{"id":2707,"date":"2023-04-07T10:33:00","date_gmt":"2023-04-07T08:33:00","guid":{"rendered":"https:\/\/brentasoft.com\/blog\/openai-risponde-garante-privacy-chatgpt-misure-pmi-italiane-aprile-2023\/"},"modified":"2026-06-08T14:30:00","modified_gmt":"2026-06-08T12:30:00","slug":"openai-risponde-garante-privacy-chatgpt-misure-pmi-italiane-aprile-2023","status":"publish","type":"post","link":"https:\/\/brentasoft.com\/blog\/openai-risponde-garante-privacy-chatgpt-misure-pmi-italiane-aprile-2023\/","title":{"rendered":"OpenAI risponde al Garante Privacy: cosa ha promesso e cosa significa per le PMI italiane (7 aprile 2023)"},"content":{"rendered":"<p>Sono passate <strong>168 ore<\/strong> dal Provvedimento n. 112 del Garante per la Protezione dei Dati Personali, e ChatGPT \u00e8 ancora inaccessibile dall&#8217;Italia. Ieri, 6 aprile 2023, OpenAI ha rotto un silenzio operativo di quasi una settimana presentando al Garante un piano dettagliato di cinque misure di adeguamento. La risposta \u00e8 arrivata via comunicato stampa congiunto con l&#8217;Autorit\u00e0, in un linguaggio sorprendentemente collaborativo per due soggetti che, fino a sette giorni fa, parlavano lingue regolatorie diverse.<\/p>\n<p>L&#8217;articolo ricostruisce cosa \u00e8 successo davvero in queste 168 ore, analizza le cinque misure proposte, individua i nodi che restano aperti e \u2014 per chi gestisce una PMI italiana \u2014 propone un piano operativo concreto per le prossime 2-3 settimane, mentre la situazione resta in evoluzione.<\/p>\n<h2>168 ore: la cronologia precisa dal blocco alla risposta<\/h2>\n<p>Per leggere la risposta di OpenAI serve avere chiara la sequenza esatta degli eventi. Procediamo in ordine:<\/p>\n<ul>\n<li><strong>Gioved\u00ec 30 marzo 2023 \u2014 pomeriggio.<\/strong> Il Garante Privacy adotta il <em>Provvedimento n. 112\/2023<\/em>, una misura di limitazione provvisoria del trattamento ex art. 58 GDPR. Quattro le contestazioni: assenza di informativa adeguata, mancanza di base giuridica per il training, inesattezza dei dati personali generati, assenza di verifica dell&#8217;et\u00e0 degli utenti.<\/li>\n<li><strong>Venerd\u00ec 31 marzo \u2014 serata.<\/strong> OpenAI <em>non attende<\/em> i 20 giorni del Provvedimento. Disattiva proattivamente l&#8217;accesso a ChatGPT dagli indirizzi IP italiani entro le 23:00. Chi tenta di collegarsi vede un messaggio che cita esplicitamente il Garante.<\/li>\n<li><strong>Sabato 1 e domenica 2 aprile.<\/strong> Silenzio operativo. Sam Altman pubblica su Twitter due messaggi conciliativi (&#8220;ovviamente rispetteremo le norme italiane, anche se pensiamo di essere in regola&#8221;). Nessuna comunicazione formale.<\/li>\n<li><strong>Luned\u00ec 3 \u2014 mercoled\u00ec 5 aprile.<\/strong> Indiscrezioni di stampa anticipano un&#8217;apertura del dialogo. Il <em>Wall Street Journal<\/em> riporta di &#8220;team legali OpenAI in contatto continuo con consulenti italiani&#8221;. Nessun atto pubblico.<\/li>\n<li><strong>Gioved\u00ec 6 aprile.<\/strong> Comunicato congiunto Garante\u2013OpenAI: l&#8217;azienda statunitense propone un pacchetto di misure. Il presidente del Garante Pasquale Stanzione parla di &#8220;approccio costruttivo, ora valuteremo&#8221;.<\/li>\n<li><strong>Oggi, venerd\u00ec 7 aprile.<\/strong> ChatGPT resta inaccessibile dall&#8217;Italia. Il Garante non ha ancora comunicato la propria valutazione. Le misure proposte sono pubbliche e analizzabili.<\/li>\n<\/ul>\n<p>Il dato da fissare: <strong>la risposta non \u00e8 uno sblocco<\/strong>. \u00c8 una proposta tecnica che il Garante deve ancora esaminare. La decisione \u00e8 attesa nei prossimi 5-7 giorni.<\/p>\n<p><img decoding=\"async\" src=\"https:\/\/brentasoft.com\/blog\/wp-content\/uploads\/2026\/06\/inline1-35.jpg\" alt=\"Conferenza stampa con leggio e microfoni - risposta OpenAI al Garante\" \/><\/p>\n<h2>Le cinque misure proposte da OpenAI: analisi punto per punto<\/h2>\n<p>Il piano consegnato al Garante si articola in cinque interventi. Tre sono gi\u00e0 pronti o lo saranno entro pochi giorni; due hanno tempistiche pi\u00f9 lunghe.<\/p>\n<h3>Misura 1 \u2014 Nuova informativa privacy compliant con il GDPR<\/h3>\n<p>OpenAI ha pubblicato un&#8217;informativa rivista su <em>openai.com\/privacy<\/em> con una sezione dedicata agli utenti europei. Il documento esplicita la base giuridica del trattamento (legittimo interesse per il training, esecuzione del contratto per l&#8217;erogazione del servizio), elenca i diritti dell&#8217;interessato, indica un contatto del DPO designato e descrive le categorie di dati trattati e i tempi di conservazione. Il limite: l&#8217;informativa parla del <em>presente<\/em>, non rimedia ai trattamenti gi\u00e0 avvenuti.<\/p>\n<h3>Misura 2 \u2014 Form di opt-out dal training per gli utenti europei<\/h3>\n<p>Entro pochi giorni gli utenti europei potranno compilare un modulo per chiedere che le proprie conversazioni <em>future<\/em> non siano utilizzate per addestrare i modelli. Funziona prospetticamente, non retroattivamente: i dati eventualmente gi\u00e0 confluiti nei pesi di GPT-3.5 e GPT-4 (cutoff settembre 2021) restano dove sono, perch\u00e9 tecnicamente non sono &#8220;estraibili&#8221; da una rete neurale addestrata.