Il Garante italiano è la stessa autorità che nel novembre 2024 ha inflitto a OpenAI una multa da 15 milioni di euro per violazioni del GDPR legate alla gestione di ChatGPT, la prima sanzione GDPR in Europa contro un sistema di intelligenza artificiale generativa. La decisione è stata annullata dal Tribunale di Roma nel marzo 2026, ma l'annullamento riguardava aspetti procedurali, non il fatto che il Garante abbia competenza piena sulla materia. Un appello rimane possibile.

Nel frattempo, lo stesso Garante ha ordinato il blocco permanente di DeepSeek in Italia, ha avviato indagini su startup che usano l'IA per analizzare le comunicazioni aziendali su Slack e Teams, e ha multato Intesa Sanpaolo 31,8 milioni di euro per accesso non autorizzato ai dati di oltre 3.500 clienti. Il Garante ha emesso un avviso a un'azienda startup italiana che aveva sviluppato un plug-in per le piattaforme di messaggistica aziendale Slack e Teams, che utilizzava l'intelligenza artificiale per rilevare i livelli di stress psicologico dei lavoratori.

Il messaggio è chiaro, l'autorità italiana di protezione dei dati è attiva, ha precedenti specifici sull'IA, e sta guardando a come le imprese trattano i dati personali attraverso strumenti di intelligenza artificiale.

 

Cosa Succede Quando Carichi un Documento su uno Strumento AI

Quando un professionista italiano copia un testo contenente dati personali in un servizio AI di terze parti, accadono tre cose che la maggior parte delle imprese non considera:

  • I Dati Lasciano il Perimetro Aziendale. Il testo viene inviato ai server del fornitore del servizio, che nel caso di ChatGPT significa OpenAI negli Stati Uniti, nel caso di DeepL significa server in Germania ma con policy di utilizzo dei dati che variano. Il rapporto dell'EDPB dell'aprile 2025 chiarisce che i modelli linguistici di grandi dimensioni raramente raggiungono gli standard di anonimizzazione, i titolari che utilizzano LLM di terze parti devono condurre valutazioni complete degli interessi legittimi.
  • Il Trattamento dei Dati Richiede una Base Giuridica. Ai sensi del GDPR, qualsiasi trattamento di dati personali, inclusa la traduzione di un documento che contiene nomi, codici fiscali, dati sanitari o informazioni economiche, richiede una base giuridica valida. L'utilizzo di uno strumento AI esterno per tradurre quel documento senza aver verificato che il fornitore agisca come responsabile del trattamento ai sensi dell'art. 28 GDPR è una violazione, indipendentemente dalla qualità della traduzione.
  • I Dati Possono Essere Usati per Addestrare i Modelli. Le policy predefinite di molti servizi AI prevedono che i dati inviati possano essere usati per migliorare i modelli, salvo opt-out esplicito. Per i dati personali di terzi, clienti, dipendenti, pazienti, l'impresa non ha titolo per acconsentire a questo utilizzo.

 

I Documenti ad Alto Rischio che le Imprese Italiane Traducono con l'IA

Non tutti i documenti hanno lo stesso profilo di rischio. Questi sono quelli che creano la maggiore esposizione:

  • Contratti con dati personali delle parti - Nomi, codici fiscali, indirizzi, condizioni economiche. La traduzione di un contratto commerciale attraverso uno strumento AI esterno configura un trasferimento di dati personali non autorizzato se non è stato stipulato un accordo di responsabile del trattamento con il fornitore.
  • Documentazione medica e sanitaria - I dati sanitari sono dati sensibili ai sensi dell'art. 9 GDPR e richiedono garanzie rafforzate. Tradurre una cartella clinica, una perizia medica o un referto con ChatGPT espone l'impresa a violazioni di categoria speciale, quelle con le sanzioni più elevate.
  • Comunicazioni legali e atti giudiziari - Contenuti coperti da segreto professionale o da obblighi di riservatezza contrattuale. Un avvocato che traduce documenti di causa con uno strumento AI non certificato viola non solo il GDPR ma potenzialmente anche il segreto professionale.
  • Bilanci e documentazione finanziaria riservata - Dati economici di società, condizioni di finanziamento, informazioni su operazioni straordinarie. Se questi dati finiscono nei server di un fornitore AI senza accordo contrattuale, l'impresa ha un problema sia sotto il GDPR che sotto eventuali accordi di riservatezza con terzi.
  • Documentazione HR e dati dei dipendenti - Buste paga, valutazioni delle prestazioni, procedimenti disciplinari. I dati dei dipendenti sono tra quelli più frequentemente oggetto di sanzioni del Garante, e la traduzione di questi documenti tramite AI esterno senza base giuridica è un rischio concreto.

 

Hai documenti che rientrano in queste categorie? Scopri come Polilingua gestisce la traduzione riservata conforme al GDPR, con accordo ex art. 28, misure ISO 17100 e traduttori specializzati per settore. Richiedi informazioni.

 

Cosa Dice il Quadro Normativo nel 2026

La scadenza di conformità dell'AI Act dell'UE del 2 agosto 2026 crea obblighi duali per i sistemi AI ad alto rischio. Per le imprese italiane questo significa operare simultaneamente sotto il GDPR e il Regolamento AI, con sanzioni cumulative che possono sovrapporsi. Le violazioni GDPR in Europa hanno raggiunto un totale cumulativo di 7,1 miliardi di euro dall'entrata in vigore del regolamento. Il numero di notifiche di violazioni dei dati ha registrato un aumento del 22% nell'anno fino a gennaio 2026, con una media giornaliera di 443 notifiche.

