Copilot 365 e GDPR: configurazione conforme per PMI

Microsoft 365 Copilot ha un DPA solido e opera dentro il perimetro contrattuale di Microsoft 365, il che lo rende più gestibile di molti altri tool AI per chi ha già un’infrastruttura M365. Ma operare “dentro M365” non significa “automaticamente conforme”: la conformità GDPR dipende da come lo configuri e da quali funzionalità attivi.

✓ Aggiornata a marzo 2026 · ✓ Fonti ufficiali Microsoft e GDPR · ✓ Non è consulenza legale

⚠️ Novità gennaio 2026: Da gennaio 2026 Anthropic è ufficialmente subprocessor di Microsoft per alcuni scenari Copilot. Nei tenant UE, EFTA e UK i modelli Anthropic risultano disattivati di default e richiedono opt-in amministrativo. Quando attivati, restano coperti da Product Terms, DPA ed Enterprise Data Protection di Microsoft — ma sono esclusi dall’EU Data Boundary.

Leggi la nostra analisi su Claude e GDPR →

Cosa trovi in questa guida

DPA e perimetro

Cosa copre il DPA Microsoft e quando si applica

EU Data Boundary

Quando i dati restano in Europa (e le eccezioni)

Il nodo Graph

L’accesso ai dati aziendali è il rischio critico

Configurazione conforme

11 punti operativi per le PMI

Il DPA di Microsoft 365 Copilot: cosa copre davvero

Microsoft 365 Copilot e Microsoft 365 Copilot Chat, quando usati con account Entra ID nell’ambito delle offerte commerciali Microsoft, rientrano nei Product Terms e nel Data Processing Addendum (DPA) di Microsoft. Non è un documento da negoziare: è incluso automaticamente per i clienti commercial che usano Microsoft 365 con account organizzativo.

🔒 No training

Per Microsoft 365 Copilot e Copilot Chat usati in ambito organizzativo con account Entra ID, Microsoft dichiara che prompt, risposte e dati accessibili tramite Microsoft Graph non vengono usati per addestrare i foundation models.

📋 Sicurezza e governance

Misure tecniche e organizzative documentate (ISO 27001, ISO 42001, SOC 2 Type II), SCC per trasferimenti extra-UE, log di audit e strumenti di governance tramite Microsoft Purview.

La distinzione fondamentale: il DPA si applica a Copilot usato con account Entra ID (account aziendale). Il Copilot consumer — accessibile con account personale Microsoft — ha termini diversi e non è soggetto al DPA enterprise.

Versione DPA incluso Note
Microsoft Copilot (account personale consumer) Termini consumer, nessuna protezione enterprise
Microsoft 365 Copilot Chat con account Entra ID Enterprise Data Protection, no training su dati organizzativi
Microsoft 365 Copilot (licenza add-on M365) DPA completo + Purview, audit log, governance avanzata

Il DPA Microsoft è aggiornato periodicamente. La versione attuale (settembre 2025) è scaricabile su microsoft.com/licensing/docs.

Contratti fornitori AI: le clausole da controllare →

I dati di Copilot restano in Europa? Dipende da cosa attivi

Per i clienti UE, Microsoft dichiara che Microsoft 365 Copilot rientra nell’EU Data Boundary. Questo riduce in modo importante il rischio di trasferimenti extra-UE per il core del servizio, ma non sostituisce la verifica delle eccezioni e delle funzionalità attive nel tuo tenant.

Le eccezioni rilevanti da gestire

🔍 Bing web search

Quando Copilot accede al web, le query passano al servizio Bing — che opera con un regime documentale separato da Microsoft 365, soggetto a Microsoft Privacy Statement e Microsoft Services Agreement — e non rientra nell’EU Data Boundary. Valuta se disabilitarlo dall’Admin Center.

🤖 Modelli Anthropic

Da gennaio 2026 Anthropic è subprocessor di Microsoft. Nei tenant UE, EFTA e UK sono off by default: richiedono opt-in esplicito dell’amministratore. Se attivati, restano nel perimetro DPA Microsoft ma sono esclusi dall’EU Data Boundary.

🔌 Agent e plugin

L’EU Data Boundary non è una copertura indistinta di ogni componente. Agent e plugin di terze parti seguono regole documentali proprie e vanno valutati separatamente, verificando le rispettive privacy policy prima dell’installazione.

Mappatura strumenti AI: come censire i tool usati in azienda →

Il rischio specifico di Copilot: accede a tutto ciò a cui l’utente ha accesso

Questo è il punto che distingue Copilot 365 da tutti gli altri tool AI — ed è anche il suo principale rischio GDPR.

Copilot accede in tempo reale ai dati di M365 tramite Microsoft Graph: email, calendario, documenti SharePoint, Teams, chat. Rispetta i permessi dell’utente — vede solo quello che l’utente può vedere. Ma se un utente ha accesso a cartelle SharePoint con dati personali di clienti o dipendenti, Copilot può includere quei dati nelle risposte.

⚠️ Il problema di oversharing

In molte organizzazioni i permessi SharePoint non sono configurati con granularità. Dati condivisi troppo ampiamente diventano accessibili a Copilot. È un problema di data minimization (art. 5 GDPR) che Copilot porta in superficie ma non crea — esisteva già nell’infrastruttura.

