ChatGPT in azienda e GDPR: cosa rischi davvero (e come metterti in regola)

📢 Informativa: Questa pagina contiene link affiliati. Se acquisti tramite questi link potremmo ricevere una commissione, senza costi aggiuntivi per te. Raccomandiamo solo tool che riteniamo utili per PMI e freelance.

ChatGPT GDPR aziende: un tema che riguarda sempre più PMI e freelance italiani.

Se usi ChatGPT in ufficio per scrivere email, elaborare contratti o rispondere ai clienti, potresti non essere conforme al GDPR – e forse non lo sai.

Non è un’esagerazione. Il Garante Privacy italiano ha già aperto un’istruttoria su OpenAI, sanzionando la società con 15 milioni di euro e ordinando una campagna informativa nazionale. Il messaggio è chiaro: l’uso dei tool AI in azienda ha conseguenze legali concrete.

In questa guida trovi una spiegazione pratica dei rischi reali per PMI e freelance italiani, con esempi concreti e le azioni da fare subito per essere in regola.

ChatGPT e GDPR: il caso Garante Privacy vs OpenAI

Nel marzo 2023, il Garante Privacy italiano ha bloccato temporaneamente ChatGPT in Italia — il primo paese al mondo ad aver preso un provvedimento così drastico contro un tool AI. Il blocco è durato circa un mese, fino a quando OpenAI non ha apportato alcune modifiche alle proprie pratiche.

L’istruttoria però è continuata. Nel dicembre 2024, il Garante ha chiuso il procedimento con una sanzione da 15 milioni di euro a carico di OpenAI, accompagnata dall’obbligo di realizzare una campagna informativa di sei mesi su radio, televisione e internet per informare gli italiani sui loro diritti. (Fonte: link diretto all’articolo di garante privacy.it)

Le violazioni contestate dal Garante

Secondo il provvedimento del Garante (fonte: garanteprivacy.it), le violazioni principali riguardavano tre aree:

• Assenza di base giuridica adeguata per il trattamento dei dati degli utenti usati per addestrare il modello
• Mancanza di trasparenza: nessuna informativa chiara agli utenti e ai non-utenti i cui dati erano stati raccolti
• Nessun sistema di verifica dell’età, con il rischio di esporre minori a contenuti non appropriati

Nota: Aggiornamento marzo 2026 – Il Tribunale di Roma, con sentenza n. 4153/2026 del 18 marzo 2026, ha accolto il ricorso di OpenAI avverso il provvedimento del Garante. Il provvedimento sanzionatorio è stato temporaneamente rimosso dal sito del Garante. La vicenda non è conclusa: il Garante ha già trasmesso gli atti all’autorità irlandese (DPC), che prosegue l’istruttoria per le violazioni continuative. Gli obblighi GDPR per le aziende che usano ChatGPT restano invariati.

Perché questo riguarda anche la tua azienda

La sanzione a OpenAI riguarda direttamente la società americana. Ma il GDPR impone obblighi precisi anche a te, in qualità di titolare del trattamento, nel momento in cui usi ChatGPT o altri tool AI per elaborare dati personali.

In pratica: se inserisci in un prompt il nome di un cliente, un’email, dati di un contratto o informazioni su dipendenti, stai effettuando un trattamento di dati personali. E il GDPR si applica.

Scenario 1 – Il freelance che usa ChatGPT per le email ai clienti

Stai copiando nel prompt il nome, il progetto e magari la situazione specifica di un cliente. Quei dati vengono trasmessi a server di OpenAI. Senza un Data Processing Agreement (DPA) attivo, questo non è conforme al GDPR.

Scenario 2 – La PMI che usa tool AI per la gestione dei dipendenti

Elaborare valutazioni delle performance, analizzare CV, o automatizzare risposte HR con tool AI genera obblighi specifici, inclusa in alcuni casi la DPIA (Valutazione d’Impatto) prevista dall’art. 35 GDPR.

→ Quando serve davvero una DPIA per strumenti AI

Scenario 3 – Lo studio professionale (avvocato, commercialista, medico)

Chi tratta categorie particolari di dati (dati sanitari, giudiziari, finanziari) ha obblighi ancora più stringenti. L’uso di tool AI free per elaborare questi dati è un rischio molto alto.

I 3 errori GDPR più comuni nell’uso di ChatGPT in azienda

Errore 1 – Usare la versione free senza DPA

La versione gratuita di ChatGPT non prevede un Data Processing Agreement. Questo significa che, dal punto di vista del GDPR, OpenAI non è configurato come responsabile del trattamento per tuo conto. Qualsiasi dato personale inserito è trattato secondo le condizioni di servizio standard, non secondo le garanzie del GDPR. Ai sensi dell’art. 28 del GDPR, quando un fornitore tratta dati personali per conto dell’azienda, deve essere formalmente nominato responsabile del trattamento tramite accordo scritto (Data Processing Agreement).

Approfondisci → Contratti con fornitori AI: le clausole da controllare

Attenzione: il DPA è necessario quando usi ChatGPT per trattare dati personali in modo sistematico per conto della tua attività. Se usi ChatGPT occasionalmente senza inserire dati personali (es. per redigere testi generici), il problema del DPA non si pone. La valutazione va fatta caso per caso.

