L’utilizzo dell’AI in azienda: l’importanza della policy

Redazione - 31/01/2026 03:46:11 (updated 31/01/2026 03:46:21)

A cura dell’ Avv. Lorenzo Perino – Fondatore di Lext Consulting S.a.S.

La diffusione dei sistemi di intelligenza artificiale in ambito aziendale, altamente efficienti e spesso gratuiti, ha un impatto rilevante dal punto di vista operativo per molte funzioni ma espone l’azienda anche a notevoli rischi. La condivisione di informazioni riservate o il trattamento illecito di dati personali sono sempre potenzialmente in agguato. Lo strumento più potente per prevenire tali rischi è l’elaborazione di una policy che dia indicazioni agli incaricati su come si possano utilizzare gli strumenti di AI in modo efficiente e soprattutto rispondente alle prescrizioni normative. Tutto questo senza mai perdere di vista gli obblighi in materia di proprietà intellettuale, privacy e controllo a distanza dei lavoratori.

La novità del fenomeno e i rischi connessi

Negli ultimi anni stiamo assistendo alla grande diffusione di strumenti software dotati di Intelligenza Artificiale e questi molto spesso sono concessi in uso gratuito agli utenti. Per alcune funzioni aziendali in particolare, pensiamo a marketing, vendite o anche funzioni legali interne, costituiscono un supporto all’attività quotidiana ormai irrinunciabile. Facilitano il lavoro, elaborano testi e contenuti, reperiscono informazioni con un’inedita efficienza e quindi fanno risparmiare sensibilmente tempo. Vista la novità del fenomeno però gli imprenditori molto spesso ne sottovalutano ampiamente i rischi connessi, sempre che siano informati adeguatamente sull’uso che i propri addetti facciano dell’AI. Partendo infatti da strumenti disponibili gratuitamente (o anche in caso di pacchetti a pagamento) come Chat GPT, Gemini o Copilot per citare i più famosi, il lavoratore è portato a processare numerose informazioni apprese nello svolgimento della propria attività lavorativa, compresi spesso anche dati personali, per l’ottenimento di un output utilizzabile. E’ necessario però che l’operatore sia consapevole che le informazioni sono caricate su un sistema il cui perimetro di funzionamento non risulta essere noto o comunque chiaramente definibile. Questo può avere diretti riflessi in tema di diffusione di informazioni aziendali riservate (know-how, procedure, elenchi clienti ecc…), di proprietà intellettuale per i contenuti coperti da copyright e in tema di comunicazione e diffusione di dati personali, qualora questi siano caricati. Dove vengano processate le informazioni, su quali server, in quale ambito territoriale e per quali finalità vengano utilizzati non è sempre cosa facile da determinare con certezza.

Predisporre una Policy AI

Per limitare efficacemente questi rischi, è necessario che le aziende predispongano una Policy AI con la finalità di dare indicazioni operative ai soggetti autorizzati su cosa possano fare, su cosa non possano fare e quali siano le conseguenze dei loro comportamenti. Il titolare del trattamento, venendo all’aspetto privacy, è chiamato a mappare tutti gli strumenti che i soggetti autorizzati utilizzano e anche ad effettuare una valutazione specifica del rischio che questi implicano. In prima battuta quindi dovrà fare un inventario degli applicativi, gratuiti o a pagamento, che vengono utilizzati ed effettuare un’analisi approfondita del loro utilizzo. Il caricamento di dati personali per esempio, a maggior ragione di dati particolari o dati giudiziari, dovrà essere vietato in relazione al fatto che di ciò che viene caricato sugli applicativi AI si perde sostanzialmente il controllo. Non sempre i termini e le condizioni di fornitura e le privacy policies proposte dai big data dell’AI si distinguono per trasparenza, soprattutto per quanto riguarda le versioni gratuite degli applicativi. All’interno della Policy AI quindi dovranno essere contenute indicazioni non equivoche sugli applicativi concessi in uso (white list) e i comportamenti consentiti, in modo da poter pretendere senza fraintendimenti tali comportamenti da tutti gli operatori. In caso di violazioni dovranno essere applicate anche sanzioni disciplinari. Da un punto di vista operativo poi, nell’utilizzo degli strumenti legittimamente concessi in uso, sarà necessario attirare l’attenzione sulla necessaria verifica dei contenuti prodotti dall’AI, cercando di effettuare verifiche di merito anche consultando fonti diverse, per evitare di usare o pubblicare informazioni inesatte o non rispondenti al vero. Un utilizzo pigro e passivo degli strumenti di intelligenza artificiale potrebbe dare luogo a responsabilità molto pesanti in capo all’azienda.