<\/p>\n<h3>Misura 3 \u2014 Verifica dell&#8217;et\u00e0 al login<\/h3>\n<p>Pop-up al primo accesso che chiede conferma di et\u00e0 superiore a 18 anni, oppure di et\u00e0 compresa tra 13 e 18 anni con consenso dei genitori. \u00c8 una verifica <em>autodichiarativa<\/em>, non una age verification con documento. Una soluzione minimale ma allineata a ci\u00f2 che fanno la maggior parte dei social network statunitensi; il Garante in passato ha chiesto misure pi\u00f9 stringenti ad altri operatori (TikTok, Replika), quindi questo punto \u00e8 il pi\u00f9 esposto a richieste di rafforzamento.<\/p>\n<h3>Misura 4 \u2014 Canale email dedicato al Garante<\/h3>\n<p>OpenAI ha attivato un indirizzo email specifico per gestire le richieste di cancellazione o correzione di dati personali eventualmente generati in modo errato da ChatGPT su persone fisiche. \u00c8 il punto pi\u00f9 delicato dal punto di vista tecnico: cancellare un&#8217;informazione errata da un LLM non \u00e8 come cancellare una riga da un database, ma OpenAI si impegna a intervenire sull&#8217;output del sistema (filtri o blocchi) quando l&#8217;errore \u00e8 confermato.<\/p>\n<h3>Misura 5 \u2014 Riconoscimento del Garante italiano come Lead Supervisory Authority<\/h3>\n<p>\u00c8 la concessione pi\u00f9 rilevante sul piano simbolico. Tradizionalmente, sotto il GDPR la <em>lead supervisory authority<\/em> \u00e8 l&#8217;autorit\u00e0 del paese in cui il titolare ha lo stabilimento principale. OpenAI non ha stabile organizzazione nell&#8217;Unione Europea (Dublino \u00e8 del concorrente Microsoft\/Azure, non di OpenAI), quindi la scelta della lead non \u00e8 automatica. Riconoscendo il Garante italiano, OpenAI accetta che eventuali procedimenti futuri in altri Stati membri passino per Roma. Per il Garante \u00e8 un risultato politico significativo: porta a casa la centralit\u00e0 del proprio Provvedimento.<\/p>\n<h2>Cosa NON \u00e8 stato risolto: i quattro nodi ancora aperti<\/h2>\n<p>Il piano \u00e8 coerente con le quattro contestazioni del Provvedimento, ma una lettura attenta mostra che <strong>alcuni problemi strutturali restano<\/strong>. Vale la pena nominarli con precisione, perch\u00e9 incidono sul rischio compliance per chi user\u00e0 ChatGPT in azienda dopo l&#8217;eventuale sblocco.<\/p>\n<ul>\n<li><strong>Base giuridica del training originario.<\/strong> I dataset che hanno addestrato GPT-3.5 e GPT-4 fino al cutoff di settembre 2021 contengono \u2014 quasi certamente \u2014 dati personali raccolti da web senza che gli interessati ne fossero a conoscenza. L&#8217;opt-out funziona da oggi in avanti; non sana il pregresso. Una pronuncia successiva del Garante (o di altre autorit\u00e0 europee) su questo punto potrebbe arrivare comunque.<\/li>\n<li><strong>Inesattezza dell&#8217;output.<\/strong> ChatGPT continua a generare informazioni false su persone reali (&#8220;hallucinations&#8221;). Il canale email per le segnalazioni \u00e8 un rimedio reattivo, non sistemico: chiunque sia descritto erroneamente non ha un meccanismo automatico di correzione.<\/li>\n<li><strong>Data residency europea.<\/strong> I dati delle conversazioni transitano e sono archiviati su infrastruttura statunitense. OpenAI ha dichiarato di &#8220;valutare&#8221; server europei, ma senza impegni temporali. Il quadro post-<em>Schrems II<\/em> sui trasferimenti extra-UE resta non risolto.<\/li>\n<li><strong>Trasparenza algoritmica.<\/strong> Architettura, parametri e dataset di training di GPT-4 restano segreti. \u00c8 una scelta legittima sul piano concorrenziale (Microsoft ha investito 10 miliardi proprio per quel know-how), ma blocca qualsiasi audit indipendente sulla qualit\u00e0 del trattamento dati.<\/li>\n<\/ul>\n<p>Detto altrimenti: la risposta di OpenAI mette toppe efficaci ai punti procedurali del Provvedimento (informativa, age check, canale di reclamo), ma lascia aperti i temi pi\u00f9 sistemici.<\/p>\n<h2>Cosa succeder\u00e0 nei prossimi 7-14 giorni: tre scenari<\/h2>\n<p>Il Garante ha ora la palla. Sulla base dei precedenti \u2014 il caso Replika di febbraio 2023 \u00e8 il pi\u00f9 recente \u2014 i tempi tecnici di valutazione sono dell&#8217;ordine di 5-10 giorni lavorativi. Tre scenari plausibili:<\/p>\n<ul>\n<li><strong>Scenario A \u2014 Accettazione sostanziale (probabilit\u00e0: alta).<\/strong> Il Garante prende atto delle misure, chiede magari un rafforzamento marginale sull&#8217;age check (verifica con documento per gli account creati ora, non solo autodichiarazione), e autorizza il riavvio del servizio. Sblocco verosimile tra fine aprile e i primi giorni di maggio. Resta aperta una procedura istruttoria sul pregresso.<\/li>\n<li><strong>Scenario B \u2014 Negoziato esteso.<\/strong> Il Garante chiede integrazioni significative (es. impegno su data residency, age verification rinforzata, retroattivit\u00e0 parziale dell&#8217;opt-out per gli utenti che hanno gi\u00e0 usato ChatGPT in Italia). Sblocco posticipato a met\u00e0-fine maggio. Probabilit\u00e0 media.