Qualche mese fa ero in Sardegna, al Digital Island, l’evento annuale organizzato da Queryo. Sul palco, davanti a decine di esperti e responsabili marketing di grandi aziende e brand. Questo era il titolo del mio intervento: “Privacy ed intelligenza artificiale: Si non caste, tamen caute (se non castamente, almeno con cautela)”. Bene. È passato un po’ di tempo, ma torno a parlare di intelligenza artificiale nelle aziende e nel marketing perché ultimamente ho visto tante di quelle “sporcaccionate” da far impallidire anche un veterano del GDPR come me. Quindi?
Quindi, qui sotto trovi i 15 punti che ho presentato al Digital Island. Spero che siano uno spunto di riflessione utile anche per te.
1 – Si non caste, tamen caute
Con l’AI non è che possiamo fare tutto quello che ci viene in mente, esattamente come lo vogliamo noi. Non lo potevamo fare prima con gli strumenti più semplici. Non lo possiamo adesso con un’innovazione di questa portata. Ci sono delle regole da seguire – GDPR, AI Act e quant’altro – che ci dicono come i diritti delle persone devono essere gestiti. Quindi, cosa possiamo fare? Alcuni DPO – quelli alla Catone il Censore - dicono: “Eh, no! Quello che hai in mente è vietato. Niet! Nein! Sciò!”Io invece dico: “Si non caste, tamen caute”, cioè, se non castamente, almeno con cautela. Perché marketing e GDPR non sono nemici. Bisogna solo trovare un compromesso tra gli obiettivi che si vogliono raggiungere e il modo per raggiungerli. E parlando di intelligenza artificiale, la prima cosa da fare per raggiungerli è cominciare a capire cosa ci sta arrivando addosso. Perché l’onda ci ha già travolti.
2 - L’onda dell’AI è arrivata e non ti bastano un canotto e due braccioli per affrontarla
Microimprese da 2 persone, grandi corporate, DPO, Consulenti… tutti noi, chi più, chi meno, dobbiamo fare i conti col fatto che l’intelligenza artificiale ci andrà a toccare, durante la parte produttiva, durante la gestione operativa, durante la parte di marketing, durante la parte delle vendite. Ci va a toccare. Anzi, ci sta toccando adesso. Perché l’onda ci è arrivata in faccia e noi siamo sotto ad annaspare. Sì, anche tu che hai 2 braccioli e un canotto – che ti eri attrezzato per gestire la compliance al GDPR per la newsletter e il cookie banner - e pensi di essertela cavata con poco. Quello che hai fatto finora va bene, ma da solo non basta.
Per affrontare l'onda, dobbiamo essere attrezzati, dobbiamo saper usare la tavola da surf, dobbiamo saper nuotare. Invece qui vedo tanti con la ciambella, il boccaglio e le pinne di Paperino, pronti a saltare dentro un'onda alta 6 metri, come se fosse la piscinetta che si tiene in giardino…
3 - La compliance serve a tutelare le persone e le aziende
Nessuno di noi era pronto per quello che è arrivato. Non tanto per l’ondata dell’intelligenza artificiale in sé - che c’è da 50 anni e che da 50 anni viene usata per le reti neurali – ma per quella del trattamento dei dati personali, attraverso l’intelligenza artificiale. Parlo di tutti i dati, di tutte le informazioni. Non solo quelle delle persone.
Noi – io, tu, il tuo team, Tommasone il responsabile marketing - gestiamo delle informazioni aziendali, che sono nostre e che sono il core del nostro business. Quindi, se queste informazioni vengono utilizzate per alimentare l’intelligenza artificiale senza controllo, devi sapere che:- i dati che immetti nel sistema di AI vanno ad accrescere la conoscenza dei tuoi concorrenti
gli LLM (Large Language Model) andranno a livellare - in medio-alto probabilmente - le attività che faranno le aziende.
