OpenAI risponde al Garante Privacy: cosa ha promesso e cosa significa per le PMI italiane (7 aprile 2023)

Sono passate 168 ore dal Provvedimento n. 112 del Garante per la Protezione dei Dati Personali, e ChatGPT è ancora inaccessibile dall’Italia. Ieri, 6 aprile 2023, OpenAI ha rotto un silenzio operativo di quasi una settimana presentando al Garante un piano dettagliato di cinque misure di adeguamento. La risposta è arrivata via comunicato stampa congiunto con l’Autorità, in un linguaggio sorprendentemente collaborativo per due soggetti che, fino a sette giorni fa, parlavano lingue regolatorie diverse.

L’articolo ricostruisce cosa è successo davvero in queste 168 ore, analizza le cinque misure proposte, individua i nodi che restano aperti e — per chi gestisce una PMI italiana — propone un piano operativo concreto per le prossime 2-3 settimane, mentre la situazione resta in evoluzione.

168 ore: la cronologia precisa dal blocco alla risposta

Per leggere la risposta di OpenAI serve avere chiara la sequenza esatta degli eventi. Procediamo in ordine:

• Giovedì 30 marzo 2023 — pomeriggio. Il Garante Privacy adotta il Provvedimento n. 112/2023, una misura di limitazione provvisoria del trattamento ex art. 58 GDPR. Quattro le contestazioni: assenza di informativa adeguata, mancanza di base giuridica per il training, inesattezza dei dati personali generati, assenza di verifica dell’età degli utenti.
• Venerdì 31 marzo — serata. OpenAI non attende i 20 giorni del Provvedimento. Disattiva proattivamente l’accesso a ChatGPT dagli indirizzi IP italiani entro le 23:00. Chi tenta di collegarsi vede un messaggio che cita esplicitamente il Garante.
• Sabato 1 e domenica 2 aprile. Silenzio operativo. Sam Altman pubblica su Twitter due messaggi conciliativi (“ovviamente rispetteremo le norme italiane, anche se pensiamo di essere in regola”). Nessuna comunicazione formale.
• Lunedì 3 — mercoledì 5 aprile. Indiscrezioni di stampa anticipano un’apertura del dialogo. Il Wall Street Journal riporta di “team legali OpenAI in contatto continuo con consulenti italiani”. Nessun atto pubblico.
• Giovedì 6 aprile. Comunicato congiunto Garante–OpenAI: l’azienda statunitense propone un pacchetto di misure. Il presidente del Garante Pasquale Stanzione parla di “approccio costruttivo, ora valuteremo”.
• Oggi, venerdì 7 aprile. ChatGPT resta inaccessibile dall’Italia. Il Garante non ha ancora comunicato la propria valutazione. Le misure proposte sono pubbliche e analizzabili.

Il dato da fissare: la risposta non è uno sblocco. È una proposta tecnica che il Garante deve ancora esaminare. La decisione è attesa nei prossimi 5-7 giorni.

Le cinque misure proposte da OpenAI: analisi punto per punto

Il piano consegnato al Garante si articola in cinque interventi. Tre sono già pronti o lo saranno entro pochi giorni; due hanno tempistiche più lunghe.

Misura 1 — Nuova informativa privacy compliant con il GDPR

OpenAI ha pubblicato un’informativa rivista su openai.com/privacy con una sezione dedicata agli utenti europei. Il documento esplicita la base giuridica del trattamento (legittimo interesse per il training, esecuzione del contratto per l’erogazione del servizio), elenca i diritti dell’interessato, indica un contatto del DPO designato e descrive le categorie di dati trattati e i tempi di conservazione. Il limite: l’informativa parla del presente, non rimedia ai trattamenti già avvenuti.

