GDPR e sicurezza dei dati in un second brain aziendale
Lettura 8 min · AstraLoop Studio
Ogni volta che proponiamo a un'azienda di costruire il proprio second brain aziendale, la prima domanda che arriva è sempre la stessa: "ma i miei dati dove finiscono?". È una domanda giusta e dimostra maturità. Il problema è che quasi sempre nasce da un presupposto sbagliato, cioè l'idea che oggi i dati aziendali siano al sicuro e che introdurre un'AI li esponga per la prima volta.
La realtà è diversa e vale la pena guardarla in faccia. Nella maggior parte delle aziende italiane i dati sensibili sono già usciti dal perimetro di controllo. Non per colpa di un progetto AI, ma perché i dipendenti hanno iniziato a incollare contratti, listini, email dei clienti e bozze di offerta dentro ChatGPT per lavorare più in fretta. Nessuna policy, nessun registro, nessun controllo. In questo scenario, un cervello aziendale progettato e governato non è il rischio: è la soluzione al rischio che hai già.
In questo articolo affrontiamo l'obiezione della sicurezza in modo concreto, dal punto di vista di chi deve decidere se investire in un company brain. Cosa succede davvero ai dati oggi, perché un sistema governato è più sicuro di uno lasciato a sé stesso, e quali strumenti (DPA, conformità GDPR, controllo di versione) rendono il tutto difendibile anche di fronte a un controllo.

Il rischio che hai già: la shadow AI
Partiamo da un dato di buon senso, prima ancora che di compliance. Quando un tuo commerciale deve scrivere un'offerta e chiede a ChatGPT di riformulare il testo, cosa incolla nella chat? Il nome del cliente, le condizioni economiche, magari lo storico della trattativa. Quando l'ufficio amministrativo vuole il riassunto di un contratto, ci incolla il contratto. Questo fenomeno ha un nome preciso: si chiama shadow AI, cioè l'uso di strumenti di intelligenza artificiale da parte dei dipendenti senza che l'azienda lo sappia, lo autorizzi o lo governi.
Il punto delicato non è che l'AI sia pericolosa in sé. Il punto è che questo flusso di dati avviene fuori da qualsiasi controllo aziendale: su account personali, con impostazioni sconosciute, senza un contratto tra la tua azienda e il fornitore, senza sapere se e come quei dati vengono conservati. Dal punto di vista del GDPR è esattamente lo scenario che vuoi evitare, cioè un trattamento di dati (spesso anche personali di clienti e fornitori) senza base giuridica documentata, senza titolare consapevole e senza misure di sicurezza.
Il paradosso è evidente. L'azienda che dice "non voglio l'AI per proteggere i miei dati" spesso ha già i dati in giro per il mondo attraverso decine di chat individuali. Non ha eliminato il rischio, lo ha solo reso invisibile. Un company brain non aggiunge un rischio nuovo: sostituisce un rischio incontrollato con un sistema controllato.
Perché un brain governato è più sicuro, non meno
La differenza tra i dati sparsi e un cervello aziendale progettato è la stessa che passa tra tenere i contanti sotto il materasso e tenerli in banca. Non è che in banca "escono di casa" per la prima volta: è che finalmente qualcuno ne risponde, sono tracciati e protetti. Vediamo perché un sistema governato ribalta la percezione del rischio.
1. Un unico perimetro invece di mille rivoli
Con un company brain la conoscenza dell'azienda smette di vivere sparpagliata tra chat personali, allegati di posta e cartelle dimenticate, e converge in un sistema con un unico punto di verità (quello che tecnicamente si chiama single source of truth). Un perimetro solo è un perimetro difendibile: puoi decidere chi accede a cosa, tenere traccia di chi ha visto o modificato un documento, applicare misure di sicurezza coerenti. Mille rivoli, no.
2. Contratti al posto delle buone intenzioni
Quando un dipendente usa ChatGPT dal proprio account, tra la tua azienda e il fornitore del modello non c'è nessun contratto. In un progetto strutturato, invece, il rapporto con i fornitori tecnologici viene regolato da un DPA (Data Processing Agreement), l'accordo sul trattamento dei dati previsto dall'articolo 28 del GDPR, che definisce per iscritto cosa può fare il fornitore con i tuoi dati, per quanto tempo e con quali garanzie. È la differenza tra sperare che vada bene e avere una responsabilità scritta e opponibile.
