Claude e GDPR: guida compliance per PMI

Claude di Anthropic è tra gli assistenti AI con il profilo privacy più solido tra quelli analizzati su questo sito. Nei prodotti commerciali Anthropic documenta DPA, ruolo da responsabile del trattamento e, per impostazione predefinita, nessun uso di input e output per training salvo feedback o opt-in specifici. Ma “migliore” non significa automaticamente “pronto all’uso senza verifiche”.

✓ Aggiornata a marzo 2026 · ✓ Fonti ufficiali Anthropic e GDPR · ✓ Non è consulenza legale

Verdetto nel nostro comparatore: tra le soluzioni con il miglior profilo privacy — Claude si posiziona in cima soprattutto nelle offerte commerciali Team, Enterprise e API.

Vedi il confronto completo con 25+ tool AI →

Cosa trovi in questa guida

DPA e piani

Nei piani commerciali, non nel piano consumer

Training dei dati

Diverso tra prodotti consumer e commercial

Server e trasferimenti

Dove vanno i dati e come documentarlo

Checklist operativa

Cosa fare prima di usarlo in azienda

Il DPA di Claude: nei piani commerciali, non nel piano consumer

Il Data Processing Agreement (art. 28 GDPR) è il contratto che definisce il ruolo di Anthropic come responsabile del trattamento sotto le tue istruzioni. Senza DPA, usare Claude su dati personali di clienti o dipendenti non è conforme al GDPR.

La distinzione fondamentale per una PMI: Claude Pro è un prodotto consumer. Non va equiparato ai prodotti commerciali di Anthropic (Team, Enterprise, API) per finalità aziendali che coinvolgono dati personali di terzi.

Piano DPA documentato Note
Claude.ai Free Solo uso personale, no dati di terzi
Claude.ai Pro ⚠️ Piano consumer — non equiparabile ai prodotti commercial per uso aziendale con dati personali
Claude.ai Team Nell’ambito dei Commercial Terms di Anthropic
Claude.ai Enterprise Commercial Terms + controlli avanzati sulla retention
API Anthropic Commercial Terms, Data Processing Addendum dedicato

Prezzi indicativi al momento della verifica editoriale. Verifica sempre i termini aggiornati e la documentazione privacy ufficiale di Anthropic prima dell’uso con dati personali.

Cos’è il DPA e perché è obbligatorio — Guida GDPR completa →

Claude usa i tuoi prompt per addestrare il modello?

È la domanda che più preoccupa le PMI. La risposta dipende dal prodotto che stai usando.

✅ Prodotti commercial (Team, Enterprise, API)

Anthropic dichiara che per impostazione predefinita non usa input e output per addestrare i modelli, salvo feedback esplicito o altri opt-in specifici.

⚠️ Piano consumer (Pro e Free)

Le garanzie dei piani commercial non si estendono automaticamente. Le condizioni d’uso consumer vanno verificate nelle impostazioni privacy e nei termini aggiornati di Anthropic.

Cosa significa in pratica per una PMI

  • Puoi inserire email di clienti, contratti, dati di dipendenti solo con un prodotto commercial (Team, Enterprise o API)
  • Pro e Free sono adatti per usi personali o con dati già anonimi
  • Con Enterprise puoi negoziare controlli aggiuntivi sulla retention dei dati

Contratti fornitori AI: le clausole da controllare →

I dati di Claude finiscono fuori dall’UE?

Anthropic è una società statunitense. La documentazione ufficiale per i prodotti commerciali indica che il traffico può essere instradato anche in Europa, ma i dati sono archiviati negli Stati Uniti per impostazione predefinita, salvo accordi o istruzioni diverse.

Per una PMI italiana questo significa che il tema dei trasferimenti internazionali va comunque valutato e documentato, anche quando si usano i piani commerciali. I trasferimenti verso gli USA sono coperti dalle Standard Contractual Clauses (SCC) dell’UE incluse nel DPA di Anthropic — ma vanno comunque registrati e comunicati agli interessati.