Misura 2 — Form di opt-out dal training per gli utenti europei

Entro pochi giorni gli utenti europei potranno compilare un modulo per chiedere che le proprie conversazioni future non siano utilizzate per addestrare i modelli. Funziona prospetticamente, non retroattivamente: i dati eventualmente già confluiti nei pesi di GPT-3.5 e GPT-4 (cutoff settembre 2021) restano dove sono, perché tecnicamente non sono “estraibili” da una rete neurale addestrata.

Misura 3 — Verifica dell’età al login

Pop-up al primo accesso che chiede conferma di età superiore a 18 anni, oppure di età compresa tra 13 e 18 anni con consenso dei genitori. È una verifica autodichiarativa, non una age verification con documento. Una soluzione minimale ma allineata a ciò che fanno la maggior parte dei social network statunitensi; il Garante in passato ha chiesto misure più stringenti ad altri operatori (TikTok, Replika), quindi questo punto è il più esposto a richieste di rafforzamento.

Misura 4 — Canale email dedicato al Garante

OpenAI ha attivato un indirizzo email specifico per gestire le richieste di cancellazione o correzione di dati personali eventualmente generati in modo errato da ChatGPT su persone fisiche. È il punto più delicato dal punto di vista tecnico: cancellare un’informazione errata da un LLM non è come cancellare una riga da un database, ma OpenAI si impegna a intervenire sull’output del sistema (filtri o blocchi) quando l’errore è confermato.

Misura 5 — Riconoscimento del Garante italiano come Lead Supervisory Authority

È la concessione più rilevante sul piano simbolico. Tradizionalmente, sotto il GDPR la lead supervisory authority è l’autorità del paese in cui il titolare ha lo stabilimento principale. OpenAI non ha stabile organizzazione nell’Unione Europea (Dublino è del concorrente Microsoft/Azure, non di OpenAI), quindi la scelta della lead non è automatica. Riconoscendo il Garante italiano, OpenAI accetta che eventuali procedimenti futuri in altri Stati membri passino per Roma. Per il Garante è un risultato politico significativo: porta a casa la centralità del proprio Provvedimento.

Cosa NON è stato risolto: i quattro nodi ancora aperti

Il piano è coerente con le quattro contestazioni del Provvedimento, ma una lettura attenta mostra che alcuni problemi strutturali restano. Vale la pena nominarli con precisione, perché incidono sul rischio compliance per chi userà ChatGPT in azienda dopo l’eventuale sblocco.

• Base giuridica del training originario. I dataset che hanno addestrato GPT-3.5 e GPT-4 fino al cutoff di settembre 2021 contengono — quasi certamente — dati personali raccolti da web senza che gli interessati ne fossero a conoscenza. L’opt-out funziona da oggi in avanti; non sana il pregresso. Una pronuncia successiva del Garante (o di altre autorità europee) su questo punto potrebbe arrivare comunque.
• Inesattezza dell’output. ChatGPT continua a generare informazioni false su persone reali (“hallucinations”). Il canale email per le segnalazioni è un rimedio reattivo, non sistemico: chiunque sia descritto erroneamente non ha un meccanismo automatico di correzione.
• Data residency europea. I dati delle conversazioni transitano e sono archiviati su infrastruttura statunitense. OpenAI ha dichiarato di “valutare” server europei, ma senza impegni temporali. Il quadro post-Schrems II sui trasferimenti extra-UE resta non risolto.
• Trasparenza algoritmica. Architettura, parametri e dataset di training di GPT-4 restano segreti. È una scelta legittima sul piano concorrenziale (Microsoft ha investito 10 miliardi proprio per quel know-how), ma blocca qualsiasi audit indipendente sulla qualità del trattamento dati.

Detto altrimenti: la risposta di OpenAI mette toppe efficaci ai punti procedurali del Provvedimento (informativa, age check, canale di reclamo), ma lascia aperti i temi più sistemici.

