Prima di sottoscrivere un’implementazione di IA, ponete l’unica domanda che conta davvero per il fornitore: dove vanno a finire i miei dati e chi li può leggere? La risposta onesta non è mai “restano a noi”. Come minimo, implica il transito crittografato verso un server di terzi, la conservazione temporanea per motivi operativi e un contratto di elaborazione dei dati che deve coprire i vostri specifici obblighi legali. Se il rappresentante vi dice “non preoccupatevi, è sicuro”, cambiate rappresentante.

Cosa succede con le API professionali

**I dati inviati tramite l’API non vengono utilizzati di default per addestrare i modelli. OpenAI lo specifica nelle condizioni Enterprise. I dati possono essere conservati temporaneamente per la sicurezza e il rilevamento di abusi (default 30 giorni su API, configurabile). L’archiviazione primaria dei dati si trova negli Stati Uniti, con opzioni regionali limitate.

Anthropic API / Claude for Business : politica simile. I dati inviati tramite l’API non vengono utilizzati per la formazione. Archiviato negli Stati Uniti.

ChatGPT e Plus (interfacce web) gratuiti: fino al 2023, le conversazioni potevano essere utilizzate per la formazione. È stata aggiunta l’opzione di disattivazione. Sulle interfacce pubbliche, il comportamento predefinito è cambiato, ma deve essere controllato ogni volta che le condizioni vengono aggiornate.

Il problema del segreto industriale

Le condizioni d’uso generalmente distinguono tra formazione (spesso esclusa per le API pro) e conservazione temporanea (spesso presente per vari motivi operativi).

Ma la questione del segreto industriale va oltre la formazione. Se ci si sottopone a un’API :

  • Contratti con le vostre clausole di prezzo
  • Strategie di sviluppo del prodotto
  • Brevetti o know-how tecnico
  • Informazioni sui vostri clienti o fornitori con clausole di riservatezza

Questi dati passano attraverso i server di terzi. Anche senza formazione, anche con la crittografia, si crea un flusso di dati sensibili al di fuori del proprio perimetro. Questo flusso può creare obblighi legali nei confronti dei vostri clienti (se i vostri contratti includono clausole di riservatezza), dei vostri partner o di una futura normativa.

Cosa dice il RGPD

Se i vostri dati contengono informazioni su persone fisiche (dipendenti, clienti, potenziali clienti), siete nel territorio del RGPD.

L’utilizzo di un’API IA di terze parti per l’elaborazione di questi dati pone l’utente nella posizione di responsabile del trattamento dei dati, con l’obbligo di stipulare un accordo sul trattamento dei dati (DPA) con il fornitore. OpenAI, Anthropic e Google offrono questo servizio come parte delle loro offerte aziendali.

La questione della localizzazione dei dati è cruciale per alcuni settori: dati sanitari (HDS), dati finanziari e dati sulla difesa. Per questi settori, il transito al di fuori dell’UE è limitato o vietato. Un’API statunitense senza un’opzione di localizzazione europea potrebbe portare alla non conformità.

Cosa cambia la legge sull’AI

La legge europea sull’IA (in vigore dal 2024, con obblighi progressivi fino al 2027) impone obblighi specifici a seconda del livello di rischio del sistema di IA.

Per i sistemi ad alto rischio (decisioni di assunzione, credit scoring, decisioni mediche, sistemi giudiziari), vengono imposti requisiti di trasparenza, verificabilità e documentazione. Un sistema di intelligenza artificiale impiegato in questi contesti deve essere verificabile e le sue decisioni devono essere spiegabili.

Per gli LLM di uso generale con impatto sistemico (al di sopra di una soglia di calcolo), vengono imposti ai fornitori obblighi di trasparenza sui dati e sulle capacità di formazione. Novità per voi: potete chiedere al vostro fornitore la documentazione di conformità all’AI Act.

Quattro cose da richiedere contrattualmente

Ci sono quattro cose che dovreste pretendere contrattualmente prima di qualsiasi distribuzione. In primo luogo, la garanzia che i dati non saranno utilizzati per la formazione (non in una FAQ: nel contratto firmato). In secondo luogo, l’ubicazione effettiva dell’elaborazione e dell’archiviazione, con l’impegno di dare un preavviso di trenta giorni in caso di cambiamento. Il contratto di subappalto RGPD che copre i vostri obblighi nei confronti dei clienti e dei dipendenti. E la procedura documentata in caso di cambio di versione del modello sottostante. Il resto (politica di conservazione, perimetro della legge AI, ecc.) è trattato nelle appendici. Ma questi quattro punti sono il requisito d’ingresso.