Garante Privacy blocca ChatGPT in Italia: cosa significa per le PMI e cosa fare ora (analisi del 1 aprile 2023)

Aggiornamento del 1 aprile 2023, ore 09:48 — Da ieri sera ChatGPT non si apre piu da un indirizzo IP italiano. Niente messaggio del browser, niente errore di rete: solo una schermata di OpenAI che spiega, in inglese, di aver disabilitato l’accesso per gli utenti italiani in risposta alle richieste del Garante per la protezione dei dati personali. E’ una notizia che cambia, almeno per qualche settimana, il modo in cui molte PMI italiane stavano testando l’intelligenza artificiale generativa.

In queste 48 ore abbiamo ricevuto decine di domande da imprenditori, IT director e DPO: cosa contesta esattamente il Garante? Posso usare una VPN? Mi rimborsano i 20 dollari di ChatGPT Plus? Quando tornera? Bing Chat e bloccato anche lui? Proviamo a mettere ordine, con un taglio operativo e senza scivolare nell’allarmismo. La situazione e seria ma gestibile, soprattutto se la tua azienda ha gia messo nero su bianco una policy sull’uso degli strumenti cloud.

Cronologia eventi: cosa e successo nelle ultime 48 ore

Per capire dove siamo serve ricostruire la sequenza precisa, perche provvedimento e blocco tecnico sono due cose distinte arrivate in cascata.

• 20 marzo 2023 — Data breach su ChatGPT. Per alcune ore, una parte degli utenti vede nella sidebar di sinistra titoli di conversazioni di altri utenti; in un sottoinsieme limitato emergono anche frammenti di dati di pagamento (nome, cognome, indirizzo email associato all’account, cifre parziali della carta di credito, scadenza). E’ il primo incidente di sicurezza grave di ChatGPT da quando ha utenti paganti.
• 24 marzo 2023 — OpenAI conferma pubblicamente l’incidente con un post sul proprio blog. Attribuisce la causa a un bug della libreria redis-py usata nel layer di cache. Comunica che la finestra di esposizione e durata circa nove ore e che ha contattato gli utenti potenzialmente impattati.
• 29 marzo 2023 — Il Future of Life Institute pubblica la open letter “Pause Giant AI Experiments”, firmata fra gli altri da Elon Musk, Steve Wozniak, Yoshua Bengio e centinaia di ricercatori. Non e una posizione di OpenAI, ma alza il livello del dibattito pubblico.
• 30 marzo 2023 — Il Garante Privacy adotta il Provvedimento n. 112, che dispone “in via d’urgenza” la limitazione provvisoria del trattamento dei dati personali degli interessati stabiliti nel territorio italiano da parte di OpenAI, L.L.C., per violazioni del Regolamento UE 2016/679 (GDPR).
• Sera del 31 marzo 2023 — OpenAI, in attuazione del provvedimento, sospende proattivamente l’accesso al servizio ChatGPT dagli IP italiani e per gli account registrati con residenza Italia. Il geofencing entra in funzione fra le 19 e le 21 ora italiana.
• Oggi, 1 aprile 2023 — ChatGPT risulta inaccessibile a chi si connette dall’Italia. Gli abbonati a ChatGPT Plus (20 dollari al mese, lanciato il 1 febbraio) non ricevono automaticamente alcun rimborso: il pagamento e gestito da Stripe sotto giurisdizione USA e OpenAI per ora rimanda alle policy generali del proprio servizio clienti.

Riassumendo: il provvedimento e un atto amministrativo italiano, il blocco e una scelta tecnica di OpenAI per evitare di trattare dati italiani in violazione del provvedimento. Tecnicamente OpenAI avrebbe potuto restare aperta e accettare il rischio, ma ha preferito ridurre l’esposizione. Una mossa pragmatica che pero non chiude la partita.

Cosa contesta esattamente il Garante: i 4 punti del Provvedimento

Il Provvedimento n. 112 e leggibile per intero sul sito del Garante. Le contestazioni sostanziali sono quattro e meritano di essere lette nel dettaglio, perche aiutano a capire quali sono i punti su cui OpenAI dovra muoversi per uscire dalla limitazione provvisoria.