3. Storico e recupero grazie al controllo di versione
Un cervello aziendale ben costruito tiene traccia delle versioni della conoscenza (il cosiddetto version control). In pratica ogni modifica è registrata, esiste sempre una copia aggiornata e recuperabile, e puoi ricostruire chi ha cambiato cosa e quando. Questo copre due esigenze insieme: da un lato il backup e la continuità (se qualcosa si rompe o viene alterato, torni indietro), dall'altro la tracciabilità che il GDPR chiede quando gestisci dati in modo strutturato. Provare a ricostruire lo stesso storico da cinquanta chat individuali è, semplicemente, impossibile.

Il vero motivo per cui la sicurezza qui conta doppio
C'è un aspetto che spesso sfugge nel dibattito sulla sicurezza dei dati e l'AI, ed è forse il più importante dal punto di vista strategico. Il valore di un company brain sta proprio nel fatto che l'AI lavora sui tuoi dati. Come diciamo sempre ai nostri clienti, la tua AI è intelligente quanto ciò che riesce a leggere della tua azienda. Se tu e il tuo concorrente usate ChatGPT nello stesso modo, senza contesto aziendale, ottenete le stesse risposte: è il livello zero, nessun vantaggio.
Il salto avviene quando l'AI è allenata sulla conoscenza specifica della tua impresa. Ma questo significa che quella conoscenza (che poi è il tuo asset più prezioso, i dati sono ormai considerati il nuovo oro) deve essere raccolta e centralizzata da qualche parte. Ecco perché la sicurezza qui non è un dettaglio burocratico da spuntare: stai concentrando in un unico luogo il patrimonio informativo dell'azienda. Farlo bene significa proteggere il valore stesso che stai costruendo. Farlo male, o non farlo affatto e lasciare tutto alla shadow AI, significa disperdere quel valore mentre lo esponi.
Le aziende strutturate, quelle che hanno già processi e conoscenza accumulata, sono anche quelle che hanno di più da proteggere e di più da guadagnare. Approfondiamo questo aspetto nell'articolo sul vantaggio competitivo che nasce dai dati aziendali e su perché i dati aziendali siano il nuovo petrolio.
Come si mantiene sotto controllo: la riduzione delle allucinazioni
Un timore ricorrente non riguarda solo la fuoriuscita dei dati, ma la loro affidabilità: "e se l'AI si inventa le cose?". È una preoccupazione legittima, perché un'informazione sbagliata data con sicurezza può fare danni. Un company brain ben progettato affronta il problema alla radice attraverso il concetto di canon, cioè un'unica verità aziendale definita e verificata.
In un sistema costruito con metodo, l'AI non attinge alla sua "conoscenza generale" del mondo per rispondere alle domande sulla tua azienda: riporta solo ciò che è effettivamente presente nella base di conoscenza aziendale. Quando le informazioni sono tante, entra in gioco il RAG (retrieval aumentato), un meccanismo che recupera prima i documenti rilevanti e poi fa rispondere l'AI solo su quelli. Il risultato è che le allucinazioni si riducono drasticamente, perché il sistema è vincolato ai fatti aziendali reali. Sicurezza dei dati, in questo senso, vuol dire anche affidabilità delle risposte: non solo proteggere le informazioni, ma garantire che vengano usate quelle giuste.
Vuoi capire se il modo in cui la tua azienda usa già l'AI è a norma o è un rischio nascosto? Richiedi un'analisi: valutiamo insieme come costruire un company brain sicuro e conforme.
Cosa serve concretamente per essere in regola
Senza trasformare questo articolo in una consulenza legale (per quello serve un professionista che valuti il tuo caso specifico), ecco gli elementi che, dal nostro lavoro sul campo, rendono un company brain difendibile sotto il profilo GDPR. Sono le domande che dovresti farti, o far fare al tuo consulente privacy, quando valuti un progetto del genere.
| Elemento | A cosa serve |
|---|---|
| DPA firmati | Regolare per iscritto il trattamento dei dati con ogni fornitore tecnologico coinvolto (art. 28 GDPR). |
| Base giuridica e finalità | Sapere quali dati entrano nel sistema, perché e con quale legittimità, soprattutto per i dati personali di clienti e fornitori. |
| Controllo degli accessi | Definire chi può leggere cosa: non tutti in azienda devono vedere tutto. |
| Version control e backup | Storico delle modifiche, recuperabilità, un'unica fonte aggiornata anche in team. |
| Localizzazione e conservazione | Sapere dove risiedono i dati e per quanto tempo vengono conservati. |
| Registro dei trattamenti | Documentare il sistema per essere pronti in caso di controllo del Garante Privacy. |
La buona notizia è che questi non sono ostacoli, ma esattamente ciò che ti manca oggi se i dati sono sparsi nella shadow AI. Progettare il company brain è l'occasione per mettere ordine una volta per tutte. Se vuoi capire quando la tua azienda è matura per questo passo, abbiamo scritto una guida dedicata su quando un'azienda è pronta per un second brain.
