Posso usare ChatGPT con dati aziendali? La risposta lunga

Questa è la domanda numero uno che riceviamo nei workshop in azienda: "Posso usare ChatGPT con i dati della mia azienda?"

La risposta breve è: dipende. Dipende da quale piano ChatGPT usi, da che tipo di dati metti dentro, da dove sono i server di OpenAI, e da come hai configurato l'account.

La risposta lunga è quella che serve davvero in azienda, perché ti permette di prendere decisioni informate invece di vivere nel "non si può" generalizzato (che porta i dipendenti a usare ChatGPT di nascosto, che è la situazione peggiore possibile).

TL;DR

• ChatGPT account personale gratuito: ❌ NON usare con dati aziendali. I dati possono essere usati per addestrare i modelli e i server sono extra-UE.
• ChatGPT Plus/Pro account personale: ⚠️ rischioso. Non usare con dati sensibili. Account intestato a singolo, no garanzie aziendali.
• ChatGPT Team aziendale: ✅ usabile con la maggior parte dei dati. Opt-out automatico dal training, trattamento dati conforme GDPR, server in UE per i clienti europei.
• ChatGPT Enterprise: ✅ standard più alto. Opt-out training, SSO, controlli admin, server UE, processi di compliance avanzati.
• Microsoft 365 Copilot: ✅✅ massima conformità. Vive nel tuo tenant Microsoft, dati restano nei tuoi server SharePoint/OneDrive UE, GDPR-by-design.

Le 4 differenze che cambiano tutto

1. Il piano account

Account personale gratuito (chatgpt.com con email Gmail/Outlook/iCloud personale):

• I tuoi prompt e le risposte possono essere usati per addestrare i modelli OpenAI futuri.
• Non c'è nessun contratto di trattamento dati con la tua azienda.
• I server sono prevalentemente negli Stati Uniti.
• Nessun controllo amministrativo aziendale.

Account personale Plus o Pro (chatgpt.com con piano a pagamento):

• Stesse regole dell'account gratuito, MA: puoi disattivare manualmente il training nelle impostazioni privacy.
• Resta un account personale, intestato a una persona fisica.
• Nessuna garanzia aziendale, nessun contratto B2B.
• Server prevalentemente USA.

Account Team o Enterprise (chatgpt.com/team, chatgpt.com/enterprise):

• I tuoi dati non vengono mai usati per training, di default. È nel contratto.
• Esiste un Data Processing Agreement (DPA) GDPR-conforme firmato.
• Server in UE per clienti europei (a partire da 2024, OpenAI offre data residency europea).
• Controlli admin: SSO, audit log, gestione utenti centralizzata.

La differenza è enorme. In azienda, mai usare account personali. Sempre Team o Enterprise.

2. Il tipo di dato

Anche con un piano Team/Enterprise, non tutti i dati sono uguali. Categorie di rischio:

🟢 Verde — basso rischio:

• Testi di documenti pubblici già rilasciati (siti web, brochure, comunicati stampa).
• Bozze di lavoro che non contengono dati personali identificabili.
• Codice open source o esempi anonimi.

🟡 Giallo — rischio medio, valuta caso per caso:

• Documenti interni non riservati (template, procedure, presentazioni interne).
• Dati pseudonimizzati ("Cliente A", "Progetto X").
• Email di lavoro ordinarie (ma sempre pseudonimizzando i nomi).

🔴 Rosso — alto rischio, evita anche su Team/Enterprise:

• Dati personali identificabili di clienti, fornitori, dipendenti.
• Dati sanitari, biometrici, finanziari, di carte di pagamento.
• Bozze di brevetti, segreti industriali, codice proprietario non rilasciato.
• Comunicazioni coperte da NDA.
• Mail con questioni HR, legali, finanziarie sensibili.

Anche su un piano Enterprise GDPR-conforme, mettere dati 🔴 è una scelta business che richiede una valutazione di impatto privacy specifica. Per le PMI, la regola pratica è: non metterceli mai.

3. La geografia dei server

Il GDPR richiede che i dati personali di cittadini europei siano trattati con garanzie adeguate, anche quando trasferiti fuori UE. OpenAI nel 2024-2025 ha lavorato su questo punto:

• ChatGPT Enterprise: data residency in UE (Irlanda, Germania) disponibile su richiesta.
• ChatGPT Team: server prevalentemente UE per clienti europei dal 2025.
• ChatGPT account personali: nessuna garanzia di residency UE.

Per le PMI italiane: se i tuoi dipendenti usano ChatGPT con account aziendale Team in UE, sei in una posizione molto solida. Se usano account personali, no.

4. L'opt-out dal training

Anche su account personali Plus/Pro è possibile disattivare manualmente l'uso dei propri dati per training:

1. Settings → Data Controls
2. Improve the model for everyone → spegni
3. Chat history → puoi anche disattivare lo storico

Questo è utile per uso personale, ma in azienda non basta: serve un controllo centralizzato (Team/Enterprise) e un contratto sottoscritto. Lasciare a ogni dipendente la responsabilità di configurare il proprio account è una garanzia di errori.

Il caso Microsoft 365 Copilot

C'è una categoria a parte: Microsoft 365 Copilot. Vive dentro la suite Office, lavora sui tuoi file SharePoint/OneDrive, e per design non lascia mai il tuo tenant Microsoft.

Questo significa:

• I tuoi dati restano nei server Microsoft del tuo tenant (in UE per clienti europei).
• Nessun training su dati cliente.
• GDPR-by-design.
• Compliance audit-ready out of the box.

È la soluzione più semplice da giustificare in compliance per una PMI italiana. Il prezzo (28,10 € per utente/mese) si paga in pace mentale.

Le 3 alternative europee compliant

Se vuoi tool AI con server europei per design e compliance ancora più stretta, esistono alternative:

• Mistral Le Chat (Francia): server UE, GDPR-conforme, tier business con DPA.
• Aleph Alpha Lumi (Germania): tier enterprise per settore pubblico e sanitario.
• OpenAI Azure (via Microsoft): GPT-4 servito tramite Azure OpenAI Service nei data center europei.

Per la maggior parte delle PMI italiane, Microsoft 365 Copilot copre il 90% dei casi. Le alternative servono se hai vincoli specifici di residency o sovranità dati (es. settore pubblico, healthcare).

Cosa fare in azienda — la decisione pratica

Riassumendo, le 3 mosse pratiche per un'azienda italiana:

1. Account personali ChatGPT vietati per uso aziendale. Scrivilo nella policy. Comunicalo. Se i tuoi dipendenti lo usano comunque, sei doppiamente esposto: rischio dati + rischio compliance.
2. Sottoscrivi 1 piano Team/Enterprise per i dipendenti che hanno reale bisogno di AI generativa avanzata. Costo: ~25 €/utente/mese.
3. Microsoft 365 Copilot se vivete in Office: è la soluzione più conforme e diretta per i lavori quotidiani.

Aggiungi una pagina nella policy AI con la lista dei tool ammessi e i livelli di dato che si possono mettere in ognuno. Le persone smettono di chiedere ogni volta, e tu sei coperto.

---

Hai bisogno di una formazione AI Act per il tuo team?

Il corso AI Act di IA in Azienda copre proprio queste situazioni: cosa fare e cosa non fare con ChatGPT, Copilot, Claude in azienda. Attestato individuale verificabile pubblicamente.

Scopri il corso AI Act · Leggi anche: Microsoft Copilot per aziende