#1 Mancata informativa agli utenti (art. 13 GDPR)

Il Garante rileva che agli utenti italiani che si registravano e ai non-utenti i cui dati sono stati raccolti per addestrare il modello non e stata fornita alcuna informativa nei termini previsti dal GDPR. Niente sulle finalita del trattamento, sui tempi di conservazione, sui diritti dell’interessato, sul responsabile del trattamento. Per OpenAI questo significa preparare un’informativa GDPR-completa, in italiano, accessibile prima della registrazione.

#2 Assenza di base giuridica per il training (art. 6 GDPR)

E’ la contestazione tecnicamente piu pesante. ChatGPT e stato addestrato su enormi corpora di testi del web pubblico, che inevitabilmente contengono dati personali (post di blog, articoli, profili, commenti). Il Garante chiede: qual e la base giuridica ex art. 6 GDPR che giustifica questo trattamento massivo? Consenso? Esecuzione di un contratto? Legittimo interesse? OpenAI dovra documentarla, e per il legittimo interesse — opzione piu plausibile — servira anche un bilanciamento d’interessi (Legitimate Interests Assessment) verificabile.

#3 Inesattezza dei dati generati (art. 5, comma 1, lett. d GDPR)

I modelli linguistici hanno la tendenza a “allucinare”: producono affermazioni false su persone reali con la stessa fluenza con cui producono affermazioni vere. Il Garante sottolinea che il principio di esattezza si applica anche all’output generato e non solo all’input. Tradotto in pratica: se ChatGPT inventa che il manager Mario Rossi e stato condannato per frode, ledendo la sua reputazione, c’e un problema di compliance prima ancora che di reputazione.

#4 Mancata verifica dell’eta dei minori

I Termini d’uso di OpenAI dichiarano il servizio riservato ai maggiori di 13 anni, ma non c’e alcun meccanismo di verifica concreta. In Italia il Codice Privacy (D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018) fissa a 14 anni la soglia per il consenso autonomo al trattamento dei dati nei servizi della societa dell’informazione. Manca, secondo il Garante, qualunque age gate tecnico — bastera con ogni probabilita introdurre un controllo robusto in fase di registrazione.

Cosa significa “limitazione provvisoria”: il tecnicismo da conoscere

L’espressione e importante. Non si tratta di un “ban” definitivo ne di una sanzione: e una misura cautelare urgente, ex art. 58, paragrafo 2, lettera f) del GDPR, che il Garante puo adottare quando ravvisa un rischio elevato per i diritti degli interessati. Quattro punti chiave:

1. OpenAI ha 20 giorni dalla notifica del provvedimento per comunicare al Garante le misure intraprese per rispondere alle contestazioni. La scadenza cade attorno al 20 aprile 2023.
2. Se la risposta di OpenAI viene valutata adeguata, la limitazione provvisoria puo essere revocata dal Garante con un secondo provvedimento. Il servizio torna accessibile.
3. Se la risposta e assente o inadeguata, il Garante puo avviare un procedimento sanzionatorio ordinario. Le sanzioni amministrative pecuniarie ex art. 83 GDPR arrivano fino al 4% del fatturato annuo globale dell’impresa. Sul fatturato 2022 di OpenAI il tetto teorico e nell’ordine di centinaia di milioni di dollari, anche se la cifra effettiva sarebbe modulata sui criteri di proporzionalita previsti dal Regolamento.
4. OpenAI ha anche la possibilita di impugnare il provvedimento davanti al Tribunale ordinario competente (art. 152 Codice Privacy). E’ un’opzione tecnicamente disponibile ma poco probabile come prima mossa: la strada del dialogo regolatorio costa molto meno.

In sintesi: la finestra utile per ricomporre la vicenda e di tre settimane circa. Saranno tre settimane intense per gli avvocati di OpenAI, e tre settimane di disagio operativo per chi aveva integrato ChatGPT nei propri workflow.