Cosa succederà nei prossimi 7-14 giorni: tre scenari

Il Garante ha ora la palla. Sulla base dei precedenti — il caso Replika di febbraio 2023 è il più recente — i tempi tecnici di valutazione sono dell’ordine di 5-10 giorni lavorativi. Tre scenari plausibili:

• Scenario A — Accettazione sostanziale (probabilità: alta). Il Garante prende atto delle misure, chiede magari un rafforzamento marginale sull’age check (verifica con documento per gli account creati ora, non solo autodichiarazione), e autorizza il riavvio del servizio. Sblocco verosimile tra fine aprile e i primi giorni di maggio. Resta aperta una procedura istruttoria sul pregresso.
• Scenario B — Negoziato esteso. Il Garante chiede integrazioni significative (es. impegno su data residency, age verification rinforzata, retroattività parziale dell’opt-out per gli utenti che hanno già usato ChatGPT in Italia). Sblocco posticipato a metà-fine maggio. Probabilità media.
• Scenario C — Procedura sanzionatoria piena. Il Garante ritiene le misure insufficienti e avvia un procedimento ex art. 83 GDPR. Sanzione fino al 4% del fatturato globale OpenAI. Improbabile sul breve termine, ma non escludibile sul medio.

Lo scenario A è quello su cui il mercato sta scommettendo: i titoli Microsoft (azionista) non hanno mostrato volatilità anomala nelle ultime 48 ore. Ma per una PMI italiana che deve decidere se rimettere ChatGPT nel proprio flusso operativo, lo scenario B è quello su cui pianificare prudenzialmente.

L’effetto domino europeo: cosa stanno facendo le altre autorità

Il Provvedimento del Garante italiano non è rimasto isolato. Nelle ultime due settimane abbiamo visto reazioni in catena dalle altre autorità europee, ed è ragionevole attendersi un coordinamento a livello EDPB nelle prossime settimane.

• Francia — CNIL. Ha aperto un’indagine nei primi giorni di aprile, dopo aver ricevuto cinque denunce formali da utenti francesi. La CNIL ha tradizione interventista (è stata la prima a sanzionare Google per il GDPR nel 2019) e potrebbe seguire da vicino l’esito italiano.
• Germania — Conferenza dei DPA dei Länder. Il commissario federale BfDI ha dichiarato di “valutare la possibilità di un blocco analogo a quello italiano”. La struttura federale tedesca rende le decisioni più lente, ma se arriverà sarà rilevante.
• Irlanda — DPC. Punto delicato: l’Irlanda è la sede europea di Microsoft (che integra GPT-4 in Bing) e di molti altri Big Tech. La DPC ha competenza naturale come lead authority per chi ha stabile organizzazione a Dublino, ma OpenAI direttamente lì non c’è. La DPC starà osservando il riconoscimento del Garante italiano come lead da parte di OpenAI con interesse.
• Spagna — AEPD. Indagine aperta, profilo simile a quello francese.
• EDPB (European Data Protection Board). Nei circoli specialistici si dà per probabile l’istituzione, nei prossimi giorni, di una task force di coordinamento sui chatbot AI generativi. Sarebbe il primo strumento di coordinamento europeo su LLM e GDPR.

La traiettoria è chiara: l’Italia ha fatto da apripista a un’azione regolatoria che potrebbe diventare paneuropea entro l’estate. Per una PMI italiana questo significa che, anche dopo l’eventuale sblocco di ChatGPT, l’ambiente normativo continuerà a evolvere — e probabilmente irrigidirsi.

Cosa fare se la tua PMI usava ChatGPT: il piano operativo a 30 giorni

Per chi nelle scorse settimane aveva iniziato a integrare ChatGPT in qualche flusso di lavoro, ecco un percorso operativo concreto. Cinque azioni, ordinate per urgenza.

