Gmail e ChatGPT
Mi è capitato, di recente, di seguire la consulenza ad un’azienda che stava valutando con grande entusiasmo la nuova funzione di collegamento tra Gmail e ChatGPT. Durante la riunione, mi hanno mostrato con orgoglio le slide preparate dall’IT: “vedi? l’AI potrà leggere le email, classificarle in tempo reale, sintetizzare i contenuti… basterà un clic per ritrovare le informazioni chiave”.
Confesso che, a primo impatto, la proposta aveva un fascino indiscutibile. Un’organizzazione sommersa da centinaia di email quotidiane, vede in quella funzione una scorciatoia quasi miracolosa. Ma mentre ascoltavo la presentazione, la mia attenzione andava altrove. Andava a quante di quelle email contenevano dati “sensibili” di clienti, trattative riservate, persino comunicazioni interne che non avrebbero mai dovuto uscire dal perimetro.
Ho chiesto, quasi per rompere l’incanto: “Vi rendete conto che, così facendo, state aprendo la porta di tutta la vostra corrispondenza ad un soggetto terzo, senza che le persone coinvolte lo sappiano?”. C’è stato un attimo di silenzio e ho colto negli sguardi la sorpresa di chi non aveva mai considerato fino in fondo tale aspetto.
Il quadro giuridico
Per me, è chiaro: il GDPR, agli articoli 5 e 6, non lascia spazio a interpretazioni. Ogni trattamento deve rispettare principi di liceità, minimizzazione, trasparenza. Collegare un’intera casella di posta elettronica a un modello linguistico significa violare più di uno di questi principi. Non c’è minimizzazione, perché si espone tutto, ben oltre il necessario; non c’è trasparenza, perché i terzi non sono informati né messi in condizione di esercitare i propri diritti; manca quasi sempre una base giuridica solida.
Non si tratta di un rischio ipotetico. Il Garante italiano ha già contestato ad OpenAI l’insufficienza delle informative e l’assenza di basi giuridiche adeguate, arrivando a comminare nel dicembre 2024 una sanzione milionaria, impugnata dalla Big Tech. Anche il Comitato Europeo per la Protezione dei Dati, nel report della Task Force su ChatGPT del maggio 2024, ha ribadito che l’uso dei modelli linguistici deve rispettare obblighi stringenti di accountability e data protection by design, con richiami puntuali agli articoli 25 e 44 del GDPR.
E se per un’azienda il terreno è scivoloso, per un professionista diventa addirittura esplosivo. Un avvocato che conceda ad un chatbot esterno l’accesso alla propria casella di posta non viola solo il GDPR, ma anche l’art. 13 del Codice Deontologico Forense sul segreto professionale. Lo stesso vale per medici, psicologi, consulenti del lavoro, categorie che ogni giorno maneggiano dati sensibili e giudiziari.
Per le aziende
Alla fine della consulenza, mi sono resa conto che la posizione in questione era un esempio di scuola perfetto di come l’entusiasmo per l’innovazione rischi di far dimenticare la cornice giuridica e deontologica che dovrebbe guidarla. L’assenza di un Data Processing Agreement dettagliato, l’incertezza sui trasferimenti extra SEE, l’impossibilità concreta di ottenere un consenso valido da tutti i terzi coinvolti, tutto ciò rende l’integrazione Gmail–ChatGPT, almeno allo stato attuale, giuridicamente insostenibile.
La tecnologia corre, e fa bene a correre. Ma la mia esperienza mi ha confermato che serve un freno consapevole, perchè il GDPR non è un ostacolo, è un principio ordinatore.
Nel citato scenario, collegare una casella Gmail a ChatGPT senza un’infrastruttura contrattuale e tecnica robusta, non è un passo avanti verso la produttività; è un salto nel vuoto dal punto di vista giuridico. E allora, meglio fare di questa tentazione un’occasione di riflessione.
Avv. Simona Maruccio
Giornalista pubblicista, opera da molti anni nel settore della compliance aziendale, del marketing e della comunicazione.