«Ma se carico i dati dei miei clienti su ChatGPT, dove finiscono?». È forse la preoccupazione numero uno che sentiamo quando un’azienda inizia a usare l’AI sul serio. È una domanda sacrosanta, e la risposta è meno spaventosa di quanto si tema — a patto di capire una distinzione che cambia tutto.

La distinzione che cambia tutto: account personale o aziendale

Non è lo strumento a fare la differenza. È il tipo di account con cui lo usi. La stessa identica AI si comporta in due modi opposti a seconda che tu acceda con un account personale/gratuito o con un account business/enterprise.

Con gli account personali e gratuiti, in molti casi le tue conversazioni vengono usate per addestrare i modelli (di default o a seconda di un’impostazione). Con gli account business ed enterprise, i principali fornitori si impegnano per contratto a non usare i tuoi dati per addestrare i modelli. È la differenza tra «i tuoi dati alimentano il prodotto di qualcun altro» e «i tuoi dati restano tuoi».

OpenAI (ChatGPT) — usati per il training (puoi disattivare) · NON usati (impegno contrattuale)

Anthropic (Claude) — usati per il training (puoi disattivare) · NON usati (divieto contrattuale)

Microsoft (Copilot) — usati per il training, ma NON per gli utenti in UE · NON usati (impegno contrattuale)

Google (Gemini) — dipende dall’impostazione “Attività” · NON usati (impegno contrattuale)

La conclusione pratica è netta: usare ChatGPT gratuito, il Claude personale o il Gemini consumer per lavorare sui dati dei clienti significa, nella migliore delle ipotesi, regalare quei dati all’addestramento di un modello. Per l’azienda serve un account business o enterprise, con il contratto giusto firmato.

Il rischio numero uno non è tecnologico: è lo “shadow AI”

Il pericolo più diffuso e meno visibile non è un attacco hacker. È il tuo collaboratore che, in buona fede, incolla l’elenco clienti o una bozza di contratto dentro ChatGPT gratuito col suo account personale, per farsi aiutare a scrivere una mail. In quel gesto stai trasferendo dati personali a un soggetto esterno senza base giuridica, senza contratto, spesso verso server fuori dall’UE. È una potenziale violazione del GDPR, e accade ogni giorno in migliaia di aziende che “non usano l’AI”. La prima difesa non è un software: è una policy interna chiara su quali strumenti si possono usare e quali dati si possono inserire.

Dove finiscono fisicamente i dati (la residenza in UE)

«Restano in Europa?» è la seconda domanda. Dipende dal fornitore e dal piano. Microsoft offre una “EU Data Boundary” e, da fine 2025, l’elaborazione in 15 Paesi tra cui l’Italia — con un’avvertenza: alcune funzioni di Copilot che usano modelli di terze parti possono uscire dall’UE, e vanno attivate consapevolmente. Google Workspace permette di selezionare la regione “Europa” per i piani idonei. Claude offre residenza europea tramite le infrastrutture cloud (AWS, Google Cloud). OpenAI elabora i dati principalmente negli Stati Uniti e, a oggi, non risulta certificata nell’accordo UE-USA (il Data Privacy Framework): per i trasferimenti servono le Clausole Contrattuali Standard, incluse nel suo contratto enterprise.

Una nota che vale per tutti: l’accordo UE-USA sul trasferimento dati è in vigore a giugno 2026, ma è sotto ricorso davanti alla Corte di Giustizia europea. La raccomandazione degli studi legali è di non affidarsi solo a quella certificazione e di mantenere comunque attive le Clausole Contrattuali Standard come rete di sicurezza.

GDPR in pratica, senza panico

Tradotto in cose da fare, senza linguaggio da avvocati. Quando la tua azienda usa un tool AI, tu sei il “titolare” del trattamento (decidi perché e come usarlo) e il fornitore è il “responsabile” (tratta i dati per conto tuo). Questo comporta alcuni passaggi concreti.

Firma il DPA. Il contratto sul trattamento dei dati (Data Processing Agreement) è obbligatorio quando condividi dati personali con un fornitore. Tutti i fornitori enterprise lo mettono a disposizione — ma va richiesto, firmato e archiviato: non è automatico.