1. Stop definitivo all’uso aziendale finché il Garante non si pronuncia. Niente VPN, niente account esteri intestati ai dipendenti, niente bypass. L’uso “creativo” del blocco genera responsabilità individuali e aziendali sproporzionate rispetto al beneficio.
2. Inventario dell’uso pregresso. Chi nel team ha usato ChatGPT per task aziendali nelle ultime 4-6 settimane? Quanti account aziendali (intestati a dominio @azienda.it) sono stati creati? Quanti account personali sono stati usati per attività lavorative? Un foglio Excel basta: nome, account, periodo, tipologia di task.
3. Audit dei dati condivisi. Per ciascun utente identificato, ricostruire — anche per stima — la natura dei dati inseriti nelle conversazioni. Dati personali di clienti? Bozze di contratti? Codice sorgente? Strategie commerciali? Questo è il presupposto per le valutazioni successive.
4. Valutazione data breach. Se sono confluiti in ChatGPT dati personali di terzi (clienti, fornitori, dipendenti) senza base giuridica adeguata, ricorre il tema della notifica al Garante ex art. 33 GDPR. La materia è nuova e l’incertezza è alta: il consiglio è coinvolgere il DPO o un consulente privacy esterno prima di procedere a una notifica avventata o a una non-notifica imprudente.
5. DPIA per l’uso futuro. Per quando ChatGPT (o un equivalente) tornerà utilizzabile in azienda, predisporre una Data Protection Impact Assessment dedicata all’AI generativa: 8-15 pagine che identificano rischi, mitigazioni, base giuridica, finalità, tempi di conservazione, categorie di dati trattabili e — soprattutto — categorie escluse (dati particolari ex art. 9, dati di terzi senza consenso, segreti aziendali).

Questo percorso vale a maggior ragione se in azienda è già nominato un DPO: il caso ChatGPT è esattamente il tipo di scenario che giustifica la sua esistenza e che andrà documentato in modo tracciabile.

Le alternative ancora accessibili dall’Italia

Mentre attendi lo sblocco, esistono strumenti AI generativi già oggi utilizzabili dall’Italia. Sintesi pratica:

• Microsoft Bing Chat (basato su GPT-4). Accessibile tramite browser Edge, attivo regolarmente in Italia. La differenza giuridica è sostanziale: Microsoft tratta i dati sotto il proprio Cloud Service Agreement con clausole GDPR specifiche e una struttura contrattuale enterprise più matura di quella di OpenAI. Il Garante non ha aperto procedimenti su Bing Chat. Caveat: Bing Chat è gratuito nella versione consumer; per uso aziendale strutturato serve comunque una valutazione contrattuale.
• Microsoft 365 Copilot. Annunciato il 16 marzo 2023, è in preview limitata per clienti enterprise selezionati. Non è disponibile in modo generalizzato. Per le PMI è un’opzione da osservare, non da implementare oggi.
• Google Bard. Lanciato pubblicamente il 21 marzo 2023 negli Stati Uniti e nel Regno Unito; non disponibile in Italia.
• GitHub Copilot. Strumento di assistenza alla scrittura di codice. Non impattato dal Provvedimento, in uso regolare dagli sviluppatori italiani. Anche qui valgono però le precauzioni sui dati: non incollare codice proprietario sensibile senza una policy chiara.
• Modelli open source self-hosted. GPT4All, Cerebras-GPT, LLaMA (la versione 1, in licenza di ricerca): opzioni tecnicamente accessibili a chi ha competenze interne, performance inferiori ai prodotti commerciali ma dati che restano on-premise. Per use case mirati (es. classificazione testi, summarization) sono valutabili.

La regola pratica per i prossimi 30 giorni: se serve un LLM per task aziendali, scegliere Bing Chat con cautela (mai dati personali di terzi, mai segreti aziendali), oppure attendere.

Cinque lezioni di policy aziendale dal caso ChatGPT

Indipendentemente da come si chiuderà il caso italiano, alcune lezioni sono già consolidate e meritano di entrare nelle policy aziendali a partire da oggi.

