambi i casi servono basi giuridiche adeguate, contratti di data processing (DPA), e (nei casi più delicati) valutazioni d'impatto (DPIA). Le organizzazioni italiane hanno già affrontato tutto questo in modo sistematico? La risposta è, nella grande maggioranza dei casi, no.

Non è solo un problema legale

Il rischio di compliance è reale ma non è il solo. C'è un rischio competitivo spesso sottovalutato: le informazioni strategiche che escono dall'azienda attraverso prompt non strutturati non tornano indietro. Non esistono clausole di riservatezza che tengano se il dato è già stato elaborato da un modello linguistico ospitato altrove.

E poi c'è il rischio reputazionale. Se un dipendente carica dati di clienti su una piattaforma AI consumer e questo viene scoperto (da un cliente, da un'ispezione, da un giornalista) il danno non lo ripara nessuna policy scritta dopo il fatto.

Cosa fare, concretamente

Non si tratta di vietare l'AI. Sarebbe inutile e controproducente: come mostra il dato BCG, chi non ha strumenti aziendali adeguati usa comunque quelli personali. Si tratta di governarla. Alcune domande operative da portare in riunione questa settimana:

• Sappiamo quali strumenti AI stanno effettivamente usando i nostri dipendenti?
• Abbiamo firmato DPA con i principali vendor?
• Abbiamo classificato quali tipologie di dati non possono uscire dall'infrastruttura aziendale?
• Esiste una policy d'uso (anche minima) comunicata formalmente a tutto il personale?

Se la risposta a più di due di queste domande è "no" o "non lo so", è il momento di muoversi. Non perché arriverà un'ispezione del Garante domani mattina, ma perché la governance dell'AI è diventata parte integrante della governance aziendale. E chi aspetta di regolamentarla dopo il primo incidente lo fa nel modo più costoso possibile.

FAQ

Cos’è la DPA (Data Processing Agreement)?

La DPA (Data Processing Agreement) è un accordo legale tra titolare e responsabile del trattamento dei dati che definisce come i dati personali vengono gestiti, protetti e utilizzati. È fondamentale quando si utilizzano strumenti come ChatGPT in azienda, per garantire la conformità al GDPR.

Cos’è la DPIA (Data Protection Impact Assessment)?

La DPIA (Valutazione d’Impatto sulla Protezione dei Dati) è un’analisi preventiva richiesta dal GDPR per valutare i rischi legati al trattamento di dati personali. È particolarmente importante quando si introducono tecnologie come l’intelligenza artificiale, che possono comportare rischi elevati per la privacy.

È sicuro usare ChatGPT in azienda?

Sì, ma solo se vengono definite policy chiare. Senza regole sull’uso dei dati, i dipendenti possono inserire informazioni sensibili (clienti, documenti interni, codice), esponendo l’azienda a rischi di sicurezza e violazioni normative.

Quali dati non dovrebbero mai essere inseriti in ChatGPT?

Non dovrebbero mai essere inseriti dati personali, informazioni riservate, documenti aziendali interni, codice proprietario o dati strategici. Anche una condivisione involontaria può comportare perdita di controllo sulle informazioni.

Come proteggere i dati aziendali quando si usa l’AI?

Per ridurre i rischi è importante:

• definire una policy interna sull’uso dell’AI
• formare i dipendenti sui rischi
• utilizzare versioni enterprise degli strumenti
• limitare l’inserimento di dati sensibili

Hai trovato utile questo articolo?

Scritto da

Alessandro Reati 

Psicologo del lavoro e consulente direzionale certificato CMC-ICMCI, da oltre 25 anni si occupa di consulenza, formazione e coaching, guidando programmi di cambiamento e sviluppo organizzativo presso aziende nazionali e multinazionali, associazioni e istituzioni. Il focus dei suoi interventi è sulla valorizzazione delle risorse umane e della community professionale. Privilegia metodi di intervento partecipativi e basati sul coinvolgimento attivo. A lungo professore a contratto presso diverse università, è autore di numerosi articoli pubblicati su riviste scientifico-professionali e blog divulgativi e coautore di una decina di volumi. Scopri di più