Documenta la base giuridica. Attenzione a un errore comune: per i dipendenti il consenso in genere non è valido, perché non sono liberi di rifiutare. Serve un’altra base, documentata.

Valuta la DPIA. Per l’adozione di strumenti AI su tutta la forza lavoro o sui clienti, la valutazione d’impatto è quasi sempre obbligatoria. Esiste un modello europeo aggiornato a cui appoggiarsi.

Aggiorna l’informativa. Dipendenti e clienti vanno informati che i loro dati possono essere trattati tramite strumenti AI.

Attiva la residenza UE. Nei prodotti che la prevedono (Copilot, Workspace) va selezionata dall’amministratore: non è attiva di default.

L’AI Act: qualcosa è già obbligatorio oggi

Molti pensano all’AI Act europeo come a qualcosa “che arriverà”. In parte è già qui. Da febbraio 2025 è in vigore l’obbligo di alfabetizzazione sull’AI: le aziende devono assicurarsi che chi usa questi strumenti abbia competenze adeguate — e va documentato. Sono già vietate alcune pratiche, come i sistemi di riconoscimento delle emozioni sul posto di lavoro. E dal 2 agosto 2026 scatta l’obbligo di trasparenza: un chatbot rivolto al pubblico deve dichiarare di essere un’AI. Non è teoria lontana: è un calendario che è già iniziato.

L’Italia fa sul serio: il Garante non scherza

Chi pensa che in Italia queste regole restino sulla carta, guardi cosa è successo. Nel 2023 il Garante della privacy ha bloccato ChatGPT, riammesso solo dopo che OpenAI ha accettato una serie di condizioni; nel 2024 ha comminato una multa da 15 milioni di euro (poi annullata nel marzo 2026 dal Tribunale di Roma per una questione di competenza territoriale, non nel merito). All’inizio del 2025 ha bloccato in modo definitivo DeepSeek per il trattamento dei dati degli utenti italiani. E ha sanzionato per 5 milioni di euro — multa effettivamente pagata — la società dietro il chatbot Replika. La lezione per un’azienda è semplice: l’autorità interviene, e l’AI è nel suo mirino.

La checklist pratica per la tua azienda

Riassumendo tutto in una lista azionabile, ecco i passaggi minimi per usare l’AI in regola.

  • Usa solo account business/enterprise per le attività aziendali; mai account personali sui dati dei clienti.
  • Firma e archivia il DPA del fornitore; controlla i suoi sub-fornitori.
  • Conduci la valutazione d’impatto (DPIA) per i deployment su dipendenti o clienti.
  • Documenta la base giuridica corretta (per i dipendenti, non il consenso).
  • Aggiorna le informative privacy verso dipendenti e clienti.
  • Attiva la residenza dati UE dove disponibile e verifica le Clausole Contrattuali Standard.
  • Forma le persone: dal 2025 l’alfabetizzazione AI è un obbligo, non un di più.
  • Scrivi una policy interna sull’uso dell’AI: strumenti ammessi, dati ammessi, chi fa cosa.

In sintesi

«Dove finiscono i miei dati?» dipende quasi sempre da una scelta tua: account personale o aziendale. Con gli strumenti giusti, il contratto firmato e qualche accortezza, l’AI si usa in regola e senza paura. Il rischio non è la tecnologia in sé: è usarla alla cieca, con account sbagliati e senza una policy. La buona notizia è che mettere ordine costa poco — molto meno di una contestazione del Garante.

Fonti

OpenAI — Enterprise privacy

Anthropic — Commercial Terms (uso dei dati)

Microsoft Learn — Enterprise data protection per Microsoft 365 Copilot

Microsoft — elaborazione dati in-country per 15 Paesi (nov 2025)

Google Workspace — sicurezza e privacy dell’AI

EU AI Act — testo ufficiale Reg. (UE) 2024/1689

Commissione Europea — timeline di applicazione dell’AI Act

Garante Privacy — provvedimento di blocco ChatGPT (2023)

Garante Privacy — provvedimento DeepSeek (2025)

Wilson Sonsini — annullamento della multa OpenAI (Tribunale di Roma, 2026)

Informazioni aggiornate a giugno 2026. Questo articolo ha finalità informative e divulgative e non costituisce consulenza legale: per il caso concreto della tua azienda è consigliabile il parere di un professionista in protezione dei dati.