1. I tool AI generativi cloud sono fornitori cloud. Vanno trattati come tali: contratto, clausole GDPR, registro dei trattamenti, valutazione del trasferimento extra-UE, DPA firmata. Il salto di “ma è solo una chat” non regge giuridicamente.
2. Data classification rigorosa. Definire — e scrivere — quali categorie di dati possono essere inserite in tool AI cloud (solo dati pubblici o anonimi) e quali no (dati personali di terzi, dati particolari, segreti industriali, codice proprietario). Comunicare le categorie ai dipendenti in modo esplicito.
3. Contratti enterprise con DPA esplicita. Quando l’uso passa da sperimentale a strutturale, l’account consumer non basta più. Servono contratti business con Data Processing Agreement, SLA, e clausole sull’uso dei dati per il training.
4. Formazione annuale sulla privacy. Il GDPR la richiedeva già dal 2018, il caso ChatGPT la rende inevitabile. Mezza giornata l’anno per ogni dipendente, focus 2023 sull’uso degli strumenti AI.
5. Monitoraggio dello shadow IT. Quanti tuoi dipendenti hanno aperto un account ChatGPT personale e lo usano per lavoro? Probabilmente più di quanti pensi. La policy va accompagnata da strumenti di rilevazione (DNS logging, mobile device management, SIEM in aziende più strutturate).

Cosa cambia per ERP, CRM e software gestionali

Il caso ChatGPT impatta indirettamente anche sui roadmap dei vendor di software gestionali. In poche settimane molti hanno rivisto i piani di integrazione AI:

• Microsoft Dynamics 365. L’integrazione Copilot 365 è stata annunciata in preview limitata, ma con riferimenti espliciti alle clausole GDPR Azure e alla data residency configurabile. Microsoft ha vantaggio competitivo proprio sull’aspetto enterprise.
• Salesforce. Ha annunciato Einstein GPT come estensione del proprio Einstein AI già esistente. La data residency è configurabile a livello di tenant. Approccio cauto ma in roadmap pubblica.
• SAP. Ha comunicato un piano di integrazione AI generativa con tempistiche “in roll-out nel 2024”, senza commitment specifici. Tipico approccio SAP: lento ma corredato di garanzie enterprise.
• Odoo. Approccio modulare. Nessuna integrazione di ChatGPT “by default” nei moduli core. Filosofia open-source: lasciare al cliente la scelta deliberata di integrare (o non integrare) un layer AI, con la responsabilità che ne consegue.

Per una PMI che sta valutando un nuovo gestionale in questo momento, l’indicazione è chiara: aspettare 6-12 mesi prima di committarsi a una soluzione AI integrata “stretta”. Il quadro normativo è in evoluzione rapida, e una scelta tecnologica fatta oggi su una promessa di integrazione AI rischia di trovarsi disallineata con i requisiti regolatori che usciranno nei prossimi 12 mesi.

Come Brentasoft sta gestendo questo momento

Il nostro approccio è coerente con la filosofia Odoo ERP che proponiamo da anni: open-source, modulare, cliente proprietario dei propri dati. Su AI generativa concretamente:

• Nessuna integrazione “by default” di tool AI cloud nei progetti correnti. Il cliente che richiede esplicitamente un’integrazione la riceve, ma come scelta documentata, non come opzione attivata di default.
• Quando integriamo OpenAI, usiamo le API Azure OpenAI (non le API OpenAI pubbliche), proprio per la DPA enterprise Microsoft, la data residency configurabile e il regime contrattuale più maturo.
• DPIA preliminare obbligatoria per ogni progetto che prevede l’inserimento di dati personali in un layer AI. Lo facciamo prima di scrivere il primo task del progetto, non a posteriori.
• Monitoraggio dell’evoluzione regolatoria. Stiamo aggiornando settimanalmente la nostra checklist interna sulla base degli sviluppi italiani (Garante) ed europei (CNIL, BfDI, EDPB). Quando l’AI Act sarà approvato, saremo già allineati.