Applicativi specifici a pagamento dotati di AI generativa

Oltre all’offerta di assistenti o agenti AI, si stanno diffondendo con grande rapidità sul mercato anche applicativi specifici a pagamento dotati di AI generativa applicabili in diversi ambiti aziendali, come la gestione dei contratti con i clienti o le risorse umane. Questi strumenti offerti da aziende specializzate dovranno essere valutati dal Titolare, con il supporto del DPO, per capire in che modo possano essere utilizzati in modo conforme alla normativa e soprattutto quali dati personali possano essere inseriti. Tema molto rilevante è quello della qualificazione giuridica delle parti a fini privacy, il fornitore del software dovrà essere nominato Responsabile ai sensi dell’art. 28 del GDPR e grande attenzione dovrà essere riservata alla gestione della catena dei suoi sub-responsabili, tra questi specialmente ai fornitori delle tecnologie di AI di cui i software si avvalgono. Infatti nel caso in cui il prodotto software sia dotato di tecnologia AI non proprietaria ma si avvalga (come spesso accade) di società esterne (spesso Big Data statunitensi), sarà necessario indagare quali garanzie vengano offerte in tema di utilizzo dei dati per finalità di addestramento dei sistemi AI e in quali Paesi vengano trasferiti di dati. Se questi non risiedono su server europei, sarà necessario gestire correttamente il flusso verso Paesi che non danno livelli di garanzie privacy paragonabili all’Europa.

Implicazioni rilevanti in materia di trattamento dati personali

Il rischio attuale è quello che le alte prestazioni degli applicativi facciano dimenticare al Titolare che ci sono implicazioni rilevanti in materia di trattamento dati personali e gli impongono approfondite riflessioni e adempimenti specifici, a partire sempre e comunque dalla redazione di un’approfondita DPIA ai sensi dell’art. 35 del GDPR. Della selezione di fornitori affidabili e dei flussi di dati personali verso questi soggetti il Titolare potrà sempre essere chiamato a rispondere. Anche questa tipologia di applicativi AI a pagamento dovrà avere un capitolo riservato all’interno della POLICY AI in modo da consentire a tutti i soggetti autorizzati di utilizzarli correttamente e quindi di fare rendere l’investimento effettuato.

La preoccupazione primaria dovrà essere quella di trovare sempre un’adeguata base giuridica per i trattamenti di dati personali svolti con strumenti di AI. Se da un lato il trattamento di dati comuni può trovare la propria base giuridica nel legittimo interesse del Titolare, per i dati particolari e giudiziari questo non potrà mai avvenire. Sarà necessario il consenso specifico ed informato dell’interessato, riservando grande attenzione ai contenuti da includere all’interno dell’informativa ex art. 13 del GDPR. Non è però semplice dettagliare ciò che non si conosce fino in fondo e se il fornitore non chiarisce in modo definito modalità e termini di funzionamento dell’AI, l’obbligo di trasparenza verso l’interessato rimarrà inadempiuto. Per questo l’analisi delle funzionalità degli applicativi è un passo imprescindibile per poter utilizzare l’intelligenza artificiale in modo lecito.

Alla luce di quanto esposto si dovrà procedere con la richiesta di un consenso specifico al trattamento di dati particolari e giudiziari agli interessati, informandoli compiutamente sul perimetro di operatività degli strumenti di intelligenza artificiale. Questo potrà essere facilmente ottenuto per i nuovi interessati mentre per i dati personali già presenti nei database aziendali sarà più complicato. Allo stato degli atti non si ritiene che il consenso al trattamento dei dati particolari acquisito in passato (ad esempio per la gestione di una polizza assicurativa salute) possa essere assorbente rispetto all’utilizzo anche di strumenti di AI che al momento della manifestazione di volontà positiva magari non erano neanche stati concepiti, con un semplice riferimento generico al trattamento dati anche con strumenti elettronici. La tecnologia si muove a passi da gigante e il consenso deve essere sempre specifico e informato, pertanto dovrà essere granulare rispetto a ciascun nuovo strumento adottato. Questa però è una valutazione che dovrà fare di volta in volta il Titolare del trattamento in ossequio al principio dell’accountability.

La casistica del controllo a distanza dei lavoratori

Da ultimo poi processare dati personali riferiti al personale dipendente con strumenti di intelligenza artificiale, magari per finalità organizzative e produttive, per migliorare l’organizzazione interna del lavoro o efficientare processi, potrebbe costituire una modalità rientrante nella casistica del controllo a distanza dei lavoratori di cui all’art. 4 comma 2 dello Statuto dei Lavoratori. In questo caso sarà necessario perseguire la strada dell’accordo sindacale con le rappresentanze sindacali aziendali o, in caso di mancato accordo o in assenza di rappresentanze, richiedere l’autorizzazione all’Ispettorato del Lavoro competente per territorio. Ricordo che la mancanza di uno di questi due elementi, ove prescritto come obbligatorio, darà luogo alla responsabilità del datore di lavoro per comportamento antisindacale e i dati personali trattati saranno fonte di responsabilità privacy per trattamento illecito in capo al Titolare del trattamento per mancanza di valida base giuridica.

