Salta ai contenuti
Intric Intric Help Center

Informazioni classificate, quattro domande e suggerimenti

Introduzione

Sezione intitolata “Introduzione”

🎯 Obiettivi di apprendimento

  • Capire che le informazioni classificate e i dati personali sono categorie separate
  • Sapere che devi verificare la policy di classificazione delle informazioni della tua organizzazione, non solo le norme sulla protezione dei dati
  • Concludere con una checklist pratica e gli strumenti per correggere i miti comuni

Quando le informazioni sono sensibili per altri motivi

Sezione intitolata “Quando le informazioni sono sensibili per altri motivi”

Non tutte le informazioni sensibili sono dati personali. Le informazioni classificate — nel senso di informazioni che la tua organizzazione ha contrassegnato come riservate o confidenziali per ragioni operative o di sicurezza — sono una categoria separata.

Esempi:

  • Deliberazioni governative interne non rese pubbliche
  • Informazioni di appalto commercialmente sensibili
  • Informazioni relative alla sicurezza (valutazioni delle minacce, vulnerabilità delle infrastrutture)
  • Informazioni soggette a segreto professionale (come certi tipi di consulenza legale o medica all’interno di un’organizzazione)

Il GDPR non copre questo tipo di informazioni — ma le policy di sicurezza delle informazioni della tua organizzazione sì, e in molti casi anche il diritto amministrativo generale.

Cosa significa in pratica

Sezione intitolata “Cosa significa in pratica”

La policy di classificazione delle informazioni della tua organizzazione determina cosa può essere inserito in quali sistemi. Anche se un determinato assistente è tecnicamente approvato per dati personali, potrebbe non essere approvato per informazioni interne classificate — e queste sono domande diverse.

Prima di lavorare con documenti classificati o informazioni interne sensibili in un assistente, verifica:

  • Quale livello di classificazione ha assegnato la tua organizzazione a queste informazioni?
  • Cosa dice la tua policy IT o di sicurezza delle informazioni sull’uso di assistenti IA con questa classificazione?
  • L’assistente che vuoi usare è distribuito in un ambiente compatibile con quella classificazione?

In caso di dubbio, tratta le informazioni come più sensibili piuttosto che meno, e chiedi.

Esempio: Stai redigendo un rapporto per il tuo comune che fa riferimento a un parere legale interno contrassegnato come “solo per uso ufficiale.” Se puoi includerlo nel prompt di un assistente dipende dalla classificazione sia del documento sia dell’assistente — non solo di uno dei due.

Quattro domande da porsi prima di iniziare

Sezione intitolata “Quattro domande da porsi prima di iniziare”

Prima di usare un assistente con dati di cui non sei completamente certo, scorri rapidamente queste domande:

  1. Questo assistente è approvato per questo tipo di dati? Controlla la classificazione di sicurezza. Se sei incerto — chiedi all’amministratore.
  2. Sto condividendo solo ciò che è effettivamente necessario per questo compito? Pensa se puoi ottenere lo stesso risultato con meno informazioni personali.
  3. Un essere umano sta prendendo la decisione finale qui? Se l’output dell’IA porterà direttamente a una conseguenza per una persona, assicurati che un essere umano riveda e si assuma la responsabilità.
  4. Sembra un nuovo caso d’uso? Se il modo in cui stai usando l’assistente differisce in modo significativo dalla sua finalità prevista, o coinvolge categorie sensibili di dati su larga scala — segnalalo al tuo DPO prima di procedere.

Suggerimenti e miti

Sezione intitolata “Suggerimenti e miti”

Alcune cose che potresti sentire dai colleghi — e come rispondere:

“Se un essere umano rivede l’output, tutto è legalmente a posto.”

Per lo più sì — ma la revisione deve essere genuina. Se qualcuno è tecnicamente “nel loop” ma in pratica non modifica mai né mette in discussione l’output dell’IA, le autorità di regolamentazione e i tribunali potrebbero non considerarlo una supervisione umana significativa. Il revisore umano deve effettivamente comprendere cosa l’IA ha raccomandato ed essere in grado di dissentire.

“Gli assistenti IA vengono addestrati su ciò che digito, quindi dovrei evitare i dati personali del tutto.”

Per impostazione predefinita Intric non usa i tuoi prompt o i tuoi dati per addestrare modelli IA. I tuoi dati rimangono tuoi. Questa è una delle differenze chiave tra una piattaforma come Intric e un prodotto IA per consumatori. Detto questo, questo non significa che tutto sia consentito — i requisiti di protezione dei dati si applicano indipendentemente dall’addestramento.

“Una DPIA è un enorme progetto legale — non possiamo farne una ogni volta che usiamo l’IA.”

Una DPIA non è richiesta per ogni utilizzo dell’IA. È attivata da circostanze specifiche (come descritto nella sezione precedente). Per molti utilizzi quotidiani di un assistente — redazione, riassunto, ricerca — non è necessaria alcuna DPIA. Ciò che conta è riconoscere quando la soglia viene superata.

“L’AI Act e il GDPR dicono la stessa cosa, quindi devo pensare solo a uno di essi.”

Sono correlati ma distinti. Il GDPR riguarda la protezione dei dati personali. L’AI Act riguarda la sicurezza e l’affidabilità dei sistemi IA. Spesso puntano nella stessa direzione, ma hanno requisiti diversi e trigger diversi. Per gli obblighi specifici dell’AI Act per la tua organizzazione, consulta il corso sull’AI Act.

Circolano molti miti e incertezze sull’IA e la protezione dei dati. In caso di dubbio, rivolgiti all’amministratore o al responsabile della protezione dei dati, verifica le linee guida interne della tua organizzazione o leggi le fonti primarie — otterrai un quadro più accurato rispetto alla maggior parte dei riassunti online.

Metti alla prova le tue conoscenze

3 domande · 100% per superarlo · Rivedi le risposte al termine