Su questi temi abbiamo già scritto: il blocco del Garante e le contromisure immediate, l’arrivo di GPT-4, l’annuncio di Microsoft 365 Copilot, la corsa AI tra Google, Microsoft e OpenAI e le pratiche di cybersecurity per le PMI nel 2023.

Domande frequenti

Quando tornerà ChatGPT in Italia?

La risposta onesta è: non lo sappiamo con certezza, ma le condizioni per uno sblocco esistono. Il Garante deve valutare le cinque misure proposte da OpenAI il 6 aprile. Storicamente, casi analoghi (Replika a febbraio 2023, TikTok nel 2021) hanno avuto tempi di valutazione di 5-10 giorni lavorativi. Lo scenario più probabile è uno sblocco tra fine aprile e i primi giorni di maggio, con eventuali richieste di rafforzamento marginale sulla verifica età. Non escludiamo però uno scenario di negoziato esteso che porti il riavvio fino a metà-fine maggio. Le aziende che pianificano l’uso di ChatGPT dovrebbero costruire ipotesi prudenziali su fine maggio, non assumere il riavvio immediato.

Posso fidarmi delle promesse di OpenAI sull’opt-out dal training?

La promessa è credibile tecnicamente — implementare un flag che esclude le conversazioni di un account dal pipeline di training futuro è banale per OpenAI — ma ha tre limiti pratici da conoscere. Primo, funziona solo dal momento in cui attivi l’opt-out: tutto ciò che è stato inserito in ChatGPT prima resta nei log e potenzialmente nei dataset di training delle versioni successive. Secondo, riguarda solo le conversazioni del tuo account, non i dati relativi a te che altri utenti hanno inserito nelle loro conversazioni. Terzo, non c’è un audit indipendente che verifichi l’effettiva applicazione dell’opt-out: è una promessa contrattuale, non un meccanismo tecnico verificabile dall’esterno. Per un uso aziendale, è una garanzia minima ma non sufficiente.

Bing Chat tratta i miei dati come ChatGPT? Posso usarlo per dati aziendali?

Bing Chat è basato su GPT-4 ma opera sotto il rapporto contrattuale Microsoft, non OpenAI. La differenza è sostanziale: Microsoft offre un quadro enterprise più maturo (DPA standard, data residency configurabile su tenant business, certificazioni ISO 27001/27018, allineamento al Cloud Service Agreement EU). Il Garante non ha aperto procedimenti su Bing Chat e Microsoft ha già rilasciato dichiarazioni di disponibilità a misure aggiuntive se richieste. Detto questo: la versione consumer gratuita di Bing Chat (quella che usi senza account business) ha il livello di garanzia di un servizio pubblico, non aziendale. Per uso strutturato su dati aziendali serve almeno un account Microsoft 365 business e, idealmente, in attesa di Copilot 365, evitare comunque l’inserimento di dati particolari o di terzi.

Devo notificare un data breach al Garante per l’uso di ChatGPT del mio team prima del blocco?

Dipende dalla natura dei dati inseriti e dalla valutazione del rischio per gli interessati. L’art. 33 GDPR impone la notifica entro 72 ore se la violazione presenta un rischio per i diritti e le libertà delle persone fisiche. Tre situazioni concrete: se i tuoi dipendenti hanno inserito in ChatGPT dati personali di clienti, fornitori o altri dipendenti senza base giuridica adeguata, siamo nel territorio della notifica potenzialmente dovuta. Se hanno inserito solo dati pubblici, contenuti generici o testi anonimizzati, probabilmente no. Se hanno inserito segreti aziendali interni (codice, strategie), non si tratta di GDPR ma di altri profili di compliance. Il consiglio operativo: fai prima l’inventario interno descritto sopra, poi consulta il DPO o un legale privacy. Una notifica avventata è dannosa quanto una omessa.

Posso usare ChatGPT con VPN dall’Italia per il mio business?

