Alpiflow
Tutti gli articoli
gdpr ai pmi fornitori

GDPR e AI: cosa firmare prima di far processare dati ai vostri fornitori

Guida operativa per CEO e DPO di PMI italiane che vogliono usare automazioni AI senza prendere multe e senza rallentare il legale.

Autore · Alpiflow Studio Lettura · 5 min

GDPR e AI: cosa firmare prima di far processare dati ai vostri fornitori

Perché questo è diventato un problema serio nel 2026

Tre cose sono cambiate negli ultimi 24 mesi:

  1. AI Act europeo è in fase di applicazione progressiva. I divieti dell'art. 5 (manipolazione subliminale, social scoring, identificazione biometrica in tempo reale) sono operativi dal 2 febbraio 2025. Le norme sui modelli AI per uso generale (GPAI) dal 2 agosto 2025. La piena applicabilità per i sistemi ad alto rischio è prevista per il 2 agosto 2026 (salvo proposte di slittamento del Digital Omnibus, ancora in negoziato).
  2. EDPB ha pubblicato linee guida sull'uso di modelli AI con dati personali. Non è più zona grigia.
  3. Il Garante italiano ha bloccato temporaneamente ChatGPT in Italia nel marzo 2023 per raccolta illecita di dati personali e mancanza di base giuridica per l'addestramento. Il caso ha definito i termini con cui un fornitore AI può operare in Italia. Da quel momento, l'attenzione del Garante sull'uso di AI con dati personali resta alta.

Risultato pratico: il vostro ufficio legale o il DPO vi chiederà conto di ogni servizio AI che processa dati, anche solo nomi e email dei vostri clienti. Se non avete documenti pronti, il progetto si blocca per settimane.

Questa pagina è una checklist operativa di cosa pretendere dal vostro fornitore AI prima di firmare. Non è consulenza legale, è il manuale di sopravvivenza operativo per una PMI italiana.

I tre documenti che dovete avere prima di iniziare

1. DPA (Data Processing Agreement)

È il contratto privacy ai sensi dell'art. 28 GDPR. Vi qualifica come Titolare e il fornitore AI come Responsabile del trattamento. Cosa controllare:

  • Sub-processor list esplicita. Il fornitore AI usa quasi sempre altri fornitori (cloud, API, ecc.). Devono essere elencati per nome, con paese e ruolo. Se la lista è "dinamica e disponibile su richiesta", non firmate.
  • Località dei dati. Cercate la frase "data residency" o "data location". Pretendete che sia esplicitamente l'EU, con il datacenter nominato (es. Hetzner Helsinki, AWS Frankfurt). Se il fornitore dice "USA con SCC", state attenti: tecnicamente legale, ma molto più scomodo da difendere se arriva un audit.
  • Diritto di audit. Avete diritto a chiedere prova del trattamento. Pretendete almeno SOC 2 Type II o ISO 27001 aggiornato. I fornitori seri li hanno.
  • Notifica data breach entro 72 ore. Standard, ma controllate che ci sia. Senza questa clausola siete voi che subentrate nell'obbligo verso il Garante.

2. Clausola "no training"

Questa è la più importante e quasi sempre la più ambigua. Vi serve garanzia esplicita che i vostri dati non vengono usati per addestrare modelli del fornitore o di terze parti.

Frase che dovete leggere (o farvela mettere se non c'è): "I dati del Cliente non saranno utilizzati per l'addestramento, il fine-tuning o il miglioramento dei modelli del Fornitore o di soggetti terzi."

Attenzione ai trabocchetti:

  • "Logged for service improvement" non è "no training". Pretendete chiarimento scritto.
  • "Anonimizzati e aggregati" è quasi sempre una scappatoia. La pseudonimizzazione non è anonimizzazione ai sensi GDPR e i giudici lo hanno chiarito più volte.
  • "Opt-out disponibile" non basta. Deve essere opt-out di default o, meglio, la training non deve mai essere fatta sui vostri dati indipendentemente dalla configurazione.

I fornitori AI seri (Anthropic Claude su API, OpenAI Enterprise, Mistral La Plateforme) hanno tutti queste clausole. Se il vostro fornitore non le ha scritte chiare, è un red flag.

3. Registro dei trattamenti aggiornato

Se siete sopra i 250 dipendenti o trattate categorie particolari (sanitari, lavoro, ecc.), il registro è obbligatorio per legge. Sotto, è sempre raccomandato. Cosa aggiornare quando aggiungete un'automazione AI:

  • Nuova attività di trattamento (es. "Generazione automatica risposte clienti")
  • Categoria dati trattati (in genere: identificativi, contatti, contenuto della richiesta)
  • Base giuridica (legittimo interesse di solito, ma valutate caso per caso)
  • Responsabile esterno (il fornitore AI con riferimento al DPA)
  • Misure di sicurezza (cifratura in transito, in riposo, controlli accesso, log)
  • Periodo di conservazione (sui log: tipicamente 30–90 giorni)

Un DPO interno fa l'aggiornamento in poco tempo se ha le info pronte. Se gliele consegnate ammucchiate, ci mette settimane.

Le tre domande che il vostro DPO vi farà

Quando proporrete un'automazione AI, aspettatevi queste domande. Avere già le risposte vi fa risparmiare settimane.

1. "Dove finiscono i dati e per quanto tempo?"
Risposta target: "Datacenter EU nominato, log retention 90 giorni max, niente storage permanente del contenuto delle richieste."

2. "Possiamo dimostrare al cliente che i suoi dati non addestrano modelli?"
Risposta target: "Sì, la clausola è all'art. X del DPA, eccola scritta nera su bianco."

3. "Cosa succede se il fornitore subisce un breach?"
Risposta target: "Notifica entro 72 ore, contratto prevede assistenza tecnica del fornitore, sappiamo a chi notificare lato Garante."

Se non potete rispondere a queste tre, il progetto si blocca al primo controllo interno.

Cosa NON dovete fare

  • Non usate ChatGPT consumer (chat.openai.com) per dati aziendali. È destinato a uso personale, le clausole sono diverse, i dati possono essere usati per training di default.
  • Non incollate dati di clienti in tool AI gratis "tanto è solo una bozza". Una volta uscito il dato dal vostro perimetro, il problema esiste anche se nessuno se ne accorge.
  • Non firmate DPA generici "scaricati da internet". Devono essere customizzati sul fornitore specifico, con sub-processor reali e clausole training reali.
  • Non aspettate l'audit per organizzarvi. Costa molto di più rifare a posteriori.

Come affrontiamo questa parte nei nostri progetti

Quando partiamo con un cliente, il pacchetto di compliance prevede:

  • DPA cliente-Alpiflow customizzato sul progetto specifico
  • DPA Alpiflow-fornitori AI a monte, condiviso in copia col cliente
  • Sub-processor list esplicita di tutti i tool della pipeline
  • Hosting EU-only di default (Hetzner Helsinki, Finlandia)
  • Verifica clausola "no training" su ogni fornitore della pipeline
  • Voce pronta per il registro dei trattamenti del cliente

Il vostro DPO firma in tempi brevi invece di aspettare settimane di chiarimenti. Il legal sblocca il budget. Il progetto parte.

Se vi state guardando in faccia con il legal e non sapete come muovervi, vale la pena una mezz'ora di chiamata. Vi diciamo cosa pretendere dal fornitore (anche se non siamo noi), non vi vendiamo niente.

Prenota una call di 15 minuti →

Questa pagina non è consulenza legale. Per casi specifici sentite il vostro DPO o un avvocato esperto in privacy. Le indicazioni qui valgono come punto di partenza operativo, non come parere legale vincolante.