Effettuare una mappatura consapevole

Considerando quindi tutti gli aspetti esposti, le aziende dovranno effettuare una mappatura consapevole degli strumenti AI utilizzati, gratuiti o a pagamento che siano, ed elaborare un documento completo e dettagliato in grado di guidare i propri addetti nell’operatività quotidiana. In primo luogo per ottimizzare l’attività e sfruttare le enormi potenzialità che gli strumenti AI offrono. In secondo luogo per mettere al riparo da utilizzi illeciti sotto il profilo della proprietà intellettuale, della riservatezza delle informazioni, della privacy e del controllo a distanza dei lavoratori. La redazione e diffusione della Policy AI in azienda dovrà essere seguita da una robusta attività di formazione specifica, in modo da trasferire efficacemente tutti i concetti e offrire ai partecipanti un supporto continuo per chiarire i dubbi che si possano presentare. Solo seguendo puntualmente tutti questi passaggi l’azienda potrà cogliere le opportunità che l’intelligenza artificiale offre, senza rischiare di doverne patire le pesanti conseguenze negative.

Avv. Lorenzo Perino – Fondatore di Lext Consulting S.a.S.

L’utilizzo dell’AI in azienda: l’importanza della policy

La novità del fenomeno e i rischi connessi

Predisporre una Policy AI

Applicativi specifici a pagamento dotati di AI generativa

Implicazioni rilevanti in materia di trattamento dati personali

La casistica del controllo a distanza dei lavoratori

Effettuare una mappatura consapevole

LMF green

Rapporto ONU, il mondo entra nell’era della bancarotta idrica

CCUS, l’Europa accelera sulla cattura della CO₂ e l’Italia si afferma come snodo strategico

La corsa asiatica all’energia verde: sei fattori da monitorare nel 2026

AI e consumi: in Italia a dicembre 2025 le richieste di connessione per nuovi data center hanno raggiunto i 69 GW, quasi 13 volte il 2023

Plantvoice partner tecnologico del gruppo di studio sull’agricoltura 4.0 in Calabria

Mente e denaro

Perché l’educazione finanziaria può favorire la crescita. Intervento di Antonella Massari, Segretario Generale dell’Associazione Italiana Private Banking (AIPB)

Finanza 2025: vince il “buy and hold”. Smascherata l’illusione del guadagno facile

Oro, truffe e mercenari: i flussi illegali finanziano le minacce globali che colpiscono anche l’Europa

La politica fiscale del Governo vista da sinistra. Intervista ad Alessia Potecchi

Donald Trump e la tassazione della ricchezza: filosofia e precedenti. Si parlerà mai di patrimoniale negli USA?

LMF Crypto Agorà

“Memecoin, Consob e nuove regole, cosa insegna il caso Corona secondo l’avvocato Salvatore Luciano Furnari”

CoinShares. Inflazione e geopolitica: segnali contrastanti

World Liberty Financial, la crypto firm legata ai Trump, chiede una licenza bancaria negli Stati Uniti, tra innovazione e conflitti di interesse

Cardano punta in alto: un fondo sovrano in Bitcoin e un’alleanza strategica con Ripple

TaoMark: L’e-commerce basato su AI svela i top brand a prezzi competitivi e pagamenti flessibili in crypto, contanti e rate

MaltaLink

I gestori di fondi scelgono Malta: solida regolamentazione e sistema di tassazione favorevole i fattori di successo per costituire un veicolo d’investimento sull’isola

L’economia di Malta oggi: una combinazione vincente tra settori tradizionali e nicchie innovative

Malta Vision 2050: la strategia a lungo termine per una crescita economica sostenibile

MaltaLink

Il rating A+ con outlook stabile attribuito a Malta da parte di Fitch

Sala Stampa

L’utilizzo dell’AI in azienda: l’importanza della policy

“Memecoin, Consob e nuove regole, cosa insegna il caso Corona secondo l’avvocato Salvatore Luciano Furnari”

Robeco: Perché la Groenlandia è meno Golden Dome e più corsa alle terre rare

Comunicati stampa

Plantvoice partner tecnologico del gruppo di studio sull’agricoltura 4.0 in Calabria

Greenpeace – Un accordo a Davos?

Agricoltura ed Energia, un’Alleanza per il Futuro: torna la Giornata dell’Agrivoltaico di ANIE Rinnovabili.