L'intelligenza artificiale è in pieno boom nell'era della digitalizzazione! Per avviare la comunicazione con i clienti nelle chat dal vivo, rispondere a domande e aumentare le vendite, i chatbot sono ormai presenti su molti siti web. Tuttavia, il GDPR (Regolamento Generale sulla Protezione dei Dati) sta mettendo in allarme sviluppatori e utenti di chatbot: come possono i chatbot essere sviluppati e integrati nel sito web in conformità con la protezione dei dati?

Il rischio è elevato: in caso di violazioni del GDPR, si possono subire multe salate e la perdita di fiducia dei clienti. Per questo motivo, un'implementazione conforme alla protezione dei dati è fondamentale. Il presente articolo, tecnicamente esaminato dall'avvocato Sören Siebert e aggiornato all'8 luglio 2025, chiarisce cosa sia un chatbot, a cosa servano e cosa le aziende e i programmatori debbano concretamente considerare in materia di chatbot e protezione dei dati.

1. Cosa sono i chatbot?

La parola "chatbot" è composta dalle due parole “chat” e “robot”. Un chatbot utilizza capacità testuali o auditive per costruire un sistema di dialogo. Grazie all'intelligenza artificiale, le persone possono conversare con il chatbot.

LO SAPEVI?

Il primo chatbot al mondo fu "Eliza": lo statunitense Joseph Weizenbaum programmò la psicoterapeuta virtuale negli anni '60. Eliza aveva lo scopo di sostituire l'interazione con uno psicoterapeuta.

I chatbot moderni attingono a un database di conoscenze con modelli di riconoscimento e risposte. Essi scompongono la domanda dell'interlocutore umano in singole parti e correggono errori di battitura e punteggiatura. Il chatbot riconosce il significato della domanda tramite un modello di riconoscimento e fornisce una risposta adeguata.

Dal punto di vista tecnico, i chatbot sono meno una vera intelligenza artificiale, ma piuttosto un motore di ricerca a testo completo. Tuttavia, poiché i set di dati diventano sempre più estesi, i chatbot moderni offrono dialoghi intelligenti.

L'implementazione e l'utilizzo di successo dei bot richiedono dati, in particolare dati personali degli utenti. Molti chatbot basati sull'IA non utilizzano solo i dati trasmessi dall'utente, ma valutano profili utente completi tramite misure di tracciamento. Questo pone problemi agli sviluppatori e agli utenti: se i loro bot raccolgono e elaborano dati personali (ad esempio per il marketing), necessitano di un consenso esplicito dell'utente. Devono informare gli utenti in modo trasparente e fornire strumenti per la revoca, il diritto all'oblio e la portabilità dei dati.

2. Vantaggi dell'intelligenza artificiale e dei chatbot per le aziende

I maggiori vantaggi dei sistemi di intelligenza artificiale sono:

  • Riduzione dei costi
  • Aumento dell'efficienza
  • Miglioramento dell'esperienza cliente

Aziende innovative utilizzano i chatbot per le più svariate attività. Questi piccoli aiutanti trasmettono informazioni e standardizzano i processi. Gli interessati possono chiedere il saldo del loro conto prepagato tramite un numero di telefono. I sistemi di navigazione indicano all'automobilista quando deve svoltare.

Alcuni bot eseguono comandi: l'assistente vocale Alexa di Amazon, ad esempio, si connette a Spotify o Amazon Music dopo un comando vocale. Alexa riproduce brani o playlist specifiche su richiesta.

I chatbot servono per la comunicazione e l'organizzazione. I privati utilizzano i bot per la pianificazione degli appuntamenti, mentre le aziende li usano per vendere biglietti per teatro e cinema, voli e prenotazioni alberghiere. In questo modo è possibile risparmiare soprattutto tempo e risorse preziosi.

Gli utenti richiamano tramite i bot informazioni aggiornate quotidianamente, come valori di borsa, notizie o il meteo. In futuro, i bot si occuperanno anche dell'ordinazione di cibo presso i servizi di consegna.

Nel settore dei social media, i bot informano sugli articoli, su X (ex Twitter) segnalano blog e nel marketing inviano articoli e newsletter. Anche su Facebook i chatbot sono integrati da tempo.

ATTENZIONE

Proprio su Facebook, il tema dei chatbot e della protezione dei dati è molto importante.

