Intelligenza artificiale e GDPR: consigli per imprenditori e responsabili marketing

12 settembre 2024Ultimo aggiornamento 11 dicembre 2024
Tempo di lettura stimato: 6'
Da quando è uscito ChatGPT, sto parlando con diversi imprenditori e responsabili marketing per capire insieme quale impatto ha avuto – e sta avendo - l’intelligenza artificiale (IA) sulle aziende.

In questi confronti, io chiaramente porto quella che è la mia finestra, legata soprattutto al marketing non tanto esecutivo, quanto normativo, anche alla luce dell’AI Act, che è stato approvato e verrà applicato a step (ne avevo già parlato sempre a proposito di AI e marketing). Oggi, il nuovo regolamento ci dice quali attività sono ammesse, quali no e quali sono i suoi impatti legali.

Impatti che sono enormi, da tutti i punti di vista. 

L’IA ha un impatto enorme, anche per quanto riguarda gli aspetti normativi del marketing 

Marketing, di per sé, vuol dire riuscire ad arrivare il più velocemente e il più economicamente possibile ad avere dei contatti con potenziali lead, per poi vendere. Su questo l’intelligenza artificiale ha avuto un impatto enorme (spesso raccontato, perché non è tutto oro quello che luccica). Sicuramente, avere degli strumenti capaci di efficientare le nostre campagne, la nostra proposizione, di clusterizzare e riuscire a capire meglio i nostri clienti, il nostro mercato, il nostro modello di vendita, senza dover per forza spendere milioni di euro in superconsulenze - che non sempre, tra l'altro, riescono ad arrivare al risultato che ci aspettavamo -, rende l’IA molto interessante. 

Bene. Dal mio punto di vista, le problematiche legate all'intelligenza artificiale, sono le stesse di quelle legate a qualsiasi attività di marketing quando si trattano dati personali. 

Però al cubo

L’impatto è enorme non solo sulle possibilità che questa tecnologia offre, ma anche per quanto riguarda la parte legal, nel senso di marketing e gestione legale delle attività che si fanno col marketing. 

Si spostano budget, si cerca di capire quanto effettivamente possa essere utile, efficiente ed efficace l'utilizzo dell'IA generativa (poi non è detto, io vedo dei risultati altalenanti e non sempre sono quelli attesi). Si fanno cose con l’IA. Cose belle, sulla carta. Cose impossibili fino a ieri, ma che di fatto possono diventare delle sporcaccionate. 

Ed è proprio qui che casca l’asino. Ne ho parlato anche nell’articolo su intelligenze artificiali e ignoranze naturali tra AI Act e GDPR.

Perché si portano alcuni degli errori tipici del marketing sulla gestione dei dati, anche nel mondo dell’intelligenza artificiale, con effetti che, però, sono all’ennesima potenza.

Le solite sporcaccionate di Peppino, ma con risvolti inattesi…

Le sporcaccionate di Peppino con l’intelligenza artificiale

Prendiamo Peppino, che fa il marketing manager in un’azienda che ha un e-commerce e che vuole capire le abitudini di acquisto dei suoi clienti. Si scarica i file csv con tutti i dati di acquisto, li carica su ChatGPT e incomincia a interrogare la macchina:

“Come posso migliorare il mio prodotto/servizio/proposizione…?”
“Che tipo di comunicazione posso usare con i clienti?”
“Dammi dei consigli per la mia strategia di marketing…”

Può farlo? 
E questi dati dove finiscono?

Sono le domande che dobbiamo porci sempre quando usiamo degli strumenti di terze parti, soprattutto perché l’utente ha prestato il suo consenso per una cosa diversa da questa.  

Nel momento in cui Peppino prende i dati che gli utenti del suo e-commerce gli hanno lasciato per una finalità precisa - comprare sull’e-commerce e ricevere delle informazioni commerciali puntuali - e senza dire niente, li dà a qualcun altro, non sapendo come li userà e cosa ne farà… è chiaro che da questo punto di vista c'è un cortocircuito. 