<\/li>\n<li><strong>Scenario C \u2014 Procedura sanzionatoria piena.<\/strong> Il Garante ritiene le misure insufficienti e avvia un procedimento ex art. 83 GDPR. Sanzione fino al 4% del fatturato globale OpenAI. Improbabile sul breve termine, ma non escludibile sul medio.<\/li>\n<\/ul>\n<p>Lo scenario A \u00e8 quello su cui il mercato sta scommettendo: i titoli Microsoft (azionista) non hanno mostrato volatilit\u00e0 anomala nelle ultime 48 ore. Ma per una PMI italiana che deve decidere se rimettere ChatGPT nel proprio flusso operativo, lo scenario B \u00e8 quello su cui pianificare prudenzialmente.<\/p>\n<p><img decoding=\"async\" src=\"https:\/\/brentasoft.com\/blog\/wp-content\/uploads\/2026\/06\/inline2-35.jpg\" alt=\"Bandiere UE davanti edificio istituzionale - effetto domino europeo sulla regolazione AI\" \/><\/p>\n<h2>L&#8217;effetto domino europeo: cosa stanno facendo le altre autorit\u00e0<\/h2>\n<p>Il Provvedimento del Garante italiano non \u00e8 rimasto isolato. Nelle ultime due settimane abbiamo visto reazioni in catena dalle altre autorit\u00e0 europee, ed \u00e8 ragionevole attendersi un coordinamento a livello EDPB nelle prossime settimane.<\/p>\n<ul>\n<li><strong>Francia \u2014 CNIL.<\/strong> Ha aperto un&#8217;indagine nei primi giorni di aprile, dopo aver ricevuto cinque denunce formali da utenti francesi. La CNIL ha tradizione interventista (\u00e8 stata la prima a sanzionare Google per il GDPR nel 2019) e potrebbe seguire da vicino l&#8217;esito italiano.<\/li>\n<li><strong>Germania \u2014 Conferenza dei DPA dei L\u00e4nder.<\/strong> Il commissario federale BfDI ha dichiarato di &#8220;valutare la possibilit\u00e0 di un blocco analogo a quello italiano&#8221;. La struttura federale tedesca rende le decisioni pi\u00f9 lente, ma se arriver\u00e0 sar\u00e0 rilevante.<\/li>\n<li><strong>Irlanda \u2014 DPC.<\/strong> Punto delicato: l&#8217;Irlanda \u00e8 la sede europea di Microsoft (che integra GPT-4 in Bing) e di molti altri Big Tech. La DPC ha competenza naturale come lead authority per chi ha stabile organizzazione a Dublino, ma OpenAI direttamente l\u00ec non c&#8217;\u00e8. La DPC star\u00e0 osservando il riconoscimento del Garante italiano come lead da parte di OpenAI con interesse.<\/li>\n<li><strong>Spagna \u2014 AEPD.<\/strong> Indagine aperta, profilo simile a quello francese.<\/li>\n<li><strong>EDPB (European Data Protection Board).<\/strong> Nei circoli specialistici si d\u00e0 per probabile l&#8217;istituzione, nei prossimi giorni, di una <em>task force<\/em> di coordinamento sui chatbot AI generativi. Sarebbe il primo strumento di coordinamento europeo su LLM e GDPR.<\/li>\n<\/ul>\n<p>La traiettoria \u00e8 chiara: <strong>l&#8217;Italia ha fatto da apripista<\/strong> a un&#8217;azione regolatoria che potrebbe diventare paneuropea entro l&#8217;estate. Per una PMI italiana questo significa che, anche dopo l&#8217;eventuale sblocco di ChatGPT, l&#8217;ambiente normativo continuer\u00e0 a evolvere \u2014 e probabilmente irrigidirsi.<\/p>\n<h2>Cosa fare se la tua PMI usava ChatGPT: il piano operativo a 30 giorni<\/h2>\n<p>Per chi nelle scorse settimane aveva iniziato a integrare ChatGPT in qualche flusso di lavoro, ecco un percorso operativo concreto. Cinque azioni, ordinate per urgenza.<\/p>\n<ol>\n<li><strong>Stop definitivo all&#8217;uso aziendale<\/strong> finch\u00e9 il Garante non si pronuncia. Niente VPN, niente account esteri intestati ai dipendenti, niente bypass. L&#8217;uso &#8220;creativo&#8221; del blocco genera responsabilit\u00e0 individuali e aziendali sproporzionate rispetto al beneficio.<\/li>\n<li><strong>Inventario dell&#8217;uso pregresso.<\/strong> Chi nel team ha usato ChatGPT per task aziendali nelle ultime 4-6 settimane? Quanti account aziendali (intestati a dominio @azienda.it) sono stati creati? Quanti account personali sono stati usati per attivit\u00e0 lavorative? Un foglio Excel basta: nome, account, periodo, tipologia di task.<\/li>\n<li><strong>Audit dei dati condivisi.<\/strong> Per ciascun utente identificato, ricostruire \u2014 anche per stima \u2014 la natura dei dati inseriti nelle conversazioni. Dati personali di clienti? Bozze di contratti? Codice sorgente? Strategie commerciali? Questo \u00e8 il presupposto per le valutazioni successive.<\/li>\n<li><strong>Valutazione data breach.<\/strong> Se sono confluiti in ChatGPT dati personali di terzi (clienti, fornitori, dipendenti) senza base giuridica adeguata, ricorre il tema della notifica al Garante ex art. 33 GDPR. La materia \u00e8 nuova e l&#8217;incertezza \u00e8 alta: il consiglio \u00e8 coinvolgere il DPO o un consulente privacy esterno prima di procedere a una notifica avventata o a una non-notifica imprudente.<\/li>\n<li><strong>DPIA per l&#8217;uso futuro.<\/strong> Per quando ChatGPT (o un equivalente) torner\u00e0 utilizzabile in azienda, predisporre una <em>Data Protection Impact Assessment<\/em> dedicata all&#8217;AI generativa: 8-15 pagine che identificano rischi, mitigazioni, base giuridica, finalit\u00e0, tempi di conservazione, categorie di dati trattabili e \u2014 soprattutto \u2014 categorie escluse (dati particolari ex art. 9, dati di terzi senza consenso, segreti aziendali).