3. Dove e per cosa le aziende utilizzano i chatbot?

I chatbot si trovano nei più svariati ambiti: su siti web, nei messenger, su Facebook e al telefono. Le aziende traggono vantaggio dalle molteplici possibilità: il software sostituisce ormai interi call center. Questo porta a notevoli risparmi sui costi. Anche nell'intero settore del marketing, i bot sono diventati indispensabili in molte aziende.

Sui siti web, i chatbot servono all'orientamento dell'utente. Migliorano l'orientamento e suggeriscono attività all'utente. Se il chatbot non può aiutare, inoltra il suo interlocutore a una persona reale. I chatbot sono importanti anche nei call center. Sebbene ogni persona desideri parlare subito con un consulente clienti, grazie al bot, l'utente non rimane in attesa. L'azienda è immediatamente disponibile per i suoi clienti, naturalmente con una disponibilità 24 ore su 24.

Spesso i bot assumono anche compiti piuttosto semplici come messenger. Ad esempio, salutano l'utente con un "messaggio di benvenuto", in modo che possa sentirsi subito a suo agio. Gli assistenti vocali digitali come Alexa di Amazon e Siri di Google rivelano le innumerevoli possibilità di utilizzo dei chatbot.

INTERESSANTE

Con ChatGPT, l'IA è in grado di risolvere questioni molto più complesse. Scrivere articoli specialistici, redigere lettere legali o generare codice sorgente per il proprio sito web non sono più un problema per l'intelligenza artificiale. Nel nostro articolo “ChatGPT per imprenditori: il sottile confine tra innovazione e rischio legale” potete leggere di più a riguardo. Si tenga presente che lo studio legale Siebert Lexow offre supporto legale in merito all'IA nel business online.

Affinché i bot possano rispondere in modo intelligente a domande complesse, devono elaborare sempre più informazioni. Qui, il tecnicamente possibile spesso si scontra con la protezione dei dati e il Regolamento Generale sulla Protezione dei Dati (GDPR).

4. Sette consigli per le aziende che utilizzano i chatbot

La protezione dei dati si ferma in una chat dal vivo? Assolutamente no! Se come azienda utilizzate un chatbot, non dovete trascurare il tema protezione dei dati e GDPR. Altrimenti, si rischiano ammonizioni e multe. Elenchiamo i sette punti più importanti da considerare in merito a "chatbot, marketing e protezione dei dati".

1. Il diritto all'oblio

Ogni cliente può richiedere che un'azienda elimini tutti i dati che lo riguardano. Questo è regolato dal cosiddetto "diritto all'oblio", sancito dal GDPR. Se un cliente insiste, i titolari del trattamento devono rimuovere tutti i dati utente dal database del chatbot.

2. Diritto di accesso ai dati

Gli utenti possono in qualsiasi momento richiedere la consultazione dei dati che i titolari del trattamento conservano su di loro. Gli sviluppatori di chatbot devono permettere al cliente di scaricare i dati memorizzati su di lui con pochi clic.

3. Diritto di rettifica

Gli utenti di chatbot non solo possono consultare i propri dati, ma hanno anche il diritto, secondo la normativa sulla protezione dei dati, di richiederne la cancellazione o la modifica. Gli sviluppatori di chatbot dovrebbero creare un accesso ai dati personali. Qui gli utenti possono poi modificare informazioni personali come il numero di telefono e l'indirizzo e-mail.

4. Il consenso è necessario

L'utente deve dare il proprio consenso prima della trasmissione e della memorizzazione dei suoi dati. Secondo il GDPR, il consenso deve essere libero, specifico, informato e inequivocabile. Ciò significa che non può essere presunto o inserito automaticamente, ma l'utente deve compiere un'azione chiara, come spuntare una casella di controllo ("opt-in"), per indicare il proprio accordo. È fondamentale fornire informazioni chiare e facilmente comprensibili sulle finalità per cui i dati verranno utilizzati, chi li tratterà e per quanto tempo verranno conservati. Se i dati vengono utilizzati per scopi diversi (ad esempio, assistenza clienti e marketing), è opportuno richiedere consensi separati. Inoltre, gli utenti devono poter revocare il proprio consenso in qualsiasi momento con la stessa facilità con cui lo hanno fornito.