✅ Cosa fare concretamente

Un audit delle autorizzazioni SharePoint prima dell’attivazione è fortemente raccomandato. Microsoft fornisce SharePoint Advanced Management e Microsoft Purview. Valuta anche sensitivity labels e policy DLP per limitare come Copilot usa dati particolarmente sensibili.

DPIA per strumenti AI: quando serve davvero →

Come configurare Copilot 365 in modo conforme al GDPR

0 di 11 completati
1 Prima dell’attivazione 0/4
Hai verificato che gli utenti accedano con account Entra ID (aziendale) e non account personale Microsoft?
Hai condotto un audit delle autorizzazioni SharePoint per identificare contenuti a rischio di oversharing?
Hai valutato se serve una DPIA, tenendo conto dell’accesso a email, documenti e dati HR tramite Graph?
→ Quando serve la DPIA
Hai valutato sensitivity labels e policy DLP di Purview per limitare l’uso di dati particolarmente sensibili da parte di Copilot?
2 Configurazione Admin Center 0/4
Hai valutato se disabilitare la ricerca web in Copilot per evitare che dati aziendali passino al servizio Bing?
Hai verificato le impostazioni relative ai modelli Anthropic (off by default nei tenant UE, esclusi dall’EU Data Boundary se attivati)?
Hai abilitato i log di audit tramite Microsoft Purview per monitorare le interazioni Copilot?
Hai verificato le impostazioni per agent e plugin di terze parti attivi nel tenant, incluse le rispettive privacy policy?
3 Documentazione GDPR 0/3
Il registro dei trattamenti (art. 30) include Microsoft/Copilot come strumento AI con accesso a Graph?
→ Come fare la mappatura
La tua informativa privacy menziona Microsoft come responsabile del trattamento per Copilot?
I collaboratori sono stati informati di quali dati Copilot può vedere e come usarlo correttamente?

Domande frequenti su Copilot 365 e GDPR

Permangono valutazioni critiche da parte di alcune autorità europee, in particolare la Conferenza tedesca delle autorità di protezione dei dati (DSK), soprattutto su trasparenza, ruoli privacy e sufficienza contrattuale. Per la maggior parte delle PMI il quadro Microsoft può comunque essere gestibile, ma per trattamenti ad alto rischio, settore pubblico o contesti particolarmente sensibili può essere necessaria una valutazione più approfondita. È opportuno monitorare anche le indicazioni del Garante Privacy italiano, che può esprimere valutazioni proprie indipendenti dalla DSK.

La DPIA non è automatica; va valutata caso per caso, soprattutto con dati HR, dati sensibili, monitoraggio, profilazione o trattamenti ad alto impatto. Copilot accede a una grande quantità di dati aziendali tramite Graph e questo configura un trattamento che merita una valutazione attenta. Se la tua organizzazione ha già una DPIA per Microsoft 365, puoi aggiornarla per includervi Copilot piuttosto che redigerla da zero. → Guida alla DPIA per strumenti AI

Sì: Copilot vede solo i dati a cui l’utente ha già accesso tramite i suoi permessi M365. Il problema non è che Copilot aggira le autorizzazioni, ma che in molte organizzazioni le autorizzazioni SharePoint sono troppo permissive. Prima dell’attivazione è fortemente raccomandato un audit con gli strumenti Microsoft (SharePoint Advanced Management, Purview).

Per Microsoft 365 Copilot e Microsoft 365 Copilot Chat usati con account Entra ID in ambito organizzativo, Microsoft dichiara che prompt e risposte non vengono usati per addestrare i foundation models. Questa dichiarazione vale per il perimetro enterprise con Enterprise Data Protection attivo e non va automaticamente estesa a tutti i prodotti consumer o ad altri Copilot verticali con marchio diverso.

Ogni utente accede tramite Copilot solo ai dati a cui ha già i permessi — non può vedere le email di un collega a meno che non abbia già accesso alla sua casella. Tuttavia, l’uso di Copilot su dati HR richiede che i dipendenti siano informati nell’informativa privacy interna e in una policy d’uso aziendale. Nei contesti con forte presidio sindacale, o dove l’uso di Copilot si intreccia con attività di monitoraggio o valutazione del lavoro, può essere opportuno verificare anche gli eventuali profili di informazione interna e confronto con le rappresentanze dei lavoratori.

Vuoi confrontare Copilot con gli altri tool AI per conformità GDPR?

Abbiamo analizzato 25+ tool AI su DPA, training, server e conformità GDPR. Copilot ha un profilo solido se configurato correttamente — ma non è l’unica opzione enterprise.

Confronta tutti i tool AI → Guida GDPR completa →

Leggi anche

Guida GDPR e AI

Obblighi del titolare, DPA, checklist operativa per PMI.
Leggi la guida →

Confronto 25+ Tool AI

DPA, training, server EU: tutti i tool a confronto per PMI.
Vedi il comparatore →

Claude e GDPR

DPA, training e trasferimenti extra-UE: guida compliance per PMI.
Leggi la guida →

Le informazioni contenute in questa guida hanno finalità informative e non costituiscono consulenza legale. Per casi specifici — soprattutto in ambito HR, trattamenti ad alto rischio o dati sensibili — è opportuno verificare con un professionista.

Fonti e riferimenti ufficiali