<\/li>\n<\/ol>\n<p>Questo percorso vale a maggior ragione se in azienda \u00e8 gi\u00e0 nominato un DPO: il caso ChatGPT \u00e8 esattamente il tipo di scenario che giustifica la sua esistenza e che andr\u00e0 documentato in modo tracciabile.<\/p>\n<p><img decoding=\"async\" src=\"https:\/\/brentasoft.com\/blog\/wp-content\/uploads\/2026\/06\/inline3-35.jpg\" alt=\"Consulente privacy revisione contratto su laptop - DPIA AI generativa per PMI\" \/><\/p>\n<h2>Le alternative ancora accessibili dall&#8217;Italia<\/h2>\n<p>Mentre attendi lo sblocco, esistono strumenti AI generativi <em>gi\u00e0 oggi<\/em> utilizzabili dall&#8217;Italia. Sintesi pratica:<\/p>\n<ul>\n<li><strong>Microsoft Bing Chat (basato su GPT-4).<\/strong> Accessibile tramite browser Edge, attivo regolarmente in Italia. La differenza giuridica \u00e8 sostanziale: Microsoft tratta i dati sotto il proprio <em>Cloud Service Agreement<\/em> con clausole GDPR specifiche e una struttura contrattuale enterprise pi\u00f9 matura di quella di OpenAI. Il Garante non ha aperto procedimenti su Bing Chat. <strong>Caveat<\/strong>: Bing Chat \u00e8 gratuito nella versione consumer; per uso aziendale strutturato serve comunque una valutazione contrattuale.<\/li>\n<li><strong>Microsoft 365 Copilot.<\/strong> Annunciato il 16 marzo 2023, \u00e8 in <em>preview limitata<\/em> per clienti enterprise selezionati. Non \u00e8 disponibile in modo generalizzato. Per le PMI \u00e8 un&#8217;opzione da osservare, non da implementare oggi.<\/li>\n<li><strong>Google Bard.<\/strong> Lanciato pubblicamente il 21 marzo 2023 negli Stati Uniti e nel Regno Unito; <strong>non disponibile in Italia<\/strong>.<\/li>\n<li><strong>GitHub Copilot.<\/strong> Strumento di assistenza alla scrittura di codice. Non impattato dal Provvedimento, in uso regolare dagli sviluppatori italiani. Anche qui valgono per\u00f2 le precauzioni sui dati: non incollare codice proprietario sensibile senza una policy chiara.<\/li>\n<li><strong>Modelli open source self-hosted.<\/strong> GPT4All, Cerebras-GPT, LLaMA (la versione 1, in licenza di ricerca): opzioni tecnicamente accessibili a chi ha competenze interne, performance inferiori ai prodotti commerciali ma dati che restano on-premise. Per use case mirati (es. classificazione testi, summarization) sono valutabili.<\/li>\n<\/ul>\n<p>La regola pratica per i prossimi 30 giorni: <strong>se serve un LLM per task aziendali, scegliere Bing Chat con cautela<\/strong> (mai dati personali di terzi, mai segreti aziendali), oppure attendere.<\/p>\n<h2>Cinque lezioni di policy aziendale dal caso ChatGPT<\/h2>\n<p>Indipendentemente da come si chiuder\u00e0 il caso italiano, alcune lezioni sono gi\u00e0 consolidate e meritano di entrare nelle policy aziendali a partire da oggi.<\/p>\n<ol>\n<li><strong>I tool AI generativi cloud sono fornitori cloud.<\/strong> Vanno trattati come tali: contratto, clausole GDPR, registro dei trattamenti, valutazione del trasferimento extra-UE, DPA firmata. Il salto di &#8220;ma \u00e8 solo una chat&#8221; non regge giuridicamente.<\/li>\n<li><strong>Data classification rigorosa.<\/strong> Definire \u2014 e scrivere \u2014 quali categorie di dati possono essere inserite in tool AI cloud (solo dati pubblici o anonimi) e quali no (dati personali di terzi, dati particolari, segreti industriali, codice proprietario). Comunicare le categorie ai dipendenti in modo esplicito.<\/li>\n<li><strong>Contratti enterprise con DPA esplicita.<\/strong> Quando l&#8217;uso passa da sperimentale a strutturale, l&#8217;account consumer non basta pi\u00f9. Servono contratti business con Data Processing Agreement, SLA, e clausole sull&#8217;uso dei dati per il training.<\/li>\n<li><strong>Formazione annuale sulla privacy.<\/strong> Il GDPR la richiedeva gi\u00e0 dal 2018, il caso ChatGPT la rende inevitabile. Mezza giornata l&#8217;anno per ogni dipendente, focus 2023 sull&#8217;uso degli strumenti AI.<\/li>\n<li><strong>Monitoraggio dello shadow IT.<\/strong> Quanti tuoi dipendenti hanno aperto un account ChatGPT personale e lo usano per lavoro? Probabilmente pi\u00f9 di quanti pensi. La policy va accompagnata da strumenti di rilevazione (DNS logging, mobile device management, SIEM in aziende pi\u00f9 strutturate).<\/li>\n<\/ol>\n<h2>Cosa cambia per ERP, CRM e software gestionali<\/h2>\n<p>Il caso ChatGPT impatta indirettamente anche sui roadmap dei vendor di software gestionali. In poche settimane molti hanno rivisto i piani di integrazione AI:<\/p>\n<ul>\n<li><strong>Microsoft Dynamics 365.<\/strong> L&#8217;integrazione Copilot 365 \u00e8 stata annunciata in preview limitata, ma con riferimenti espliciti alle clausole GDPR Azure e alla data residency configurabile. Microsoft ha vantaggio competitivo proprio sull&#8217;aspetto enterprise.<\/li>\n<li><strong>Salesforce.