Cosa serve fare concretamente

📋 Registro dei trattamenti

Includi Anthropic come responsabile e indica la base del trasferimento extra-UE (SCC) nell’art. 30.

📄 Informativa privacy

Menziona Anthropic come responsabile del trattamento e il trasferimento negli USA con base SCC.

🏢 Piano Enterprise

Offre controlli avanzati sulla retention. Verifica accordi specifici sulla regione — non sono configurazione standard garantita.

Mappatura strumenti AI: come censire i tool usati in azienda →

Checklist: come usare Claude in modo conforme al GDPR

0 di 10 completati
1 Piano e DPA 0/3
Stai usando un prodotto commercial di Anthropic (Team, Enterprise o API) e non il piano consumer Pro?
Hai verificato e accettato i Commercial Terms che includono il DPA?
Hai salvato copia della documentazione contrattuale?
2 Documentazione GDPR 0/4
Il registro dei trattamenti include Anthropic/Claude come strumento AI?
→ Come fare la mappatura
La tua informativa privacy menziona Anthropic come responsabile e i trasferimenti negli USA con base SCC?
Hai documentato la base giuridica del trattamento (legittimo interesse o altro)?
Hai verificato la documentazione SCC inclusa nel DPA Anthropic?
→ Clausole da controllare nei contratti AI
3 Uso corretto in azienda 0/3
I collaboratori sanno quali dati possono inserire in Claude e con quale piano?
Esiste una policy interna sull’uso dei tool AI in azienda?
Hai valutato se il caso d’uso richiede una DPIA?
→ Quando serve la DPIA

Domande frequenti su Claude e GDPR

Non è consigliabile. Claude Pro è un prodotto consumer: le garanzie documentate da Anthropic riguardanti DPA e training si applicano ai prodotti commercial (Team, Enterprise, API). Per qualsiasi uso aziendale con dati personali di terzi è necessario passare a uno di questi piani.

Sì. Anthropic dichiara certificazioni ISO 27001, ISO 42001 e SOC 2 Type II. Questi elementi non sostituiscono il DPA GDPR, ma sono indicatori utili del livello di maturità in materia di sicurezza e compliance.

La DPIA non è automatica, ma va valutata caso per caso, soprattutto in presenza di dati sensibili, trattamenti HR, profilazione, monitoraggio o decisioni con effetti rilevanti sugli interessati. → Guida alla DPIA per strumenti AI

No, non automaticamente. Anthropic è una società USA e i dati sono archiviati negli USA per impostazione predefinita. Enterprise offre controlli avanzati sulla retention, ma il tema dei trasferimenti internazionali va comunque valutato e documentato tramite DPA e SCC.

Con un prodotto commercial e DPA attivo, tecnicamente la base contrattuale c’è. Ma i dati HR richiedono attenzione particolare: base giuridica solida, informativa aggiornata ai dipendenti, e valutazione se il caso rientra nei trattamenti che richiedono DPIA (es. decisioni automatizzate, monitoraggio sistematico).

Vuoi capire quale tool AI è giusto per la tua PMI?

Abbiamo analizzato 25+ tool AI su DPA, training, server e conformità GDPR. Claude è tra i più solidi, ma non è l’unico strumento che vale la pena considerare.

Confronta tutti i tool AI → Guida GDPR completa →

Leggi anche

Guida GDPR e AI

Obblighi del titolare, DPA, checklist operativa per PMI.
Leggi la guida →

Confronto 25+ Tool AI

DPA, training, server EU: tutti i tool a confronto per PMI.
Vedi il comparatore →

Copilot 365 e GDPR

EU Data Boundary, Graph, DPA: configurazione conforme per PMI.
Leggi la guida →

Le informazioni contenute in questa guida hanno finalità informative e non costituiscono consulenza legale. Per casi specifici — soprattutto in ambito HR, trattamenti ad alto rischio o dati sensibili — è opportuno verificare con un professionista.

Fonti e riferimenti ufficiali