AI e i dati della tua azienda: dove vanno e cosa resta da te
È la domanda che mi fanno prima di tutte le altre, e ha senso: se do i miei documenti a un’intelligenza artificiale, dove finiscono? Qui non trovi un trattato giuridico. Trovo il modo di dirti, in prima persona e in concreto, come tratto i tuoi dati quando costruisco uno strumento per te.
Nei progetti reali uso le API a pagamento dei modelli, che non usano i tuoi dati per l’addestramento e li tengono in retention zero. Per i dati sensibili elaboro in locale, così non escono dall’azienda. Le demo di questo sito girano solo nel tuo browser e non salvano nulla. Sui casi delicati l’invio resta sempre un’azione umana.
- API in retention zero, nessun addestramento sui tuoi dati.
- Dati sensibili: elaborazione in locale, non escono dall’azienda.
- Demo nel browser: niente rete, niente salvataggi.
- Verifica umana prima dell’invio sui casi delicati.
Non sono un avvocato né un DPO: questa pagina spiega la mia pratica tecnica, non è consulenza legale. Per le valutazioni formali ti appoggi al tuo consulente privacy.
La paura è legittima: «i miei dati finiscono ad addestrare un modello?»
Partiamo dal timore più diffuso, quello che senti dai colleghi e leggi sui giornali: metto un preventivo o l’anagrafica di un cliente dentro ChatGPT, e domani quei dati diventano parte del modello, magari escono a qualcun altro. È una preoccupazione sana, e nasce da un fatto vero: la versione web gratuita di ChatGPT, per impostazione predefinita, può usare le tue conversazioni per addestrare il modello. Se incolli lì i dati dei clienti senza pensarci, la paura è fondata.
Il punto è che quella non è l’unica strada, e non è quella che uso io per i tuoi progetti. La versione web consumer e le API a pagamento dei fornitori sono due mondi diversi, con regole diverse su cosa succede ai dati. Costruire uno strumento serio significa proprio scegliere il canale giusto e chiuderlo bene.
Come lavoro in pratica
Non ti chiedo di fidarti sulla parola. Ti spiego le quattro cose che faccio, così puoi controllarle con il tuo consulente.
- API in retention zero, nessun training sui tuoi dati. Quando serve un modello nel cloud, uso le API a pagamento (OpenAI, Anthropic e simili). Per contratto questi fornitori non usano i dati inviati via API per addestrare i loro modelli, e li tengono in retention zero o per pochi giorni ai soli fini anti-abuso. I tuoi dati passano, vengono elaborati, non restano.
- Elaborazione locale o on-premise quando i dati sono sensibili. Se parliamo di documenti fiscali, dati sanitari, atti notarili o anagrafiche delicate, posso far girare l’elaborazione in locale o su un ambiente controllato. In quel caso i dati non escono dalla tua azienda: non passano nemmeno da un’API esterna.
- So dire cosa NON deve uscire. Prima di costruire, guardiamo insieme quali campi sono davvero necessari all’AI e quali no. Un codice fiscale, un IBAN, un nome intero spesso non servono per far funzionare lo strumento: si possono togliere o mascherare prima dell’invio. Meno dati escono, meno rischio corri.
- Verifica umana sui casi delicati. Nei flussi che consegno, l’AI prepara la bozza — una risposta, un preventivo, un sollecito — ma l’invio resta un’azione tua. Su ciò che è delicato, una persona legge e conferma prima che parta.
Dove girano i dati, in una tabella
Perché sia chiaro senza giri di parole, ecco la differenza tra le demo di questo sito e i progetti reali.
| Contesto | Dove girano i dati | Cosa viene conservato |
|---|---|---|
Le demo di questo sito (/strumenti/) | Solo nel tuo browser, sul tuo dispositivo. Niente rete. | Nulla. Non arriva a me, non viene salvato. |
| Progetto reale — dati ordinari | API a pagamento in retention zero. | Nulla dopo l’elaborazione; nessun training sui tuoi dati. |
| Progetto reale — dati sensibili | In locale / on-premise, ambiente controllato. | I dati non escono dall’azienda. |
Vuoi vedere la logica retention zero applicata? La demo chatta con i tuoi documenti gira nel tuo browser: puoi provarla con un file finto e verificare che nulla lasci il tuo dispositivo.