<\/strong> Ha annunciato Einstein GPT come estensione del proprio Einstein AI gi\u00e0 esistente. La data residency \u00e8 configurabile a livello di tenant. Approccio cauto ma in roadmap pubblica.<\/li>\n<li><strong>SAP.<\/strong> Ha comunicato un piano di integrazione AI generativa con tempistiche &#8220;in roll-out nel 2024&#8221;, senza commitment specifici. Tipico approccio SAP: lento ma corredato di garanzie enterprise.<\/li>\n<li><strong>Odoo.<\/strong> Approccio modulare. Nessuna integrazione di ChatGPT &#8220;by default&#8221; nei moduli core. Filosofia open-source: lasciare al cliente la scelta deliberata di integrare (o non integrare) un layer AI, con la responsabilit\u00e0 che ne consegue.<\/li>\n<\/ul>\n<p>Per una PMI che sta valutando un nuovo gestionale in questo momento, l&#8217;indicazione \u00e8 chiara: <strong>aspettare 6-12 mesi prima di committarsi a una soluzione AI integrata &#8220;stretta&#8221;<\/strong>. Il quadro normativo \u00e8 in evoluzione rapida, e una scelta tecnologica fatta oggi su una promessa di integrazione AI rischia di trovarsi disallineata con i requisiti regolatori che usciranno nei prossimi 12 mesi.<\/p>\n<h2>Come Brentasoft sta gestendo questo momento<\/h2>\n<p>Il nostro approccio \u00e8 coerente con la filosofia <a href=\"https:\/\/brentasoft.com\/soluzioni\/odoo-erp.php\">Odoo ERP<\/a> che proponiamo da anni: open-source, modulare, cliente proprietario dei propri dati. Su AI generativa concretamente:<\/p>\n<ul>\n<li><strong>Nessuna integrazione &#8220;by default&#8221; di tool AI cloud nei progetti correnti.<\/strong> Il cliente che richiede esplicitamente un&#8217;integrazione la riceve, ma come scelta documentata, non come opzione attivata di default.<\/li>\n<li><strong>Quando integriamo OpenAI, usiamo le API Azure OpenAI<\/strong> (non le API OpenAI pubbliche), proprio per la DPA enterprise Microsoft, la data residency configurabile e il regime contrattuale pi\u00f9 maturo.<\/li>\n<li><strong>DPIA preliminare obbligatoria<\/strong> per ogni progetto che prevede l&#8217;inserimento di dati personali in un layer AI. Lo facciamo prima di scrivere il primo task del progetto, non a posteriori.<\/li>\n<li><strong>Monitoraggio dell&#8217;evoluzione regolatoria.<\/strong> Stiamo aggiornando settimanalmente la nostra checklist interna sulla base degli sviluppi italiani (Garante) ed europei (CNIL, BfDI, EDPB). Quando l&#8217;AI Act sar\u00e0 approvato, saremo gi\u00e0 allineati.<\/li>\n<\/ul>\n<p>Su questi temi abbiamo gi\u00e0 scritto: <a href=\"https:\/\/brentasoft.com\/blog\/garante-privacy-blocca-chatgpt-italia-pmi-cosa-fare-aprile-2023\/\">il blocco del Garante e le contromisure immediate<\/a>, <a href=\"https:\/\/brentasoft.com\/blog\/gpt-4-pmi-italiane-cosa-cambia-analisi-marzo-2023\/\">l&#8217;arrivo di GPT-4<\/a>, <a href=\"https:\/\/brentasoft.com\/blog\/microsoft-365-copilot-pmi-italiane-analisi-marzo-2023\/\">l&#8217;annuncio di Microsoft 365 Copilot<\/a>, <a href=\"https:\/\/brentasoft.com\/blog\/corsa-ai-google-bard-microsoft-bing-chat-openai-pmi-italiane-2023\/\">la corsa AI tra Google, Microsoft e OpenAI<\/a> e <a href=\"https:\/\/brentasoft.com\/blog\/cybersecurity-pmi-italiane-2023-minacce-difese-pratiche\/\">le pratiche di cybersecurity per le PMI nel 2023<\/a>.<\/p>\n<h2>Domande frequenti<\/h2>\n<h3>Quando torner\u00e0 ChatGPT in Italia?<\/h3>\n<p>La risposta onesta \u00e8: non lo sappiamo con certezza, ma le condizioni per uno sblocco esistono. Il Garante deve valutare le cinque misure proposte da OpenAI il 6 aprile. Storicamente, casi analoghi (Replika a febbraio 2023, TikTok nel 2021) hanno avuto tempi di valutazione di 5-10 giorni lavorativi. Lo scenario pi\u00f9 probabile \u00e8 uno sblocco tra fine aprile e i primi giorni di maggio, con eventuali richieste di rafforzamento marginale sulla verifica et\u00e0. Non escludiamo per\u00f2 uno scenario di negoziato esteso che porti il riavvio fino a met\u00e0-fine maggio. Le aziende che pianificano l&#8217;uso di ChatGPT dovrebbero costruire ipotesi prudenziali su <strong>fine maggio<\/strong>, non assumere il riavvio immediato.<\/p>\n<h3>Posso fidarmi delle promesse di OpenAI sull&#8217;opt-out dal training?<\/h3>\n<p>La promessa \u00e8 credibile tecnicamente \u2014 implementare un flag che esclude le conversazioni di un account dal pipeline di training futuro \u00e8 banale per OpenAI \u2014 ma ha tre limiti pratici da conoscere. Primo, funziona solo dal momento in cui attivi l&#8217;opt-out: tutto ci\u00f2 che \u00e8 stato inserito in ChatGPT prima resta nei log e potenzialmente nei dataset di training delle versioni successive. Secondo, riguarda solo le conversazioni del tuo account, non i dati relativi a te che altri utenti hanno inserito nelle loro conversazioni. Terzo, non c&#8217;\u00e8 un audit indipendente che verifichi l&#8217;effettiva applicazione dell&#8217;opt-out: \u00e8 una promessa contrattuale, non un meccanismo tecnico verificabile dall&#8217;esterno. Per un uso aziendale, \u00e8 una garanzia minima ma non sufficiente.<\/p>\n<h3>Bing Chat tratta i miei dati come ChatGPT? Posso usarlo per dati aziendali?