Cosa puoi fare oggi se la tua PMI usa ChatGPT

Andiamo al pratico. Se nella tua azienda — magari informalmente, magari su iniziativa di un singolo dipendente entusiasta — qualcuno stava usando ChatGPT, ecco la checklist operativa per le prossime 48-72 ore.

#1 Stop immediato all’uso di ChatGPT da postazioni italiane

Punto formale ma fondamentale: OpenAI ha disabilitato il servizio, quindi tecnicamente l’uso e gia bloccato. Pero molti hanno provato in queste ore ad aggirare il blocco con strumenti vari, e qui serve una posizione aziendale chiara.

#2 Non usare VPN per uso aziendale

Tentazione comprensibile, scelta cattiva. Aggirare un provvedimento del Garante con una VPN per finalita aziendali significa: (a) violare i Termini d’uso aggiornati di OpenAI, che ora escludono esplicitamente gli utenti italiani; (b) esporre l’azienda a una contestazione aggiuntiva qualora il Garante in futuro ricostruisca i log delle attivita; (c) creare un precedente interno difficile da disinnescare. Diverso e l’uso personale a tempo perso: ma quello e un problema individuale, non aziendale.

#3 Inventario di cosa e stato condiviso con ChatGPT

Questa e la parte che si sottovaluta. Chi nella tua azienda ha incollato cosa in ChatGPT nelle ultime settimane? Email cliente per riscriverle in tono piu formale, codice sorgente per debuggare, bozze di contratti per “fare la sintesi”, elenchi prodotto con prezzi netti per generare descrizioni marketing. Tutta roba che potrebbe essere finita — secondo i Termini di OpenAI di pre-aprile 2023 — nei dati di training futuri. Una mappatura veloce con il team aiuta a capire l’esposizione effettiva.

#4 Comunicazione interna in 24 ore

Una email semplice, di una pagina, che spiega: cosa e successo, perche temporaneamente non si usa ChatGPT, cosa fare se serve un’alternativa per un task in corso, a chi rivolgersi (IT? DPO?) per dubbi. Trasparenza e velocita oggi valgono piu di una policy formale di 30 pagine pubblicata fra due mesi.

#5 Pianifica una DPIA per l’AI generativa

La Valutazione d’Impatto sulla Protezione dei Dati (art. 35 GDPR) e richiesta per trattamenti che presentano rischi elevati per gli interessati. L’uso aziendale di AI generativa con dati di terzi rientra senza dubbio nella categoria. Anche se oggi non userai ChatGPT, prepara la DPIA: ti servira per qualunque tool AI generativa userai nei prossimi mesi (Microsoft 365 Copilot quando arrivera, Bing Chat in produzione, alternative open source, Google Bard se sbarchera in Italia).

Alternative immediate a ChatGPT ancora accessibili

Il vuoto operativo si sente, soprattutto per chi aveva imbastito un paio di workflow utili. Ecco le opzioni concrete oggi 1 aprile 2023:

• Microsoft Bing Chat (in pratica GPT-4 con interfaccia conversazionale): accessibile in Italia tramite il browser Edge con un account Microsoft. Non e stato oggetto di alcun provvedimento del Garante: Microsoft tratta i dati sotto il proprio Cloud Service Agreement, che include clausole contrattuali GDPR-compliant, un DPA standard e un quadro di responsabilita differente da quello di OpenAI L.L.C. Resta un servizio in preview con liste d’attesa, ma per molti use case copre l’80% di quello che si faceva con ChatGPT.
• Microsoft 365 Copilot: annunciato il 16 marzo 2023, integrato dentro Word, Excel, PowerPoint, Outlook, Teams. Per ora in preview ristretta a un gruppo di clienti enterprise selezionati. Disponibilita generale stimata “nei mesi a venire”. Non e un’alternativa concreta oggi, ma e quella su cui pianificare il medio periodo se sei un cliente Microsoft 365.
• Google Bard: aperto al pubblico USA e UK il 21 marzo 2023. Non ancora disponibile in Italia ne nell’Unione Europea. Anche qui geofencing reciproco: Google ha preferito attendere chiarezza sull’AI Act prima di sbarcare nel mercato unico.
• LLM open source self-hosted: GPT4All, Cerebras-GPT (rilasciato il 28 marzo da Cerebras Systems), modelli LLaMA-based su licenza ricerca. Sono l’opzione tecnicamente piu pulita dal punto di vista GDPR (dati che non escono dalla rete aziendale) ma richiedono competenze infrastrutturali non banali e qualita inferiore al GPT-4 commerciale.
• Anthropic Claude: l’API e in private beta. Anthropic non ha al momento un’interfaccia pubblica accessibile alle PMI italiane.