5. Trasparenza nell'informativa sulla privacy

Un'informativa sulla privacy (o "privacy policy") completa e facilmente accessibile è un requisito fondamentale per l'utilizzo dei chatbot. Deve descrivere in modo dettagliato e comprensibile:

  • Quali categorie di dati personali vengono raccolte tramite il chatbot (ad esempio, nome, indirizzo e-mail, storico delle conversazioni, dati di tracciamento).
  • Le finalità esatte della raccolta e del trattamento di tali dati (ad esempio, assistenza clienti, marketing, miglioramento del prodotto).
  • Le basi giuridiche del trattamento (ad esempio, consenso, esecuzione di un contratto, legittimo interesse).
  • Come e dove i dati vengono archiviati, per quanto tempo e chi ha accesso ad essi (includendo eventuali terze parti o sub-responsabili del trattamento).
  • I diritti degli utenti ai sensi del GDPR: diritto di accesso, rettifica, cancellazione (diritto all'oblio), limitazione del trattamento, portabilità dei dati, opposizione al trattamento e revoca del consenso.
  • I dettagli di contatto del responsabile della protezione dei dati (DPO) o di un referente per le questioni relative alla privacy.

Questa informativa deve essere sempre aggiornata e chiaramente linkata da ogni punto di contatto con il chatbot.

6. Accordo di elaborazione dati (DPA/DPA)

Se un'azienda si avvale di un fornitore di servizi esterno per l'hosting o la gestione del chatbot (come spesso accade con soluzioni basate su cloud o piattaforme di terze parti), è obbligatorio stipulare un accordo di elaborazione dati (DPA) ai sensi dell'Art. 28 del GDPR. Questo contratto regola i ruoli e le responsabilità tra il titolare del trattamento (l'azienda che utilizza il chatbot) e il responsabile del trattamento (il fornitore del chatbot). Il DPA deve specificare:

  • L'oggetto, la durata, la natura e le finalità del trattamento.
  • Il tipo di dati personali e le categorie di interessati.
  • Gli obblighi e i diritti del titolare del trattamento.
  • Le misure tecniche e organizzative che il responsabile del trattamento deve attuare per garantire un livello di sicurezza adeguato.
  • Le modalità di assistenza che il responsabile del trattamento deve fornire al titolare per l'adempimento dei suoi obblighi GDPR.
  • Le istruzioni vincolanti per il responsabile del trattamento riguardo al trattamento dei dati.

La mancata stipula di un DPA valido può comportare gravi sanzioni per l'azienda.

7. Misure tecniche e organizzative (MTO) per la sicurezza dei dati

La sicurezza dei dati personali trattati dai chatbot è di primaria importanza, come stabilito dall'Art. 32 del GDPR. Le aziende devono implementare misure tecniche e organizzative (MTO) adeguate per proteggere i dati da trattamenti non autorizzati o illeciti, dalla perdita, dalla distruzione o dal danno accidentale. Tra queste MTO si annoverano:

  • Crittografia: Implementare la crittografia per i dati in transito (ad esempio, tramite HTTPS) e, dove possibile, per i dati a riposo.
  • Pseudonimizzazione e Anonimizzazione: Quando non è strettamente necessario identificare l'utente, i dati dovrebbero essere pseudonimizzati o, idealmente, anonimizzati per ridurre il rischio.
  • Controllo degli accessi: Limitare l'accesso ai dati personali solo al personale autorizzato e necessario per le specifiche finalità, con autenticazione robusta.
  • Backup e ripristino: Stabilire procedure regolari di backup dei dati e piani di ripristino per garantire la disponibilità e l'integrità dei dati in caso di incidenti.
  • Monitoraggio e audit: Effettuare un monitoraggio costante dei sistemi del chatbot per rilevare attività sospette e condurre audit di sicurezza regolari.
  • Formazione del personale: Assicurarsi che tutto il personale coinvolto nella gestione del chatbot e dei dati sia adeguatamente formato sulle politiche di sicurezza e privacy.
  • Privacy by Design e by Default: Progettare il chatbot e i relativi processi fin dall'inizio con la protezione dei dati in mente (privacy by design) e garantire che, per impostazione predefinita, vengano trattati solo i dati strettamente necessari per ogni specifica finalità (privacy by default).

Adottare queste misure non solo garantisce la conformità legale, ma rafforza anche la fiducia dei clienti nell'utilizzo dei servizi offerti dall'azienda tramite chatbot.