<\/h3>\n<p>Bing Chat \u00e8 basato su GPT-4 ma <em>opera sotto il rapporto contrattuale Microsoft<\/em>, non OpenAI. La differenza \u00e8 sostanziale: Microsoft offre un quadro enterprise pi\u00f9 maturo (DPA standard, data residency configurabile su tenant business, certificazioni ISO 27001\/27018, allineamento al Cloud Service Agreement EU). Il Garante non ha aperto procedimenti su Bing Chat e Microsoft ha gi\u00e0 rilasciato dichiarazioni di disponibilit\u00e0 a misure aggiuntive se richieste. Detto questo: la versione consumer gratuita di Bing Chat (quella che usi senza account business) ha il livello di garanzia di un servizio pubblico, non aziendale. Per uso strutturato su dati aziendali serve almeno un account Microsoft 365 business e, idealmente, in attesa di Copilot 365, evitare comunque l&#8217;inserimento di dati particolari o di terzi.<\/p>\n<h3>Devo notificare un data breach al Garante per l&#8217;uso di ChatGPT del mio team prima del blocco?<\/h3>\n<p>Dipende dalla natura dei dati inseriti e dalla valutazione del rischio per gli interessati. L&#8217;art. 33 GDPR impone la notifica entro 72 ore se la violazione presenta un rischio per i diritti e le libert\u00e0 delle persone fisiche. Tre situazioni concrete: se i tuoi dipendenti hanno inserito in ChatGPT dati personali di clienti, fornitori o altri dipendenti senza base giuridica adeguata, siamo nel territorio della notifica potenzialmente dovuta. Se hanno inserito solo dati pubblici, contenuti generici o testi anonimizzati, probabilmente no. Se hanno inserito segreti aziendali interni (codice, strategie), non si tratta di GDPR ma di altri profili di compliance. Il consiglio operativo: <strong>fai prima l&#8217;inventario interno descritto sopra, poi consulta il DPO o un legale privacy<\/strong>. Una notifica avventata \u00e8 dannosa quanto una omessa.<\/p>\n<h3>Posso usare ChatGPT con VPN dall&#8217;Italia per il mio business?<\/h3>\n<p>Tecnicamente s\u00ec, giuridicamente \u00e8 una pessima idea. L&#8217;uso di una VPN per aggirare un blocco disposto da un&#8217;Autorit\u00e0 nazionale ti espone a profili di responsabilit\u00e0 sproporzionati rispetto al beneficio. Primo, viola i Termini di Servizio di OpenAI (che ti vietano esplicitamente di usare il servizio in aree dove non \u00e8 disponibile): l&#8217;account pu\u00f2 essere chiuso senza preavviso. Secondo, se vengono inseriti dati personali, la base giuridica del trattamento \u00e8 inesistente \u2014 \u00e8 proprio quello che il Garante ha sospeso. Terzo, in caso di controllo, dimostrare la &#8220;buona fede&#8221; su un trattamento attivamente bypassato \u00e8 impossibile. La VPN pu\u00f2 avere senso per l&#8217;uso personale di un singolo professionista che gestisce solo dati propri. Per qualsiasi attivit\u00e0 aziendale, il rischio supera nettamente il valore.<\/p>\n<h3>Quanto costa far fare la DPIA AI generativa a un consulente DPO?<\/h3>\n<p>I tariffari di mercato per una DPIA dedicata all&#8217;AI generativa, eseguita da un DPO esperto o uno studio legale specializzato in privacy, si muovono nel range 1.500-4.500 euro per una PMI di medie dimensioni (10-50 dipendenti, uso AI circoscritto a 1-2 dipartimenti). Il prezzo varia in funzione della complessit\u00e0: numero di sistemi AI coinvolti, categorie di dati trattate, presenza di dati particolari, dimensione del dataset. La DPIA non \u00e8 un esercizio formale: \u00e8 un documento di 8-15 pagine che identifica rischi concreti e contromisure verificabili. Una DPIA fatta bene si paga in un solo controllo evitato dal Garante, o in un solo data breach gestito con la documentazione in regola. Una DPIA fatta male \u2014 il classico &#8220;modello scaricato e compilato&#8221; \u2014 \u00e8 peggio di non averla, perch\u00e9 documenta una valutazione superficiale.<\/p>\n<h3>Se anche Francia e Germania bloccano ChatGPT, cambia qualcosa per la mia azienda italiana?<\/h3>\n<p>S\u00ec, ma indirettamente. Un&#8217;azione coordinata a livello europeo cambierebbe il peso negoziale del singolo Stato membro: OpenAI risponderebbe a una richiesta UE non con un piano paese-per-paese ma con misure paneuropee, presumibilmente pi\u00f9 strutturate. Per la tua azienda italiana questo significa due cose. Primo: le garanzie che otterrai saranno pi\u00f9 solide (data residency europea diventa probabile, DPA enterprise standardizzata in tutta UE). Secondo: i tempi si allungheranno. Una negoziazione bilaterale Italia-OpenAI pu\u00f2 chiudersi in 3-4 settimane; una multilaterale UE-OpenAI richiede mesi. Nel frattempo, l&#8217;effetto pratico per te \u00e8 la conferma della direttrice: <strong>l&#8217;uso di tool AI cloud richieder\u00e0 sempre pi\u00f9 documentazione contrattuale e meno improvvisazione<\/strong>. \u00c8 un cambiamento strutturale, non un episodio.