Una nota onesta: nessuna di queste alternative replica esattamente l’esperienza ChatGPT per il marketing copy o per la scrittura assistita. Bing Chat e quanto di piu vicino abbiamo oggi, e per uso aziendale ha il vantaggio non trascurabile di un contratto enterprise dietro.

Le 5 lezioni di policy aziendale che escono da questa vicenda

Il caso ChatGPT-Garante e un’occasione di apprendimento, non solo un fastidio operativo. Ecco le cinque lezioni che stiamo distillando con i clienti delle nostre implementazioni Odoo ERP in queste ore.

1. Il quadro regolatorio sull’AI generativa e in movimento: la policy aziendale deve essere progettata per essere aggiornata ogni 60-90 giorni, non scolpita nella pietra. La compliance e una pratica, non un documento.
2. Dati aziendali sensibili e tool AI cloud non vanno d’accordo per default: contratti, dati cliente identificabili, codice sorgente proprietario, prezzi netti, margini, organigrammi non finiscono in un servizio cloud generativo senza una DPIA preventiva e — quando possibile — un DPA dedicato con il fornitore.
3. I tool AI vanno trattati come fornitori cloud: contratto firmato, Data Processing Agreement allegato, audit annuale documentale, registro dei trattamenti aggiornato. La stretta di mano informale (“ho fatto un account aziendale gratis e lo uso io”) non e una strategia di compliance.
4. Formazione mensile dei dipendenti sulle pratiche AI sicure: 30 minuti al mese di formazione interna costano meno di una sanzione da diverse decine di migliaia di euro e riducono drasticamente i comportamenti rischiosi.
5. Aspettare 12-18 mesi prima di integrare AI generativa in processi mission-critical: gli use case sperimentali vanno benissimo da subito, l’integrazione nel back-office contabile o nella generazione automatica di documenti contrattuali no. Il sentiero e quello, ma vale la pena percorrerlo dopo aver visto come si stabilizza il quadro.

Il contesto europeo: l’AI Act sullo sfondo

Il Provvedimento n. 112 non nasce nel vuoto. Sta sullo sfondo dell’Artificial Intelligence Act dell’Unione Europea, la proposta di regolamento presentata dalla Commissione Europea nell’aprile 2021 e oggi nella fase di trilogo fra Commissione, Consiglio e Parlamento. L’approvazione finale e attesa entro la fine del 2023, con applicazione progressiva nei due anni successivi.

Cosa cambia, sinteticamente, per l’AI generativa con l’AI Act:

• obblighi di trasparenza: gli output generati da AI devono essere etichettati come tali;
• obbligo di documentazione tecnica sui dati di training e sulle limitazioni del modello;
• valutazione del rischio sistemico per i modelli con impatto su larga scala (categoria pensata esattamente per GPT-4 e simili);
• obblighi specifici per i deployer (cioe chi integra il modello in un prodotto destinato all’utente finale).

Letto in questa chiave, il provvedimento del Garante e un messaggio politico chiaro: l’Italia anticipa il futuro della governance europea sull’AI e segnala a OpenAI — e a chi verra dopo — che la compliance preventiva non e opzionale. Il messaggio implicito alle Big Tech e: la prossima volta che lanciate in Europa, fatelo con l’informativa GDPR gia pronta.

Le reazioni del mondo tech a 24 ore dal blocco

Nelle prime 24 ore le reazioni si dividono in tre filoni, che vale la pena distinguere per leggere correttamente quello che si scrive in queste ore sui media.