- Le livelleranno perché le risposte saranno tutte uguali. “Ciao, sono un direttore marketing, fammi una campagna per promuovere un nuovo prodotto” E il ChatGPT di turno risponderà alla stessa maniera, come risponderà a tutti. Quindi, non si tratta solo dei dati delle persone. Si tratta dei dati in generale.
Capire quali dati sono, dove sono, cosa ne fai, con quale strumento e perché, diventa fondamentale.
Se non riesci a rispondere a queste domande, chiudi l’azienda e vai a coltivare i pomodori (e forse neanche quelli, perché ti marciscono di sicuro…).
4 - Il diritto alla tecnologia non deve essere negato…
Tutte le aziende devono avere il diritto e la possibilità di usare al meglio la tecnologia. Ma se guidi senza lenti e ti mancano 8 diottrie è meglio che ti ritirino la patente. Perché il diritto alla tecnologia non è un diritto naturale – un diritto acquisito – è un diritto che si conquista con la consapevolezza.
Prima di usare uno strumento, devi fare formazione. Devi sapere cosa fa quello strumento, devi sapere come usarlo. E questo vale sia per la piccola azienda con 4 dipendenti che per il grande gruppo industriale.
Usi ChatGPT? Usi Gemini? Usi Copilot? Bene. Hai fatto la formazione?
5 - … ma per usare la tecnologia bisogna conoscerla (spoiler: non basta un corso dei Teletubbies!)
Hai fatto formazione? E non, per cortesia, la formazione da Teletubbies: “Ciao! Hai bisogno dell’intelligenza artificiale? Il prompt migliore è questo qua!”
Quanto saranno profondi questi corsi? Quanto saranno capaci di dare gli strumenti necessari per avere consapevolezza? Poco, te lo dico io.
Poi è vero – cappero - l’intelligenza artificiale è un’opportunità. Ti dà spunti per essere competitivo. Come dicono i giovani: “Oh, bro, che top! È proprio top!”
Certo, sono opportunità. Sono cose fondamentali, importanti, non dobbiamo scordarcelo. È un diritto usarle, ma con consapevolezza.
Perché, se l’intelligenza artificiale non la usi con consapevolezza, ci sono delle conseguenze.
6 - Se l’intelligenza artificiale la usi male, ci sono delle conseguenze
Seguimi in questi esempi:- Mi hanno invitato a cena fuori e mi sono ubriacato. Quanto mi sono divertito! Poi però un amico (bastardo) mi ha fatto le foto e le ha messe su Facebook, su Instagram… e io ho fatto la figura del pirla.
- Prendo a noleggio una bellissima auto da corsa. Decido di staccare tutti gli aiuti alla guida, mi ribalto dentro un fosso e ci lascio la vita. Ho fatto qualcosa senza valutarne le conseguenze, senza capire che le mie capacità non erano adeguate a utilizzare quello strumento in quella maniera.
7 – Proteggi i dati. Come? Non è importante, l’importante è farlo
Dobbiamo proteggere la nostra azienda e i dati delle persone che si fidano di noi e ce li danno. Dobbiamo proteggerli. Come proteggerli? Non è importante, puoi deciderlo tu in quanto titolare o responsabile del trattamento: è il concetto di accountability. Ma bisogna avere chiaro che sono fondamentali per la riuscita di tutti i business.
Senza i dati dei clienti, senza poter fatturare, hai voglia tu a fare le fatture a mano…Senza avere la possibilità di gestire la produzione, hai voglia te a far fatture…Le informazioni di tutti, dei progetti e dei prodotti sono fondamentali.
Come proteggerli è una scelta di ciascuno. Ma deve essere una scelta consapevole.
8 – Occhio a chi ti gestisce la compliance
Se chi gestisce la compliance della tua azienda sembra lui:
Occhio!