GDPR in pratica, senza fuffa
Non ti riempio di sigle. Tre principi che seguo davvero quando costruisco:
- Minimizzazione. All’AI do solo i dati che servono a fare quel compito, non l’intero archivio. Meno superficie, meno rischio.
- Base giuridica chiara. Quando ci scriviamo per un preventivo o per capire se automatizzare, il trattamento dei tuoi dati di contatto si regge sull’esecuzione di misure precontrattuali richieste da te — è normale corrispondenza commerciale, non profilazione.
- I tuoi diritti restano tuoi. Accesso, rettifica, cancellazione: sono diritti del cliente e dei suoi interessati, e li rispetto. Se mi chiedi di eliminare un esempio che mi hai mandato, lo elimino.
Come tratto i dati di chi visita e contatta questo sito lo trovi per esteso nella pagina privacy, e le condizioni generali nelle note legali. Ripeto: sono un tecnico, non un legale. Se hai un DPO o un consulente privacy, quello che leggi qui gli serve per capire come lavoro; le valutazioni formali le fa lui.
Settori sensibili: commercialisti, studi legali, sanità
Se lavori con dati particolarmente delicati, il tema «dove vanno i dati» non è un dettaglio, è il progetto. Per questi casi l’elaborazione locale e la verifica umana non sono un’opzione, sono il punto di partenza. Ho pagine dedicate a come affronto proprio questi contesti:
- AI e automazioni per commercialisti e studi — ricerca nei documenti e meno reinserimento manuale, tenendo i dati fiscali sotto controllo.
- Onboarding e KYC per studi legali e notarili — raccolta e verifica documenti con i dati che restano nell’ambiente giusto.
Domande sui tuoi dati e l’AI
Se uso un tuo strumento AI, i miei dati vanno ad addestrare un modello?
No. Nei progetti reali uso le API a pagamento dei fornitori (OpenAI, Anthropic e simili), che per contratto non usano i dati inviati via API per addestrare i loro modelli e li tengono in retention zero o per pochi giorni ai soli fini anti-abuso. È diverso dalla versione web gratuita di ChatGPT, dove per impostazione predefinita le conversazioni possono essere usate per il training. Quando i dati sono sensibili, elaboro in locale e non escono nemmeno via API.
Le demo di questo sito vedono i miei dati?
No. Le demo che trovi sotto /strumenti/ girano dentro il tuo browser: quello che scrivi resta sul tuo dispositivo, non viene inviato a un server, non viene salvato e non arriva a me. Servono a mostrarti la logica dello strumento, non sono il servizio reale. Puoi incollare un esempio finto e vedere come ragiona senza rischi.
Dove finiscono fisicamente i dati quando lavoriamo davvero insieme?
Dipende dalla sensibilità. Per dati ordinari uso API in retention zero, così il fornitore non conserva nulla dopo l'elaborazione. Per dati sensibili (documenti fiscali, dati sanitari, atti) posso far girare l'elaborazione in locale o su un ambiente controllato, in modo che i dati non escano dalla tua azienda. Decidiamo insieme, caso per caso, prima di iniziare.
Sei un DPO o un consulente privacy?
No, e non voglio spacciarmi per quello. Sono il tecnico che costruisce lo strumento e ti spiega in modo onesto dove passano i dati e come li tratto. Le valutazioni formali (nomina del responsabile, DPIA, informative) restano di competenza del tuo consulente privacy o del tuo commercialista. Questa pagina non è consulenza legale.
Posso far controllare a una persona quello che l'AI produce prima che parta?
Sì, ed è la modalità che consiglio per i casi delicati. Nei flussi che costruisco l'AI prepara la bozza — una risposta, un preventivo, un sollecito — ma l'invio resta un'azione umana: tu o un tuo collaboratore leggete e confermate. L'AI fa risparmiare tempo, non toglie il controllo.
Hai un dubbio preciso su dove finirebbero i tuoi dati?
Mandami il tuo caso — che tipo di dati tratti, cosa vorresti automatizzare — e ti dico onestamente dove girerebbero e cosa resterebbe dentro la tua azienda. Nessuna vendita: prima la fiducia, poi lo strumento.