Sam Altman e OpenAI hanno scelto il registro conciliante. Il CEO ha twittato di rispettare la decisione del Garante e di voler collaborare, pur ritenendo (e qui la frase e elegantemente diplomatica) che OpenAI rispetti gia tutte le normative applicabili. La risposta dettagliata al provvedimento — un memo tecnico che spieghi le misure concrete — non e ancora pubblica e arrivera presumibilmente nei prossimi giorni, ben dentro la finestra dei 20 giorni.

Le associazioni di settore italiane e le voci di privacy sostengono in larga maggioranza il provvedimento. Anche chi e entusiasta dell’AI generativa riconosce che le quattro contestazioni del Garante sono tecnicamente fondate, e che la compliance preventiva da parte di OpenAI sarebbe stata facile da mettere in piedi prima del lancio italiano.

L’industria italiana e spaccata. Una parte del mondo tech protesta: si parla di “Italia fanalino di coda” e di rischio fuga delle innovazioni. Una parte del mondo legal, financial e del settore sanitario approva: c’e un sospiro di sollievo nell’idea che esista un argine concreto al free-for-all dell’AI cloud. La verita probabile e che il Garante ha agito con la frusta della novita per costringere OpenAI a un comportamento che molti altri attori hanno gia: scrivere un’informativa, dichiarare una base giuridica, mettere un age gate.

Cosa cambiera nei prossimi 30 giorni: previsione cauta

Senza fare il futurologo, ecco quello che ci aspettiamo lavorando con il calendario di tre settimane:

• 6-15 aprile: OpenAI presenta al Garante un piano concreto. Probabili contenuti: nuova informativa GDPR tradotta in italiano, dichiarazione esplicita di legittimo interesse come base giuridica per il training (con LIA documentato), age gate al momento della registrazione, meccanismo di opt-out per chi non vuole che i propri dati siano usati per l’addestramento dei modelli successivi.
• 16-20 aprile: il Garante valuta il piano. Possibili confronti tecnici e richieste di chiarimento.
• Fine aprile: scenario base — la limitazione provvisoria viene revocata, ChatGPT torna accessibile in Italia con la nuova informativa.
• Scenario alternativo: se il piano OpenAI viene giudicato insufficiente, la limitazione resta e si avvia il procedimento sanzionatorio. Tempo di chiusura: mesi.
• Pendente: la posizione degli altri Garanti UE. Francia, Germania, Spagna e Irlanda — quest’ultima e Lead Supervisory Authority per molte Big Tech — stanno osservando. Nei prossimi giorni potrebbero aprire istruttorie analoghe; alternativamente potrebbero scegliere la via del coordinamento via Comitato Europeo per la Protezione dei Dati (EDPB).

Come affrontiamo l’AI generativa nei progetti ERP dei nostri clienti

Una nota sulla nostra prospettiva di partner ufficiale Odoo Italia e di sviluppatori di soluzioni custom per PMI. La nostra filosofia sull’AI generativa, scelta ben prima del provvedimento del Garante, e questa:

• Nessuna integrazione AI “di default” nel core dei progetti ERP. Quando il cliente lo richiede, valutiamo caso per caso, sempre con una DPIA preliminare e con un’analisi del rischio.
• Integrazioni modulari opzionali: l’AI puo essere agganciata via API (Azure OpenAI Service, che ha clausole contrattuali GDPR esplicite e datacenter UE; o, in futuro, alternative europee) come funzionalita aggiuntiva attivabile in modo selettivo.
• Il cliente resta proprietario dei dati: nessun flusso automatico di dati aziendali verso modelli pubblici di training. L’integrazione AI e una scelta consapevole, documentata, revocabile.
• Filosofia “AI as feature, not foundation”: l’AI generativa aumenta produttivita su task specifici (estrazione dati da PDF, classificazione lead, riassunto thread email), ma non sostituisce la robustezza dei processi ERP. Quando l’AI non e disponibile — come oggi con ChatGPT — il gestionale continua a funzionare. Questo principio architetturale e oggi piu attuale che mai.

