Utilizzo dell’IA in azienda, garantendo la protezione dei dati: i consigli degli esperti per le PMI svizzere
L’impiego dell’intelligenza artificiale (IA) nelle PMI svizzere registra un’impennata. Due PMI svizzere su tre la stanno già sperimentando o utilizzano l’IA in modo produttivo, ma nella maggior parte delle aziende la gestione dell’IA non è ancora regolamentata in modo chiaro, come evidenzia lo studio di quest’anno sul mercato del lavoro delle PMI condotto da AXA (in tedesco). Marco S. Meier, avvocato ed esperto di diritto IT e protezione dei dati, spiega come una PMI può gestire l’IA in tutta sicurezza e ridurre al minimo il rischio di violazione delle norme sulla protezione dei dati.
Perché la protezione dei dati è decisiva nell’ambito dell’IA?
La maggior parte delle PMI vede nell’impiego dell’IA un’opportunità di efficienza e crescita, riducendo le preoccupazioni. Questo sviluppo comporta la sfida di garantire l’immissione e l’elaborazione dei dati personali negli strumenti di IA conformemente alla protezione dei dati.
La revisione della Legge sulla protezione dei dati (LPD), avvenuta nel 2023, impone che i dati vengano impiegati in totale trasparenza e sicurezza. Sebbene nella legge l’IA non sia esplicitamente menzionata, secondo l’Incaricato federale della protezione dei dati e della trasparenza (IFPDT), l’utilizzo dell’IA richiede che siano soddisfatti i medesimi requisiti. In caso di violazioni si rischiano multe salate e danni di reputazione.
Il problema? Come rivela lo studio sul mercato del lavoro delle PMI 2025, soltanto un terzo delle PMI svizzere prescrive regole chiare sull’uso dell’IA. Nella maggior parte delle aziende sono i collaboratori stessi a decidere quale tool utilizzare per un determinato scopo e quali dati inserire, senza essere consapevoli delle possibili conseguenze.
I consigli degli esperti di IA e diritto in materia di protezione dei dati
Nell’intervista Marco S. Meier, avvocato, MLaw, CIPP, informatico AFC, spiega dove son presenti insidie in termini di protezione dei dati, chi si fa carico delle conseguenze in caso di violazione della protezione dei dati, quali sono le loro caratteristiche e che cosa può fare una PMI per ridurre al minimo il rischio di violazioni.
Quali sono le insidie giuridiche in materia di protezione dei dati se i collaboratori utilizzano i servizi IA?
Nella prassi, l’utilizzo dei servizi di IA pone diverse sfide legali per la protezione dei dati. Il maggior rischio insito nell’utilizzo dei servizi di IA da parte del personale risiede nel non sapere quali dati è autorizzato a immettere in uno specifico tool. Una misura essenziale per evitare violazioni delle norme in materia di protezione dei dati è che l’azienda verifichi approfonditamente i servizi di IA prima che ne venga data l’autorizzazione all’uso. In questo modo è possibile mettere a punto e trasmettere al personale chiare istruzioni operative per una gestione dei servizi di IA conforme alle norme sulla protezione dei dati.
In tal senso è consigliabile fissare chiare disposizioni per il personale in merito a quali servizi utilizzare e a quali condizioni e soprattutto quali dati è possibile immettere nei vari servizi di IA. Ad esempio ci si chiede se dati personali o dati protetti da segreti possano essere inseriti o meno quando si utilizzano i servizi di IA.
Un altro ostacolo è rappresentato dal fatto che i collaboratori ricorrono a tool di IA propri, utilizzati a titolo privato. Spesso vengono utilizzate versioni gratuite che non sono state né controllate né approvate dall’azienda. Con l’inserimento di dati personali si possono verificare in men che non si dica violazioni della protezione dei dati.
Per evitare queste insidie è indispensabile che l’azienda effettui un’accurata valutazione e analisi dei rischi legati ai servizi di IA, definisca chiare linee guida per l’utilizzo interno e organizzi corsi di formazione adeguati.
Chi è responsabile se, con l’impiego dell’IA, qualcuno all’interno dell’azienda viola il diritto in materia di protezione dei dati?