Io ci vedo due problemi: uno è di consapevolezza e l’altro è di tirarsi la zappa sui piedi. 

1 – Consapevolezza: privacy-by-default e regole chiare


Quelli bravi dicono: bisogna lavorare in privacy-by-default. Cioè, devo costruire dei percorsi prima di partire o mentre faccio le cose, in modo da rendere chiaro alle persone che danno le loro informazioni personali, per cosa le userò. Se non mi muovo così, sto facendo una cosa che non posso fare e qualcuno potrebbe bussarmi e dire: tu sei uno sporcaccione e adesso ne paghi le conseguenze. 

È chiaro che abbiamo un problema legato alla data privacy. Non è che non si possa fare, ma lo posso fare solo seguendo un certo tipo di percorso e seguendo certe regole.

Poi c’è un altro problema nel dare informazioni all’intelligenza artificiale, senza sapere cosa ne farà, chi le vedrà, perché, percome… 
È che qualcuno potrebbe usare quegli stessi dati contro di noi.  

2 – Tirarsi la zappa sui piedi: forse stai regalando informazioni ai tuoi concorrenti… ci avevi pensato? 

Mettere su un motore le informazioni che sono il cuore della nostra azienda – cioè, la nostra capacità di essere efficienti sui nostri clienti, sul nostro sito e-commerce – è un rischio. Perché l’azienda a cui abbiamo dato le informazioni, le utilizza per efficientare il suo sistema di IA. 

Quindi, potrebbe anche succedere che un concorrente – prendiamo un e-commerce concorrente di Peppino, la Peppinello – le usi per i suoi scopi.

Il responsabile marketing della Peppinello, un giorno, potrebbe svegliarsi e chiedere a ChatGPT: “Mi fai vedere come funzionano gli e-commerce simili al mio? Che retention hanno, che risultati delle campagne hanno?”

E il sistema potrebbe proporre le informazioni che gli ha dato Peppino. 
Ergo, Peppino si è pestato i piedi da solo. 
Quindi abbiamo un problema di legalità nei confronti degli utenti, che va gestito, e un problema di opportunità

Dovremmo sempre chiederci: siamo sicuri che l'intelligenza artificiale che ho scelto mi garantisca certe cose?

Questa è una delle grandi problematiche legate all'IA. Una problematica che, sia chiaro, non è solo dell'Europa cattiva. È un problema anche per quanto riguarda la Cina, che è un sistema molto rigoroso nell'utilizzo del dato personale in maniera non coerente e corretta. E lo è per tutta la parte araba - Emirati Arabi, Arabia Saudita - che hanno messo in piedi dei sistemi che regolarizzano l'utilizzo del dato personale. 

AI Act, E-Privacy, regolamento sull’e-commerce: gli obiettivi dell’Europa


L’AI Act, entrato in vigore lo scorso 1 agosto, sarà applicato a step da qui a 2 anni. Ho collaborato con la Commissione sulla parte generale e i principi li trovo assolutamente coerenti e corretti: avere consapevolezza di quello che si sta facendo nel momento in cui si usa l’IA. 

Poi però il testo di legge è stato mediato da 2 scimmie ubriache, perché nella lettura diventa ostico da capire. Alcune regole sono chiare. Altre sono decisamente meno chiare. 
Anche perché l'AI Act è in lavorazione da 5 anni e ChatGPT è uscito l'anno scorso. Per una volta la legge è quasi in pari con le problematiche della tecnologia. 

Ed è una norma che fa parte di un quadro più ampio: AI Act, E-Privacy, regolamento sull’e-commerce nascono col trattato di Aquisgrana (o trattato di cooperazione franco-tedesca), in cui Macron e la Merkel, hanno rafforzato la collaborazione fra i due Paesi, anche per far sì che l’Europa ridiventasse l’ago della bilancia tra America e Cina. 
Quindi, oggi, abbiamo la possibilità di dare indicazioni a livello internazionale. 
E credo che sia un bene. Anche perché ce n’è bisogno… 


Un ultimo consiglio per chi fa impresa e chi fa marketing: se non sai gestire la privacy, cambia mestiere 

L’AI Act ci obbligherà a essere consapevoli, sia quando usiamo, sia quando sviluppiamo tecnologie basate sull'intelligenza artificiale. 