In Italia specificamente, il Garante ha multato Poste Italiane e PostePay per oltre 12,5 milioni di euro per violazioni GDPR, tra cui informazioni insufficienti agli utenti e misure inadeguate di protezione dei dati. L'Agenzia Nazionale per la Cybersicurezza(ACN) ha pubblicato nel 2026 nuove procedure per la classificazione delle attività sotto la Direttiva NIS2, con scadenze di comunicazione al 30 giugno 2026.

La protezione dei dati aziendali non è più una questione gestibile a posteriori. È un requisito strutturale con un calendario di compliance preciso e un'autorità che sta intensificando la propria attività ispettiva.

 

Perché la Traduzione Professionale Riservata È la Risposta

Un'agenzia di traduzione certificata che opera sotto un accordo di responsabile del trattamento ai sensi dell'art. 28 GDPR offre qualcosa che nessuno strumento AI generico può offrire, responsabilità giuridica documentata sul trattamento dei dati.

Questo significa:

  • Nessun trasferimento di dati a terze parti non autorizzate. I documenti rimangono all'interno di un perimetro contrattualmente definito, con procedure di sicurezza verificabili e auditable.
  • Nessun utilizzo dei dati per addestrare modelli AI. La traduzione professionale riservata non alimenta dataset di addestramento di terzi, i dati del cliente sono usati esclusivamente per produrre la traduzione richiesta.
  • Conformità GDPR documentata. In caso di ispezione del Garante, l'impresa può dimostrare di aver trattato i dati personali dei propri documenti attraverso un fornitore con accordo contrattuale conforme all'art. 28, con misure tecniche e organizzative adeguate.
  • Competenza specialistica. Un traduttore professionale con specializzazione nel settore specifico, legale, medico, finanziario, produce una traduzione accurata. Un sistema AI generico produce una traduzione veloce che può contenere errori terminologici che un professionista non commetterebbe.

 

Il Costo Reale del Risparmio

La traduzione di un documento con uno strumento AI gratuito costa zero euro. Il costo medio di un attacco informatico per una piccola impresa in Spagna oscilla tra 35.000 e 80.000 euro. Aggiungendo la possibile sanzione amministrativa, che per infrazioni gravi può raggiungere i 10 milioni di euro o il 2% del fatturato globale annuo, il bilancio cambia radicalmente. In Italia i parametri sanzionatori sono identici, il GDPR è lo stesso regolamento europeo.

Una violazione del GDPR legata al trattamento non autorizzato di dati personali attraverso uno strumento AI non autorizzato può configurare un'infrazione grave ai sensi dell'art. 83(4) GDPR, con sanzioni fino a 10 milioni di euro o il 2% del fatturato globale annuo, o un'infrazione molto grave ai sensi dell'art. 83(5), con sanzioni fino a 20 milioni o il 4% del fatturato, se riguarda principi fondamentali del trattamento o categorie speciali di dati.

 

Hai documenti riservati che devono essere tradotti in conformità al GDPR? Polilingua opera come responsabile del trattamento ai sensi dell'art. 28 GDPR, con accordi contrattuali conformi, misure di sicurezza certificate ISO 17100 e traduttori specializzati per settore. I tuoi dati aziendali non escono dal perimetro contrattuale definito. Richiedi un preventivo gratuito.

 

Domande Frequenti

  • È Legale Usare ChatGPT per Tradurre Documenti Aziendali in Italia? Dipende dal contenuto del documento. Se il documento contiene dati personali di terzi,  clienti, dipendenti, pazienti, il suo caricamento su uno strumento AI esterno configura un trattamento di dati personali ai sensi del GDPR. Questo trattamento richiede una base giuridica valida e, nella maggior parte dei casi, un accordo con il fornitore come responsabile del trattamento ai sensi dell'art. 28. In assenza di questi elementi, l'utilizzo non è conforme al GDPR.
  • Cosa Rischia un'Azienda Italiana che Usa Strumenti AI per Tradurre Documenti Riservati? Le sanzioni variano in base alla gravità della violazione. Le infrazioni gravi ai sensi dell'art. 83(4) GDPR comportano sanzioni fino a 10 milioni di euro o il 2% del fatturato globale annuo. Le infrazioni molto gravi, che coinvolgono categorie speciali di dati come dati sanitari o comportano violazione di principi fondamentali del trattamento, raggiungono i 20 milioni di euro o il 4% del fatturato ai sensi dell'art. 83(5).
  • Cos'è un Accordo di Responsabile del Trattamento ex art. 28 GDPR e Perché è Importante per la Traduzione? È un contratto obbligatorio tra il titolare del trattamento, l'azienda che possiede i dati, e il responsabile del trattamento, il fornitore del servizio. Questo accordo definisce le finalità del trattamento, le misure di sicurezza adottate, il divieto di utilizzo dei dati per scopi propri e le procedure in caso di violazione. Un'agenzia di traduzione che non offre questo accordo non può trattare legalmente dati personali per conto dei propri clienti.
  • DeepL è Sicuro per Tradurre Documenti Aziendali Riservati? DeepL offre un piano aziendale con accordo DPA (Data Processing Agreement) che può soddisfare i requisiti dell'art. 28 GDPR se configurato correttamente. Tuttavia, il piano gratuito e il piano base non includono questo accordo, i testi inviati possono essere usati per addestrare i modelli. Per documenti con dati personali sensibili, l'unica opzione sicura è un servizio professionale con DPA firmato e misure di sicurezza certificate.