Se un’azienda si avvale di un servizio IA di un fornitore terzo, essa è considerata responsabile sotto il profilo della protezione dei dati. In qualità di responsabile, l’azienda è tenuta ad assicurare il rispetto della Legge sulla protezione dei dati.
L’azienda è tenuta ad adempiere i seguenti obblighi:
- garantire trasparenza attraverso la messa a disposizione di informazioni (cosiddetto obbligo di informazione)
- stipulare un contratto per il trattamento di ordini con l’impiego di un offerente terzo
- garantire un adeguato livello di protezione dei dati per la trasmissione di dati all’estero
- se necessario, effettuare una valutazione d’impatto sulla protezione dei dati
- garantire la sicurezza dei dati
Tali obblighi, ad eccezione della valutazione d’impatto sulla protezione dei dati, sono punibili e, in caso di inosservanza, possono comportare sanzioni. Contrariamente al diritto europeo, la sanzione non è tuttavia mirata all’impresa, bensì alla persona responsabile all’interno dell’impresa che agisce individualmente.
Quali sono le conseguenze di una violazione del diritto alla protezione dei dati?
In caso di violazione della legge sulla protezione dei dati, la persona responsabile all’interno dell’azienda può incorrere in una multa fino a CHF 250 000. In casi eccezionali può essere sanzionata l’impresa stessa, nei casi in cui l’individuazione delle persone responsabili risulti inappropriata. In questo caso l’impresa rischia solo una multa fino a CHF 50 000.
Finora non sono a conoscenza di alcuna multa che abbia raggiunto il limite massimo della sanzione. Fino ad oggi le violazioni della protezione dei dati con sanzioni sono comunque rare.
In seguito alla revisione della Legge federale sulla protezione dei dati, l’Incaricato federale della protezione dei dati e della trasparenza (IFPDT) dispone di competenze ampliate oltre alle sanzioni pecuniarie. Egli è autorizzato ad avviare indagini e a disporre che determinati processi di trattamento dei dati, come ad esempio l’impiego dei servizi di IA, debbano essere modificati, interrotti o sospesi. Di norma, prima di una procedura di indagine formale, l’IFPDT agisce a livello informale segnalando al responsabile la violazione della protezione dei dati e raccomandando adeguamenti. Queste misure servono a sensibilizzare l’azienda e i responsabili sull’impiego dell’IA nel trattamento dei dati in modo conforme alla protezione degli stessi e a ridurre al minimo i possibili rischi.
Come si possono prevenire violazioni della protezione dei dati?
Per garantire alle PMI un uso conforme alla protezione dei dati, occorre iniziare dalla sensibilizzazione. Per prevenire violazioni delle norme in materia di protezione dei dati, il personale dovrebbe ricevere una regolare formazione e essere informato sui rischi connessi alla gestione dei dati personali e degli strumenti IA. Da un lato, la sensibilizzazione deve garantire che la tematica della protezione dei dati confluisca tempestivamente in nuovi progetti, come l’introduzione di un servizio di IA. Dall’altro, contribuisce a sensibilizzare verso i rischi connessi al trattamento dei dati personali e dei tool IA.
Oltre a una direttiva interna sulla protezione dei dati che disciplini la gestione generale dei dati personali all’interno dell’azienda, nella prassi è consigliabile adottare una direttiva specifica sull’IA, sulla cui base si possa creare una struttura di governance per la gestione dell’IA. La direttiva stabilisce, ad esempio, quali dati possono essere utilizzati con determinati servizi di IA (ad es. dati personali, dati degni di particolare protezione, dati protetti da segreto, ecc.) e come devono essere gestiti i risultati generati dal servizio IA. Dovrebbero essere inserite anche linee guida etiche all’interno dell’azienda (ad es. in relazione a tematiche quali trasparenza, correttezza, non discriminazione o verifica umana).
Quali consigli può darci per un utilizzo dei tool IA conforme alla protezione dei dati per le PMI?
Per garantire un utilizzo dei tool IA conforme alla protezione dei dati, prima di impiegarli occorre effettuare accertamenti centralizzati.
- Un’analisi completa dei rischi, che tenga conto anche degli aspetti di conformità alla protezione dei dati, ad esempio sulla base di una valutazione d’impatto ampliata sulla protezione dei dati.
