Rapporto DataGrail: I tuoi fornitori potrebbero inviare dati ad modelli AI su cui non hai mai espresso il consenso

Il contratto di accordo sulla gestione dati (DPA) – punto fondamentale utilizzato dai team aziendali per valutare come i fornitori gestiscano i dati personali – non è più da considerare attendibile. È questa la principale e preoccupante conclusione del rapporto “2026 Privacy and AI Trends Report”, pubblicato oggi da DataGrail, piattaforma di privacy con sede a San Francisco.

I fornitori di software AI non rivelano i loro sottoprocessori nel DPA

DataGrail ha analizzato 2.400 fornitori di software aziendali e ha scoperto che circa il 63,6% di quegli operatori che pubblicizzano chiaramente caratteristiche basate sull'AI non rivelano l’utilizzo di subprocessor AI terzi nel proprio documento legale. Questo significa che molte aziende acquistano software abilitati all’AI senza rendersi conto di esporre i dati sensibili dei propri clienti a modelli e pipeline AI mai esaminati.

Daniel Barber, co-fondatore e CEO di DataGrail, ha dichiarato a VentureBeat che molte aziende stanno velocemente adottando l'AI ma, “le tecnologie stanno avanzando più velocemente della capacità di governance”. “Il contratto DPA dovrebbe indicare chiaramente i rischi legati ai modelli AI in uso, ma i dati raccolti lo smentiscono”, ha aggiunto.

Come è emerso il divario?

Il report di DataGrail mette in luce un divario crescente tra i contratti di fornitura e la realtà tecnica del software AI. La metodologia utilizzata per arrivare al 63,6% va ben oltre la lettura di documenti contrattuali:

• Croce-verifica dei dati DPA con la documentazione del prodotto
• Analisi delle API
• Riconsiderazione degli ambienti GitHub
• Valutazione dei materiali di marketing

Barber spiega che i suoi team integrano con diverse decine di fornitori, ed è in grado di osservare come i dati personali vengono processati – “siamo certi che il divario esiste per davvero, grazie alla nostra ricerca primaria,” ha concluso Barber.

Rischi di privacy e regolamentari

Come esempio concreto, Barber descrive una situazione aziendale che acquisti uno strumento intelligente per la selezione del personale. La sua DPA menziona un modello come Claude, il team esegue un'analisi per Anthropic, ma lo strumento usa in silenzio modelli di OpenAI e Gemini – che non erano mai stati valutati. Questi dati non autorizzati processano decine di curriculum, prendendo decisioni di assunzione automatizzata su dati sensibili come indirizzi, dati finanziari e informazioni sociali. Violando i regolamenti federali sugli algoritmi decisionali, una società potrebbe incorrere in gravi sanzioni.

Quasi un terzo dei sistemi AI rivelano almeno un rischio avanzato di privacy nei loro documenti, ma il vero tasso di esposizione è molto probabilmente più alto.

Rischi avanzati nella gestione AI

Inoltre, il rapporto rivela che il 32,8% degli strumenti AI dichiarati come tali processano dati sensibili, con rischi legali elevati. Per esempio:

• I dati sensibili (come informazioni mediche o finanziarie) sono processati nel 16,5% degli strumenti AI
• I dati biometrici sono utilizzati nel 7,5% degli strumenti AI
• Ogni 20,7% di quelle applicazioni presenta la potenzialità di automatizzare decisioni critiche

Barber sottolinea che la natura flessibile dell’intelligenza artificiale rende possibile che i fornitori riscontrino rischi solo dopo l’utilizzo del loro strumento – un’altra prova del perché sia urgente una valutazione continua dei rischi AI.

Incertezza nel trattamento dei dati sensibili

La combinazione di questi tassi e la mancanza di aggiornamenti formali nei DPAs rappresenta un problema di rischio esponenziale. Secondo il rapporto, il 42% delle aziende abbandonò i progetti AI nel 2025 a causa di preoccupazioni per la privacy – una statistica derivata dalle ricerche di S&P Global.

Per conformarsi alle nuove normative sui rischi privacy, le aziende ora dovranno soddisfare obblighi stringenti come:

• Conducting annual privacy risk assessments (assessare e registrare il rischio del trattamento di dati sensibili)
• Presentare i risultati entro specifiche scadenze, come quelle relative al CCPA
• Assicurare una dichiarazione ufficiale dei dirigenti

Preoccupazione crescente riguardo al consenso

Il rapporto evidenzia una forte enfasi anche sulle problematiche tradizionali di privacy. Nell'anno 2025, il tema del consenso ha dominato i casi di controllo e multe di privacy. La California ha registrato 1.400 ricorsi civili per la mancata esecuzione dei segnali di opt-out da parte di siti di tracking e servizi di replay, con costi associati di circa $4,3 milioni.

Esempi di fallimenti di consent e le loro conseguenze

Barber ha citato il caso della catena di abbigliamento maschile Todd Snyder, una piccola azienda con solo 300 dipendenti, che è stata multata $345.178 dagli ufficiali del California Privacy Protection Agency. “Questo non è più riservato alle grandi tecnologie,” ha affermato Barber.

Altri casi emblematici sono l’accordo da $2,75 milioni tra la California e Disney per non rispettare richieste di opt-out e le azioni regolamentari contro PlayOn Sports e Ford, evidenziando la vasta e intensa attività di controllo.

Sfide per il settore

Secondo il rapporto, le industrie legate a giochi e tecnologia consumer dovranno affrontare una frequenza di valutazione quadrupla rispetto a quelle dell'entertainment. La frequenza di controllo legale sugli strumenti di trattamento dati AI è destinata ad aumentare, con le agenzie di normatività che intensificano la loro attività di controllo.

Barber conclude il rapporto con un chiaro messaggio alle aziende che intendono adottare tecnologie AI: l’implementazione di valutazioni del rischio AI prima della messa in servizio non è opzionale. Per evitare costosi errori e per sostenere iniziative tecnologiche, una governance trasparente e rigorosa è indispensabile.