L’utilizzo degli strumenti di intelligenza artificiale nei contesti lavorativi non è più un fenomeno di nicchia. Secondo Bankitalia, il trentadue per cento delle imprese italiane con almeno venti addetti utilizza l’intelligenza artificiale per ottimizzare i processi esistenti e, raramente, per creare nuovi prodotti o servizi. Molte di queste aziende hanno iniziato a usare i large language models senza dotarsi di una specifica policy per regolare i limiti di impiego da parte del personale.
Il punto di partenza di qualsiasi policy sull’IA è la distinzione tra strumenti aziendali e strumenti personali. Avvalersi del supporto di ChatGPT, Claude o Gemini con un profilo privato per svolgere attività lavorativa pone una serie di questioni giuridiche delicate e, pertanto, dovrebbe essere vietato. Gli account consumer non forniscono quasi mai garanzie in tema di riservatezza e tutela dei dati. Inoltre, i dati immessi nei prompt possono essere utilizzati per addestrare i modelli di terze parti, con la conseguenza che informazioni riservate fuoriescono dal perimetro aziendale in modo irreversibile.
L’azienda deve anche stabilire in maniera chiara i confini dei dati che possono essere condivisi con l’intelligenza artificiale. Secondo la normativa privacy, infatti, il trattamento dei dati deve essere fondato su una base giuridica adeguata e compatibile con le misure di sicurezza adottate dall’impresa. Dati sensibili come quelli riguardanti lo stato di salute o l’iscrizione ad un sindacato di un dipendente non dovrebbero essere inseriti in un large language model prima di un attenta valutazione.