In teoria ha tutto per funzionare: ha il cipiglio di chi sa cosa sta facendo, ma è “mio cuggino”. È il responsabile dell'ufficio legal che non sa cosa sta facendo e che dice: “Ma tanto io sono un avvocato, ho studiato legge, leggo la legge e la capisco…”
Peccato che ti manchino 10 anni di ingegneria per capire le implicazioni legate all'intelligenza artificiale.Peccato che il tuo percorso non sia adatto a capire. Peccato che la tua esperienza si basi sul guardare la tua scrivania, non nel recepire e interagire con le autorità garanti e quant’altro. Ne ho già parlato nel mio articolo sulle sfide per i DPO al tempo dell’intelligenza artificiale.
Solo chi fa un lavoro di questo tipo ha la capacità di consigliarti. E di permetterti di fare quello che vuoi, attuare le strategie di marketing che vuoi, con competenza e con consapevolezza. Perché la complessità sembra enorme ma, in realtà, l’operatività è molto più semplice.
E come fai a capire se chi ti gestisce la compliance sa il fatto suo? Partiamo dalle basi.
Il tuo commercialista, il tuo consulente finanziario, il tuo consulente del lavoro… usa un gestionale o fa tutto sulla carta? Usa un gestionale, vero?Bene. E allora perché in tanti permettono ai consulenti della compliance di riempirli di Word, che è carta?
E c’è chi mi dice: “Ma no, Word non è carta…”E io: “È carta! Il Word è carta”E lui: “E se usa Excel?”E io: “Carta evoluta!”Se ti riempie di carta evoluta, drizza le antenne.
9 – Agisci quando sei consapevole
La compliance non sono le 10 righe di informativa. È qualcosa di più complesso. È qualcosa che parte da un'idea e arriva a delle procedure e a un percorso. Sei compliant quando hai una visione ad ampio spettro e sai cosa stai facendo.
I greci dicevano: “Agisci quando sei consapevole”
Ma il 90% delle aziende non sa cosa sta facendo. La compliance è un modello, un modo di pensare alle cose in maniera diversa. E la prima cosa è proteggere le informazioni. Devi avere consapevolezza di quali sono, dove stanno, con cosa le usi, come le usi e chi le vede. Devi mappare questa cosa.
10 – Diffida della “pillola passatutto”
La pillola passatutto è una serie di consulenti o di fenomeni, come li chiamo io, che capitano in azienda e ti dicono:
- “Fra’, io ho qualcuno dentro la Guardia di Finanza. Mi hanno detto che tanto non controllano. Tieni, ti do questi documenti e sei a posto”
- “Cosa fai tu? Sei un’agenzia assicurativa? Vai sul sito dell’assicurazione più famosa, prendi la loro documentazione e copiala. È buona lo stesso. Prendi la pillola.”
Va bene. La pillola può funzionare, ma devi essere consapevole di cos’è davvero e di cosa può succedere. Perché, in realtà, la pillola non è una pillola… ma una supposta. A qualcuno può anche piacere - non entro nel dettaglio – ma almeno che la prenda con consapevolezza.
11 – I marketer e la sindrome del cane
Ho notato che, spesso, chi si occupa di marketing ha la “sindrome del cane”: il cane prende l’osso, scappa in giardino, scava una buca e lo nasconde. Non dice mai all’ufficio legale e al compliance manager cosa sta facendo e con quale strumento. Invece, dovrebbe dirglielo prima, non a cose fatte! Perché ci sono degli strumenti che, se non vengono settati adeguatamente o se non vengono gestiti adeguatamente, non possono aiutare o possono fare danni. È chiaro che, quando in azienda c’è un DPO o un ufficio legal che è un “Signor no” e che dice: questo non potete usarlo, quell’altro non potete usarlo… allora c’è un problema. Bisogna cercare di cambiare questa sinergia malata che si è creata. Perché la logica è proteggere le informazioni, ma portare avanti l’attività. Serve a chi fa marketing, serve all’azienda, serve a creare brand awareness, serve per creare fiducia nell’azienda. I no assoluti non servono a nessuno. Meglio un sì con cautela (di nuovo: si non caste, tamen caute).12 – Forma le persone, prima di usare gli strumenti di intelligenza artificiale
Quello che sto per dire vale per tutte le compliance: AI Act, GDPR, NIS 2, DORA... ed è: non usare gli strumenti, se prima non ti informi sugli strumenti, se prima non li scegli con consapevolezza.