Perché l'AI Act, come il GDPR, dice: se non sai trattare i dati, non fare l'imprenditore, perché è la base. È come andare in bicicletta. La stessa cosa ce la sta dicendo l'AI Act: se non sai gestire le situazioni legate all’AI, fai attenzione. Lo sappiamo e quindi ti diamo delle indicazioni (i regolamenti). 

Bene. 
 
Se queste cose non le sai fare, sei la scimmia che batte sui tasti. Ti hanno dato la tastiera e batti sui tasti. A forza di battere tasti qualcosa uscirà... ma resti una scimmia. Batti con ChatGPT, fai corsi su TikTok per vendere, per spiegare... Ma quello non è fare business.

“Ma lo fanno tutti… lo fanno anche le grandi aziende…”

Sappi che qualche banca italiana ha già ricevuto la ditata sulla questione intelligenza artificiale… E l’AI Act, entrato in vigore, come anticipato, lo scorso 1 agosto, sarà applicato nella sua totalità solo a far data dal 2 agosto 2026… quindi, occhio!

RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.

Biografia dell'autore

Andrea Chiozzi è nato a Reggio Emilia il 4 Agosto del 1969, reggiano “testaquadra” DOC come il lambrusco, ed è sposato con Luisa che lo sopporta da più di vent’anni.
Imprenditore e consulente, da più di 12 anni è l’Evangelist del GDPR.

Attività professionali:
Andrea Chiozzi è il fondatore di PRIVACYLAB, per la gestione avanzata delle attività legate alla compliance per il Regolamento Europeo 679/2016.
Esperto di GDPR e protezione dei dati personali (soprattutto nelle aree più problematiche quali il marketing digitale e i social network, il digital advertising, l’Internet of Things, i Big Data, il cloud computing),
Andrea presta consulenza per la media e la grande industria italiana e si occupa di organizzare e condurre i consulenti aziendali ad un approccio ottimizzato alla gestione della Compliance GDPR.
È ideatore del sistema Privacylab e della metodologia applicata ai consulenti certificati GDPR. 
Nel 2003 dà vita alla figura di “Privacy Evangelist” e comincia a girare l’Italia come relatore in vari convegni e corsi in tema di protezione dei dati personali arrivando a evangelizzare più di 10.000 persone.

È commissario d’esame per:

UNICERT per lo schema DSC_12/30 per Consulenti Certificati GDPR
TÜV dello schema CDP_ 201 Privacy Officer, Bureau Veritas
CEPAS Bureau Veritas DATA PROTECTION OFFICER per lo schema SCH73 norma Uni 11697:2017 (Accredia) 
ACS ITALIA DATA PROTECTION OFFICER per lo schema SCH01 norma Uni 11697:2017 (Accredia)
UNIVERSAL Gmbh DAKKS per lo schema ISO/IEC 17024:2012 "DATA PROTECTION OFFICER"

E' certificato con:
Unicert come "Consulente Certificato GDPR" n. 18203RE22
TÜV come “Privacy Officer e Consulente Privacy” n. CDP_196.
Cepas Bureau Veritas "Data protection Officer" n. DPO0206
UNICERT DAKKS " Data Protection Officer" n. DPO 0818 010012

Fa parte del Comitato Scientifico Privacy di Torino Wireless, GDPR Academy e di Agile DPO .

Le categorie

Gli argomenti dei nostri articoli

La guida di PrivacyLab

Per orientarti tra i nostri articoli

Resta informato su quello che succede.

Lasciaci la tua email e riceverai le nostre comunicazioni informative e commerciali

informativa sulla privacy