Se vuoi confrontarti su come strutturare una policy AI per la tua azienda o su come integrare in modo prudente la AI generativa nel tuo ERP, scrivici dalla pagina contatti: in queste settimane stiamo facendo un giro di check-up gratuiti specificamente su questo tema.

Domande frequenti dopo il blocco di ChatGPT

Posso usare una VPN per accedere a ChatGPT da Italia per il mio lavoro?

Tecnicamente la VPN aggira il geofencing, ma e una pessima idea in contesto aziendale. Prima ragione: viola i Termini d’uso aggiornati di OpenAI, che ora escludono esplicitamente gli utenti italiani. Seconda: documenti l’aggiramento di un provvedimento del Garante in un log VPN aziendale, esponendo l’impresa a una contestazione ulteriore se il Garante in futuro chiede evidenze. Terza: crei un precedente interno di “compliance creativa” che indebolisce la cultura della conformita. Quarta: per i task piu frequenti (riscrivere email, riassumere documenti, generare bozze) hai oggi Bing Chat dentro Edge con motore GPT-4. La scelta razionale e usare Bing Chat in attesa che ChatGPT rientri. Lo dico ai clienti in modo netto: la VPN per uso aziendale non vale il rischio.

ChatGPT Plus a 20 dollari al mese: posso chiedere il rimborso?

Al momento OpenAI non sta riaccreditando automaticamente i 20 dollari di chi aveva l’abbonamento Plus attivo. La procedura ufficiale e: aprire un ticket via help.openai.com chiedendo refund per “service unavailable in my region”. I primi feedback dai forum indicano che molti utenti italiani stanno ottenendo il rimborso, ma con tempi variabili (24-72 ore) e in alcuni casi solo dopo escalation. Conviene anche disattivare il rinnovo automatico nelle impostazioni dell’account, per evitare che a inizio del prossimo ciclo venga rinnovato un servizio non utilizzabile. Per i pagamenti gia effettuati nei giorni immediatamente precedenti al blocco la richiesta e particolarmente legittima e con buona probabilita di esito positivo.

Quando tornera ChatGPT in Italia?

Onestamente: nessuno puo dirlo con precisione, ma il calendario ragionevole e di 3-5 settimane. OpenAI ha 20 giorni per rispondere al Garante (scadenza intorno al 20 aprile). Se la risposta arriva nei tempi e include misure concrete — informativa GDPR italiana, dichiarazione di base giuridica, age gate, opt-out per il training — il Garante puo revocare la limitazione provvisoria con un secondo provvedimento, presumibilmente entro fine aprile o primi di maggio. Se invece la risposta tarda o e insufficiente, la situazione si allunga e si entra in territorio sanzionatorio. La nostra previsione di base — non garantita — e che ChatGPT torni accessibile in Italia entro la fine di aprile 2023, con un’esperienza utente quasi identica e qualche schermata di informativa in piu durante la registrazione.

I dati che ho inserito in ChatGPT prima del blocco sono gia finiti nel training?

Dipende. I Termini d’uso di OpenAI pre-aprile 2023 prevedono che i contenuti delle conversazioni con ChatGPT possano essere usati per migliorare i modelli successivi, salvo opt-out esplicito. Per ChatGPT Plus c’era da gennaio 2023 un’impostazione di disattivazione della cronologia (chat history) che, se attivata, comportava anche l’esclusione dal training. Per gli utenti free l’opzione non c’era. Quindi: se hai un account free e hai incollato dati aziendali sensibili nelle ultime settimane, devi assumere che potrebbero essere finiti nel pool di training futuro. In ogni caso, anche se i dati sono nel pool, recuperarli o “ripescarli” puntualmente dal modello e tecnicamente difficilissimo: ma l’esposizione esiste e va dichiarata in un eventuale incidente di sicurezza interno.

Bing Chat e la stessa cosa di ChatGPT: come mai non e bloccato?