E se poi non formi le persone, di cosa stiamo a discutere?
Perché, sappi che la gente caricherà su ChatGPT, su Copilot, su Gemini, su quant’altro, tutti i dati dell’azienda: i bilanci, il report semestrale… Ho visto gente caricare gli Excel su ChatGPT per fargli fare il report semestrale!
Che va bene, ma prima devi aver detto a ChatGPT che gli si seccheranno i chip, se i dati usciranno da lì. Perché, se non glielo dici prima, se non lo hai configurato nella maniera corretta - oppalà! - tutti i dati della semestrale sono già in pancia.
“Ma chi vuoi che le veda?” potresti direBene. Ti rispondo: “E se io fossi in grado di tirarli fuori?”
Una serie di hacker sta lavorando su agent di intelligenza artificiale per interrogarla e tirare fuori i dati delle aziende e in molti casi ci riescono.
13 – Serve un registro che ti dica quali dati hai, dove sono e perché li hai
Bisogna avere un registro dei trattamenti che dica quali dati hai, dove stanno e perché li hai. E quando lo faccio presente, c’è chi mi risponde: “Ehhh….! C’ho 27 server… C’ho 200 server…” Se hai 200 server, hai anche le persone che ti possono gestire il registro.
Se ne hai 2, non rompere le scatole. Gestisci ‘sto registro. Devi essere consapevole di chi ci mette sopra le mani, di quali informazioni ci sono sopra, ma non per la compliance. Non perché è obbligatorio, ma perché ha senso. Perché fa bene all’azienda avere il controllo sulle cose.
14 – L’analisi del rischio è una cosa seria, va fatta bene
La mia campagna per il 2025-2026 sarà cercare di “fare male fisicamente” – scherzo, ovviamente! - a tutti i fantomatici ingegneri, consulenti superfast-bel-sup, che dicono che l’analisi del rischio è un insieme di probabilità e di vulnerabilità. L’analisi del rischio è una roba seria. O la fai bene o non ha senso. Deve servirti per capire se ci sono delle attività da mettere in piedi, per essere tranquillo che sia tutto a posto. Non per il Garante, non per l’Agid. È per te. Devi essere tranquillo tu.
Ma sei tranquillo solo se ti affidi a chi sa farla e soprattutto a chi la fa in modo oggettivo, perché un’analisi del rischio soggettiva vale come il 2 di bastoni con la briscola coppe, cioè niente.
15 – Verifica tutti i fornitori. Sì, anche quelli “grossi”
Verifica i fornitori: tutti. Verifica anche i servizi dei fornitori, da Google, Meta, OpenAi in poi. Perché, per esempio, non tutti i servizi di Google, oggi, potrebbero essere adeguati. Alcuni sì, altri forse. E tu devi saperlo. Devi valutarlo. Poi ti adeguerai per essere conforme. E vale per qualsiasi fornitore.
“Eh ma è grosso…”
È grosso. E quindi? Paghi tu per lui?Perché, se non sei capace di scegliere il fornitore adeguato, il pirla sei tu! Pirla non è il fornitore non adeguato. Il fornitore ti dice per cosa puoi usare il suo servizio e per cosa no. Se tu non sei capace di gestirlo, è colpa tua.
Bene. Questi sono i 15 punti che ho presentato al Digital Island. Se ti interessa vedere lo speech - come dicono quelli bravi - qui trovi il video completo del mio intervento. Buona visione.