Errore 2 – Non aggiornare il registro dei trattamenti

Se usi tool AI in azienda per elaborare dati di clienti o dipendenti, devi aggiornare il registro dei trattamenti. L’obbligo formale scatta per le organizzazioni con più di 250 dipendenti, ma si applica anche sotto questa soglia quando il trattamento non è occasionale, riguarda dati particolari (sanitari, giudiziari, ecc.) o comporta rischi per gli interessati – condizioni che si verificano frequentemente per studi professionali e PMI che usano AI in modo sistematico. In pratica: se usi regolarmente tool AI con dati di clienti, aggiorna il registro. Molte aziende semplicemente non lo fanno. L’art. 30 del GDPR prevede l’obbligo di tenere un registro delle attività di trattamento per le organizzazioni con più di 250 dipendenti o quando il trattamento non è occasionale. Nota: il GDPR Omnibus in discussione al Parlamento UE potrebbe modificare questa soglia, ma fino all’approvazione l’obbligo resta.

Errore 3 – Ignorare la Shadow AI

Secondo recenti analisi di settore, il 73% dei dirigenti aziendali inserisce dati sensibili negli strumenti di intelligenza artificiale. Spesso i dipendenti usano tool AI personali – anche se l’azienda non li ha autorizzati – aggirando qualsiasi controllo IT. Questo fenomeno, chiamato Shadow AI, espone l’azienda a rischi di compliance senza che il titolare ne sia consapevole.

Confronto tool AI per conformità GDPR

Non tutti i tool offrono le stesse garanzie. Ecco una panoramica dei principali strumenti:

Tool AI	DPA disponibile	Server UE	Piano richiesto	Conformità GDPR
ChatGPT	✅ Sì	⚠️ Parziale	Business / API	⚠️ Parziale
Writesonic	✅ Sì	✅ Sì	Pro / Business	✅ Buona
Claude (Anthropic)	✅ Sì	✅ Sì	Pro / API	✅ Buona
Tool free generici	❌ No	❌ No	—	❌ Non conforme

Come leggere questa tabella: la valutazione nella colonna ‘Conformità GDPR’ è un giudizio editoriale di massima basato su disponibilità del DPA, localizzazione dei server e trasparenza del fornitore. Non rappresenta un parere giuridico ufficiale. La conformità reale dipende sempre da come usi il tool, quali dati tratti e in quale contesto.

Cosa fare concretamente: 5 passi per metterti in regola

1. Fai un inventario dei tool AI che usi
   Elenca tutti i tool AI usati in azienda (anche quelli usati dai dipendenti in autonomia). Per ognuno verifica: esiste un DPA? I server sono in UE? Il piano è a pagamento?
   → Guida completa: Come fare la mappatura degli strumenti AI in azienda
2. Firma il DPA con i provider
   Per ChatGPT, il DPA è disponibile per i piani Team, Enterprise e API. Per Writesonic, è incluso nei piani Pro e Business. Per Claude di Anthropic, è disponibile via API. Se il tool non offre DPA, cambialo o smetti di usarlo per elaborare dati personali.
3. Aggiorna il registro dei trattamenti
   Aggiungi una voce per ogni tool AI che elabora dati personali. Indica: finalità del trattamento, categorie di dati, responsabile esterno (il provider del tool), misure di sicurezza adottate.
4. Forma i tuoi collaboratori
   Il rischio più alto viene spesso dai dipendenti che usano tool AI in modo non consapevole. Una policy interna semplice (anche un documento di 2 pagine) può ridurre significativamente l’esposizione.
   → AI Literacy obbligatoria: cosa devono fare le PMI
5. Aggiorna la tua Privacy Policy
   Se sul tuo sito web usi plugin AI, chatbot o servizi di terze parti che elaborano dati degli utenti, la tua Privacy Policy deve menzionarlo. Uno strumento come iubenda può aiutarti a mantenerla aggiornata automaticamente.

Domande frequenti

Conclusione

L’uso dell’AI in azienda è sempre più diffuso e inevitabile. Il punto non è evitarlo, ma gestirlo in modo consapevole e conforme al GDPR.

I passi concreti che hai visto in questa guida non richiedono un avvocato o un DPO: richiedono consapevolezza. Sapere quale versione del tool stai usando, se esiste un DPA, e se hai aggiornato la tua documentazione è già un punto di partenza molto solido.

Se vuoi capire come l’AI Act si applica alla tua PMI, leggi la nostra guida dedicata.

Se vuoi semplificare la gestione della Privacy Policy e del cookie banner del tuo sito, uno strumento come iubenda è pensato esattamente per PMI e freelance italiani che vogliono essere in regola senza complessità inutili.

Questo articolo ha finalità divulgative e rappresenta una sintesi di orientamento per PMI e freelance. Le valutazioni sui singoli tool sono giudizi editoriali di massima e non pareri giuridici. Per trattamenti su larga scala, dati sensibili o processi core business, è opportuno affidarsi a un DPO o consulente privacy qualificato.

📌 Guida settoriale: AI Act per agenzie di marketing: obblighi su contenuti AI, chatbot e profilazione →