Un tema che conosciamo dai due lati
C'è un motivo per cui affrontiamo la questione sicurezza senza giri di parole: la governance dei dati non è un'appendice del progetto, è parte della sua struttura. Un cervello aziendale fatto bene richiede metodo, e la compliance ne è un pilastro, insieme all'architettura della conoscenza, ai controlli di qualità e alla scelta della tecnologia giusta.
Qui vale la pena ricordare un principio che guida il nostro lavoro: con l'AI puoi fare outsourcing di competenza (l'AI scrive codice) e persino di pensiero (propone soluzioni), ma non puoi fare outsourcing della comprensione del tuo business. Progettare un sistema che sia insieme utile e sicuro significa capire quali dati contano, chi deve accedervi e con quali garanzie. È qui che un partner esperto fa la differenza tra un progetto che genera valore protetto e uno che apre falle. Il tema si intreccia con la sicurezza informatica per le PMI e, più in generale, con una consulenza AI seria per le aziende.
In sintesi
L'obiezione "e i miei dati?" è sacrosanta, ma va rovesciata. La domanda giusta non è "un company brain espone i miei dati?", ma "i miei dati sono già esposti oggi, e senza controllo?". Nella maggior parte dei casi la risposta è sì, attraverso l'uso non governato di ChatGPT da parte del team. Un second brain progettato con DPA, conformità GDPR, controllo degli accessi e version control non aggiunge rischio: sostituisce un rischio invisibile con un sistema tracciabile, difendibile e sicuro, che per di più trasforma la tua conoscenza nel tuo vero vantaggio competitivo.
Domande frequenti
Usare un second brain aziendale con l'AI è conforme al GDPR?
Può esserlo, se il progetto è costruito con le giuste garanzie: DPA firmati con i fornitori (art. 28 GDPR), base giuridica chiara per i dati trattati, controllo degli accessi e tracciabilità. È molto più conforme dell'alternativa più diffusa, cioè i dipendenti che incollano dati aziendali in ChatGPT senza alcun controllo. Per il tuo caso specifico è comunque bene coinvolgere un consulente privacy.
I dati che metto in un company brain finiscono per addestrare i modelli AI pubblici?
Dipende dalla configurazione e dai contratti. In un progetto governato si usano fornitori e piani che, tramite il DPA, escludono l'uso dei tuoi dati per l'addestramento dei modelli pubblici. È esattamente la differenza rispetto all'uso di account personali gratuiti, dove queste garanzie spesso non ci sono.
Cos'è un DPA e perché serve in un progetto di intelligenza artificiale?
Il DPA (Data Processing Agreement) è l'accordo sul trattamento dei dati previsto dall'articolo 28 del GDPR. Regola per iscritto cosa può fare il fornitore tecnologico con i tuoi dati, per quanto tempo li conserva e con quali misure di sicurezza. Senza DPA, come accade con gli account personali, non hai alcuna tutela contrattuale.
È più sicuro un company brain o lasciare che ognuno usi ChatGPT per conto suo?
Un company brain governato è più sicuro. L'uso individuale e non controllato di ChatGPT (la cosiddetta shadow AI) fa uscire dati aziendali senza contratti, senza tracciabilità e senza policy. Un sistema centralizzato concentra la conoscenza in un unico perimetro difendibile, con accessi controllati e storico delle modifiche.
Come si evita che l'AI si inventi informazioni sui dati aziendali?
Attraverso il concetto di canon, cioè un'unica fonte di verità aziendale, e tecniche come il RAG (retrieval aumentato) che vincolano l'AI a rispondere solo sui documenti effettivamente presenti nella base di conoscenza. In questo modo il sistema riporta i fatti reali dell'azienda invece di inventarli, riducendo drasticamente le allucinazioni.
Chi si occupa della parte di sicurezza e compliance in un progetto di second brain?
Nella pratica serve un partner che progetti l'architettura tenendo insieme utilità e governance: DPA, controllo accessi, version control e conformità GDPR fanno parte del design del sistema, non sono un'aggiunta finale. AstraLoop Studio costruisce e gestisce il company brain per l'azienda includendo questi aspetti fin dall'inizio.
Progettare un cervello aziendale sicuro richiede metodo, non improvvisazione. Parlane con noi: capiamo la tua situazione e ti diciamo, senza fuffa, cosa serve per farlo bene.