Ottima domanda, e la risposta sta nella struttura contrattuale. Bing Chat usa lo stesso motore GPT-4 di ChatGPT, ma e erogato da Microsoft Ireland Operations Limited sotto il Microsoft Cloud Service Agreement, che include Data Processing Addendum standard GDPR, clausole contrattuali tipo per i trasferimenti extra-UE, e un quadro di responsabilita gia rodato con i clienti enterprise europei. Microsoft, in altri termini, ha gia fatto i compiti di compliance che OpenAI L.L.C. (entita statunitense, contratto consumer puro) non aveva fatto. Il Garante italiano non si e ad oggi espresso su Bing Chat: potrebbe farlo in futuro, ma per ora la posizione contrattuale di Microsoft lo rende molto piu difficile da contestare nello stesso modo.

Posso usare ChatGPT API per la mia integrazione aziendale?

Le API enterprise di OpenAI hanno un quadro contrattuale diverso da quello del servizio consumer ChatGPT: per i clienti API esiste una Data Processing Addendum, l’impegno a non usare i dati delle chiamate per addestrare i modelli generali (impostazione di default per i clienti API dal marzo 2023) e tariffe enterprise. Nonostante questo, in via prudenziale, oggi 1 aprile 2023 anche le chiamate API risultano impattate dal blocco: OpenAI ha esteso il geofencing all’intera piattaforma per gli account italiani. La nostra raccomandazione operativa: se hai un’integrazione API in produzione, considera la migrazione a Azure OpenAI Service, che offre lo stesso motore GPT-4 con datacenter UE, clausole GDPR Microsoft e — soprattutto — non e oggetto del provvedimento del Garante.

Cosa fara l’Italia se altri Garanti UE non seguono lo stesso approccio?

Il rischio di un’Italia isolata regolatoriamente esiste sulla carta, ma e meno probabile di quanto sembri. Il GDPR e una normativa europea armonizzata, e il Comitato Europeo per la Protezione dei Dati (EDPB) ha lo strumento del coordinamento e, se serve, della decisione vincolante. Nei prossimi giorni e settimane vedremo se altri Garanti (probabilmente Francia o Germania per primi) apriranno istruttorie analoghe. Anche se non lo facessero, l’OpenAI che esce dal dialogo con il Garante italiano avra in mano un kit di compliance GDPR che potra applicare proattivamente al resto dell’Unione Europea. Risultato netto, in entrambi gli scenari: una OpenAI piu conforme al GDPR, almeno sul lato dell’informativa, della base giuridica e dell’age gate. Il provvedimento italiano, vincente o no nel breve, ha gia spostato l’asticella regolatoria globale.

In sintesi: tre cose da fare questa settimana

Per chiudere con un piano semplice e azionabile per la tua PMI nei prossimi sette giorni:

1. Comunicazione interna: invia oggi o lunedi una email ai dipendenti con la posizione aziendale sull’uso di ChatGPT. Includi un cenno alle alternative consentite (Bing Chat dentro Edge, se c’e gia il browser disponibile) e a chi rivolgersi per dubbi.
2. Audit veloce dell’esposizione: chiedi ai capi area di censire informalmente cosa e stato condiviso con ChatGPT nelle ultime quattro settimane. Non serve un foglio di calcolo: una mezzora di conversazione con il team commerciale, il team IT e il team marketing copre l’80%.
3. Pianifica la DPIA: contatta il DPO (interno o esterno) per impostare entro fine aprile una valutazione d’impatto sull’uso aziendale di AI generativa. La userai per ChatGPT quando tornera, per Bing Chat, per Microsoft 365 Copilot quando arrivera, per qualunque tool AI generativa verrai a contatto nei prossimi 18 mesi.

Per approfondire il contesto: abbiamo gia analizzato in dettaglio cosa cambia con l’arrivo di GPT-4 per le PMI italiane, la corsa AI tra Google, Microsoft e OpenAI nel febbraio 2023, una guida pratica all’uso di ChatGPT per PMI italiane e il quadro completo della cybersecurity per PMI italiane nel 2023. La compliance non e un freno all’innovazione: e l’infrastruttura che permette all’innovazione di durare.