<\/p>\n<h2>Conclusione: il vero significato delle 168 ore<\/h2>\n<p>Al netto del clamore mediatico, queste 168 ore hanno prodotto un risultato che merita di essere registrato: per la prima volta nella storia recente, un&#8217;autorit\u00e0 europea di protezione dati ha imposto un cambio di rotta concreto a un colosso AI statunitense, ottenendo modifiche operative \u2014 non solo dichiarazioni di principio \u2014 sull&#8217;informativa, sull&#8217;opt-out, sull&#8217;age check e sulla governance. Il Garante italiano si \u00e8 ritagliato un ruolo di lead supervisory authority de facto. OpenAI ha accettato di sedersi al tavolo invece di liquidare il Provvedimento come questione marginale.<\/p>\n<p>Per la tua PMI il messaggio \u00e8 duplice. Sul breve termine: aspetta lo sblocco, completa nel frattempo l&#8217;inventario e prepara la DPIA. Sul medio termine: stiamo entrando in un&#8217;era in cui ogni nuovo strumento AI andr\u00e0 valutato come si valuta un nuovo fornitore di servizi cloud \u2014 con contratto, clausole GDPR, valutazione d&#8217;impatto, governance interna. \u00c8 un piccolo costo organizzativo aggiuntivo; in cambio, la prossima volta che un&#8217;autorit\u00e0 sospende un servizio non ti troverai a chiedere &#8220;e adesso?&#8221; alle dieci di sera di un venerd\u00ec.<\/p>\n<p>Aggiorneremo l&#8217;articolo non appena il Garante comunicher\u00e0 la propria valutazione delle misure proposte.<\/p>\n<p><script type=\"application\/ld+json\">\n{\n  \"@context\": \"https:\/\/schema.org\",\n  \"@type\": \"FAQPage\",\n  \"mainEntity\": [\n    {\n      \"@type\": \"Question\",\n      \"name\": \"Quando torner\u00e0 ChatGPT in Italia?\",\n      \"acceptedAnswer\": {\n        \"@type\": \"Answer\",\n        \"text\": \"Il Garante deve valutare le cinque misure proposte da OpenAI il 6 aprile 2023. Storicamente, casi analoghi hanno avuto tempi di valutazione di 5-10 giorni lavorativi. Lo scenario pi\u00f9 probabile \u00e8 uno sblocco tra fine aprile e i primi giorni di maggio, con eventuali richieste di rafforzamento marginale sulla verifica et\u00e0. Non escludiamo uno scenario di negoziato esteso che porti il riavvio fino a met\u00e0-fine maggio. Le aziende dovrebbero pianificare ipotesi prudenziali su fine maggio, non assumere il riavvio immediato.\"\n      }\n    },\n    {\n      \"@type\": \"Question\",\n      \"name\": \"Posso fidarmi delle promesse di OpenAI sull'opt-out dal training?\",\n      \"acceptedAnswer\": {\n        \"@type\": \"Answer\",\n        \"text\": \"La promessa \u00e8 credibile tecnicamente ma ha tre limiti pratici. Primo, funziona solo dal momento in cui attivi l'opt-out: tutto ci\u00f2 che \u00e8 stato inserito in ChatGPT prima resta nei log. Secondo, riguarda solo le conversazioni del tuo account, non i dati relativi a te che altri utenti hanno inserito. Terzo, non c'\u00e8 un audit indipendente che verifichi l'effettiva applicazione dell'opt-out: \u00e8 una promessa contrattuale, non un meccanismo tecnico verificabile dall'esterno. Per un uso aziendale, \u00e8 una garanzia minima ma non sufficiente.\"\n      }\n    },\n    {\n      \"@type\": \"Question\",\n      \"name\": \"Bing Chat tratta i miei dati come ChatGPT? Posso usarlo per dati aziendali?\",\n      \"acceptedAnswer\": {\n        \"@type\": \"Answer\",\n        \"text\": \"Bing Chat \u00e8 basato su GPT-4 ma opera sotto il rapporto contrattuale Microsoft, non OpenAI. Microsoft offre un quadro enterprise pi\u00f9 maturo: DPA standard, data residency configurabile su tenant business, certificazioni ISO 27001\/27018. Il Garante non ha aperto procedimenti su Bing Chat. La versione consumer gratuita ha per\u00f2 il livello di garanzia di un servizio pubblico, non aziendale. Per uso strutturato su dati aziendali serve almeno un account Microsoft 365 business e comunque evitare l'inserimento di dati particolari o di terzi.\"\n      }\n    },\n    {\n      \"@type\": \"Question\",\n      \"name\": \"Devo notificare un data breach al Garante per l'uso di ChatGPT del mio team prima del blocco?\",\n      \"acceptedAnswer\": {\n        \"@type\": \"Answer\",\n        \"text\": \"Dipende dalla natura dei dati inseriti e dalla valutazione del rischio. L'art. 33 GDPR impone la notifica entro 72 ore se la violazione presenta un rischio per i diritti delle persone fisiche. Se i dipendenti hanno inserito dati personali di clienti o fornitori senza base giuridica, siamo nel territorio della notifica potenzialmente dovuta. Se hanno inserito solo dati pubblici o anonimizzati, probabilmente no. Il consiglio operativo \u00e8 fare prima l'inventario interno, poi consultare il DPO o un legale privacy. Una notifica avventata \u00e8 dannosa quanto una omessa.\"\n      }\n    },\n    {\n      \"@type\": \"Question\",\n      \"name\": \"Posso usare ChatGPT con VPN dall'Italia per il mio business?\",\n      \"acceptedAnswer\": {\n        \"@type\": \"Answer\",\n        \"text\": \"Tecnicamente s\u00ec, giuridicamente \u00e8 una pessima idea. Usare una VPN per aggirare un blocco di un'Autorit\u00e0 nazionale espone a responsabilit\u00e0 sproporzionate. Primo, viola i Termini di Servizio di OpenAI: l'account pu\u00f2 essere chiuso senza preavviso. Secondo, se vengono inseriti dati personali, la base giuridica del trattamento \u00e8 inesistente. Terzo, in caso di controllo, dimostrare la buona fede su un trattamento attivamente bypassato \u00e8 impossibile. Per qualsiasi attivit\u00e0 aziendale, il rischio supera nettamente il valore.