AI in azienda? Meglio documentarne l’utilizzo
Parliamo di governance degli strumenti digitali e AI in ottica GDPR e Digital Omnibus
Nel contesto attuale, caratterizzato da una crescente integrazione tra tecnologie digitali, intelligenza artificiale e gestione dei dati personali, le organizzazioni sono chiamate a rafforzare i propri modelli di governance, adottando un approccio strutturato, documentato e dimostrabile alla gestione delle informazioni.
L’evoluzione normativa europea – che vede sempre più interconnessi GDPR, AI Act, NIS2 e le future iniziative del Digital Omnibus – impone alle aziende non solo di garantire la sicurezza dei dati, ma anche di dimostrare in modo concreto la propria accountability, ovvero la capacità di governare processi, strumenti e comportamenti interni in maniera coerente con i principi di liceità, trasparenza, minimizzazione e sicurezza.
In questo scenario, l’utilizzo di strumenti informatici aziendali e, in particolare, di soluzioni basate su intelligenza artificiale, introduce nuovi rischi organizzativi e legali: dispersione dei dati, perdita di controllo sui contenuti, utilizzo improprio di account personali, nonché criticità legate alla gestione degli output generati automaticamente.
Il documento sotto descritto nasce quindi con l’obiettivo di:
– definire regole chiare e uniformi per l’utilizzo degli strumenti digitali aziendali;
– garantire la tracciabilità, disponibilità e continuità operativa dei contenuti e dei progetti;
– assicurare il rispetto dei principi di protezione dei dati personali e sicurezza delle informazioni;
– supportare l’organizzazione nel dimostrare la propria conformità alle normative vigenti e alle best practice internazionali (tra cui ISO 27001 e ISO 27701).
In particolare, il documento si inserisce all’interno di un più ampio sistema di gestione orientato alla compliance integrata, dove l’uso consapevole degli strumenti digitali e dell’intelligenza artificiale diventa parte essenziale dei processi aziendali e della responsabilità individuale di ciascun soggetto autorizzato.
L’obiettivo non è limitare l’innovazione, ma governarla, assicurando che ogni attività svolta tramite strumenti digitali sia coerente con gli interessi aziendali, tuteli i diritti degli interessati e contribuisca alla creazione di un ambiente operativo sicuro, affidabile e sostenibile nel tempo.
Documento utilizzo strumenti informatici aziendali e AI
Il documento definisce le regole per l’utilizzo degli strumenti informatici aziendali, inclusi quelli basati su intelligenza artificiale, con l’obiettivo di garantire sicurezza, continuità operativa e corretta gestione dei dati aziendali
1. Principio generale
Gli strumenti informatici devono essere utilizzati principalmente per finalità lavorative, nel rispetto delle policy aziendali e della normativa, in particolare quella sulla protezione dei dati personali
2. Uso degli account e strumenti AI
È obbligatorio utilizzare account aziendali per tutte le attività lavorative
Tutti i contenuti generati con strumenti AI (prompt, file, configurazioni, output) devono essere:
– tracciabili
– accessibili all’azienda
– gestibili da altri soggetti autorizzati
Obiettivo: evitare che il lavoro resti legato al singolo dipendente.
3. Proprietà dei contenuti
Tutti i contenuti prodotti nell’attività lavorativa, anche tramite AI, sono patrimonio aziendale, inclusi:
– documenti
– configurazioni
– progetti
– output generati
4. Continuità operativa
Il lavoro deve essere organizzato in modo tale da:
– essere riutilizzabile
– essere comprensibile da altri
– non dipendere da account personali o accessi non condivisi
5. Trasferimento da account personali
Se contenuti lavorativi sono presenti su account personali devono essere trasferiti su sistemi aziendali entro un termine preciso e in modo completo e ordinato
Dopo il trasferimento non devono più essere utilizzati su account personali
6. Regole operative per l’uso dell’AI
Chi utilizza strumenti AI deve:
– inserire solo dati strettamente necessari
– preferire dati ridotti, anonimi o pseudonimizzati
– verificare sempre gli output
– mantenere progetti e configurazioni ordinati e documentati
7. Sicurezza e accessi
Le credenziali devono restare sotto controllo aziendale
Sistemi di autenticazione e recupero accessi devono seguire le procedure interne
Log e cronologie devono essere conservati negli strumenti aziendali
8. Protezione dei dati
Tutti i trattamenti devono rispettare:
– liceità
– minimizzazione
– sicurezza
– trasparenza
Con particolare attenzione ai dati inseriti negli strumenti AI
Messaggio chiave
Il documento punta a evitare tre rischi principali:
– Perdita di controllo sui dati aziendali
– Dipendenza operativa dai singoli utenti
– Uso improprio dell’intelligenza artificiale