Tecnicamente sì, giuridicamente è una pessima idea. L’uso di una VPN per aggirare un blocco disposto da un’Autorità nazionale ti espone a profili di responsabilità sproporzionati rispetto al beneficio. Primo, viola i Termini di Servizio di OpenAI (che ti vietano esplicitamente di usare il servizio in aree dove non è disponibile): l’account può essere chiuso senza preavviso. Secondo, se vengono inseriti dati personali, la base giuridica del trattamento è inesistente — è proprio quello che il Garante ha sospeso. Terzo, in caso di controllo, dimostrare la “buona fede” su un trattamento attivamente bypassato è impossibile. La VPN può avere senso per l’uso personale di un singolo professionista che gestisce solo dati propri. Per qualsiasi attività aziendale, il rischio supera nettamente il valore.

Quanto costa far fare la DPIA AI generativa a un consulente DPO?

I tariffari di mercato per una DPIA dedicata all’AI generativa, eseguita da un DPO esperto o uno studio legale specializzato in privacy, si muovono nel range 1.500-4.500 euro per una PMI di medie dimensioni (10-50 dipendenti, uso AI circoscritto a 1-2 dipartimenti). Il prezzo varia in funzione della complessità: numero di sistemi AI coinvolti, categorie di dati trattate, presenza di dati particolari, dimensione del dataset. La DPIA non è un esercizio formale: è un documento di 8-15 pagine che identifica rischi concreti e contromisure verificabili. Una DPIA fatta bene si paga in un solo controllo evitato dal Garante, o in un solo data breach gestito con la documentazione in regola. Una DPIA fatta male — il classico “modello scaricato e compilato” — è peggio di non averla, perché documenta una valutazione superficiale.

Se anche Francia e Germania bloccano ChatGPT, cambia qualcosa per la mia azienda italiana?

Sì, ma indirettamente. Un’azione coordinata a livello europeo cambierebbe il peso negoziale del singolo Stato membro: OpenAI risponderebbe a una richiesta UE non con un piano paese-per-paese ma con misure paneuropee, presumibilmente più strutturate. Per la tua azienda italiana questo significa due cose. Primo: le garanzie che otterrai saranno più solide (data residency europea diventa probabile, DPA enterprise standardizzata in tutta UE). Secondo: i tempi si allungheranno. Una negoziazione bilaterale Italia-OpenAI può chiudersi in 3-4 settimane; una multilaterale UE-OpenAI richiede mesi. Nel frattempo, l’effetto pratico per te è la conferma della direttrice: l’uso di tool AI cloud richiederà sempre più documentazione contrattuale e meno improvvisazione. È un cambiamento strutturale, non un episodio.

Conclusione: il vero significato delle 168 ore

Al netto del clamore mediatico, queste 168 ore hanno prodotto un risultato che merita di essere registrato: per la prima volta nella storia recente, un’autorità europea di protezione dati ha imposto un cambio di rotta concreto a un colosso AI statunitense, ottenendo modifiche operative — non solo dichiarazioni di principio — sull’informativa, sull’opt-out, sull’age check e sulla governance. Il Garante italiano si è ritagliato un ruolo di lead supervisory authority de facto. OpenAI ha accettato di sedersi al tavolo invece di liquidare il Provvedimento come questione marginale.

Per la tua PMI il messaggio è duplice. Sul breve termine: aspetta lo sblocco, completa nel frattempo l’inventario e prepara la DPIA. Sul medio termine: stiamo entrando in un’era in cui ogni nuovo strumento AI andrà valutato come si valuta un nuovo fornitore di servizi cloud — con contratto, clausole GDPR, valutazione d’impatto, governance interna. È un piccolo costo organizzativo aggiuntivo; in cambio, la prossima volta che un’autorità sospende un servizio non ti troverai a chiedere “e adesso?” alle dieci di sera di un venerdì.

Aggiorneremo l’articolo non appena il Garante comunicherà la propria valutazione delle misure proposte.