\"\n      }\n    },\n    {\n      \"@type\": \"Question\",\n      \"name\": \"Quanto costa far fare la DPIA AI generativa a un consulente DPO?\",\n      \"acceptedAnswer\": {\n        \"@type\": \"Answer\",\n        \"text\": \"I tariffari di mercato per una DPIA dedicata all'AI generativa, eseguita da un DPO esperto o uno studio legale specializzato in privacy, si muovono nel range 1.500-4.500 euro per una PMI di medie dimensioni (10-50 dipendenti, uso AI circoscritto a 1-2 dipartimenti). Il prezzo varia in funzione della complessit\u00e0: numero di sistemi AI coinvolti, categorie di dati trattate, presenza di dati particolari. La DPIA non \u00e8 un esercizio formale: \u00e8 un documento di 8-15 pagine che identifica rischi concreti e contromisure verificabili.\"\n      }\n    },\n    {\n      \"@type\": \"Question\",\n      \"name\": \"Se anche Francia e Germania bloccano ChatGPT, cambia qualcosa per la mia azienda italiana?\",\n      \"acceptedAnswer\": {\n        \"@type\": \"Answer\",\n        \"text\": \"S\u00ec, indirettamente. Un'azione coordinata UE cambierebbe il peso negoziale: OpenAI risponderebbe a una richiesta paneuropea con misure pi\u00f9 strutturate. Per la tua azienda significa garanzie pi\u00f9 solide (data residency europea, DPA enterprise standardizzata) ma tempi pi\u00f9 lunghi. Una negoziazione bilaterale Italia-OpenAI pu\u00f2 chiudersi in 3-4 settimane; una multilaterale UE-OpenAI richiede mesi. L'effetto pratico \u00e8 la conferma della direttrice: l'uso di tool AI cloud richieder\u00e0 sempre pi\u00f9 documentazione contrattuale e meno improvvisazione. \u00c8 un cambiamento strutturale, non un episodio.\"\n      }\n    }\n  ]\n}\n<\/script><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Sono passate 168 ore dal Provvedimento n. 112 del Garante per la Protezione dei Dati Personali, e ChatGPT \u00e8 ancora inaccessibile dall&#8217;Italia. Ieri, 6 aprile 2023, OpenAI ha&hellip;<\/p>\n","protected":false},"author":2,"featured_media":2698,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_seopress_titles_title":"OpenAI risponde al Garante: misure per ChatGPT e PMI italiane | Brentasoft","_seopress_titles_desc":"OpenAI presenta al Garante 5 misure per ChatGPT: informativa GDPR, opt-out training, age check. Analisi per PMI italiane e cosa fare in attesa dello sblocco.","_seopress_robots_index":"","_seopress_robots_follow":"","_seopress_robots_imageindex":"","_seopress_robots_snippet":"","_seopress_robots_primary_cat":"","_seopress_robots_breadcrumbs":"","_seopress_robots_freeze_modified_date":"","_seopress_robots_custom_modified_date":"","_seopress_robots_canonical":"https:\/\/brentasoft.com\/blog\/openai-risponde-garante-privacy-chatgpt-misure-pmi-italiane-aprile-2023\/","_seopress_social_fb_title":"OpenAI risponde al Garante Privacy: cosa cambia per le PMI italiane","_seopress_social_fb_desc":"Le 5 misure proposte da OpenAI al Garante, i nodi ancora aperti e il piano operativo per la tua PMI nelle prossime 2-3 settimane.","_seopress_social_fb_img":"","_seopress_social_fb_img_attachment_id":0,"_seopress_social_fb_img_width":0,"_seopress_social_fb_img_height":0,"_seopress_social_twitter_title":"OpenAI risponde al Garante Privacy: cosa cambia per le PMI italiane","_seopress_social_twitter_desc":"Le 5 misure proposte da OpenAI al Garante, i nodi ancora aperti e il piano operativo per la tua PMI nelle prossime 2-3 settimane.","_seopress_social_twitter_img":"","_seopress_social_twitter_img_attachment_id":0,"_seopress_social_twitter_img_width":0,"_seopress_social_twitter_img_height":0,"_seopress_redirections_value":"","_seopress_redirections_enabled":"","_seopress_redirections_enabled_regex":"","_seopress_redirections_logged_status":"","_seopress_redirections_param":"","_seopress_redirections_type":0,"_seopress_analysis_target_kw":"","footnotes":""},"categories":[25],"tags":[],"class_list":["post-2707","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-compliance-normative"],"_links":{"self":[{"href":"https:\/\/brentasoft.com\/blog\/wp-json\/wp\/v2\/posts\/2707","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/brentasoft.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/brentasoft.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/brentasoft.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/brentasoft.com\/blog\/wp-json\/wp\/v2\/comments?post=2707"}],"version-history":[{"count":0,"href":"https:\/\/brentasoft.com\/blog\/wp-json\/wp\/v2\/posts\/2707\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/brentasoft.com\/blog\/wp-json\/wp\/v2\/media\/2698"}],"wp:attachment":[{"href":"https:\/\/brentasoft.com\/blog\/wp-json\/wp\/v2\/media?parent=2707"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/brentasoft.com\/blog\/wp-json\/wp\/v2\/categories?post=2707"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/brentasoft.com\/blog\/wp-json\/wp\/v2\/tags?post=2707"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}