- Un’accurata analisi dell’offerente IA nonché una corretta elaborazione e/o una verifica delle basi contrattuali, anche qualora la negoziazione delle condizioni contrattuali appaia difficile.
- Determinazione dei rischi contrattuali ed eventuale contrasto con direttive interne o limitazioni e mezzi tecnici.
Oltre ai rischi legali, nell’utilizzo dei tool IA si raccomanda di tenere conto anche degli aspetti tecnici per individuare i possibili rischi ed evitare violazioni delle norme sulla protezione dei dati.
Misure per l’utilizzo in azienda dei tool IA conformemente alla protezione dei dati
- Sensibilizzazione e formazione del personale: formazioni periodiche garantiscono al personale la conoscenza dei rischi, l’uso responsabile dei servizi di IA e l’integrazione fin dall’inizio dei progetti in materia di protezione dei dati.
- Creazione di una direttiva IA specifica: creare regole chiare con disposizioni sulla gestione dei dati, risultati generati dall’IA e linee guida etiche.
- Svolgimento di analisi dei rischi a 360 gradi: verifica dei fornitori di IA e dei contratti, nonché implementazione delle misure di sicurezza tecniche prima dell’impiego del servizio, per individuare tempestivamente i rischi e ridurli al minimo.
Conclusione: applicazione dell’IA in azienda conformemente alla protezione dei dati
In conclusione va sottolineato che l’impiego dell’intelligenza artificiale nelle PMI svizzere comporta numerose opportunità, ma anche alcune problematiche in termini di protezione dei dati. Per gestire l’IA in maniera conforme alla normativa sulla protezione dei dati occorrono provvedimenti mirati a livello aziendale. L’adozione di direttive chiare, la sensibilizzazione e la formazione del personale nonché l’esecuzione di analisi complete dei rischi sono passi decisivi per rendere l’impiego dell’IA nelle aziende conforme alla protezione dei dati. Vista la crescente importanza dell’IA per le PMI svizzere è essenziale gettare le basi per un utilizzo responsabile e conforme alle leggi. Protezione dei dati e IA devono andare di pari passo per garantire un successo a lungo termine e l’accettazione sociale. Le aziende che agiscono proattivamente in questo ambito non solo possono ridurre al minimo i potenziali rischi, ma riescono anche a rafforzare la fiducia di clienti, partner e collaboratori. Una dichiarazione sulla protezione dei dati aggiornata e formulata in modo chiaro costituisce un elemento fondamentale per creare trasparenza e fiducia. In ultima analisi, una gestione completa e responsabile dell’IA in termini di protezione dei dati costituisce un fattore essenziale per la sostenibilità futura delle PMI elvetiche.
Domande frequenti sulla protezione dei dati nell’impiego dell’IA
Le PMI svizzere sono tenute a osservare particolari regole in materia di protezione dei dati quando utilizziamo l’IA?
Cosa disciplinano il RGPD e l’EU AI Act? E in che misura questo riguarda noi PMI svizzere?
Il RGPD disciplina la protezione dei dati e il trattamento dei dati personali nell’UE. Anche le aziende svizzere devono attenersi a questa regola quando trattano dati di cittadini dell’UE.
L’EU AI Act riguarda specificamente l’uso dell’IA e garantisce che i sistemi di IA ad alto rischio operino in modo trasparente, sicuro e conforme alla protezione dei dati. Le PMI svizzere sono tenute a rispettare anche queste disposizioni quando utilizzano servizi di IA che interessano cittadini dell’UE o che sono ospitati nell’UE.
Cosa comporta lo Swiss-U.S. Data Privacy Framework per le aziende svizzere?
Dal 15 settembre 2024 consente il trasferimento di dati negli USA senza l’adozione di ulteriori misure di protezione, a condizione che l’offerente statunitense sia certificato. Ciò consente di inserire dati nei tool di tali fornitori se sono soddisfatte tutte le altre condizioni.
Redatto da:
Sara Amati
Sara Amati è Content Manager presso AXA e approfondisce per voi tematiche avvincenti in merito ad assicurazioni e previdenza.
