PromptLab

Fondamenti
Modulo I · Capitolo 8
Cosa non inserire nei prompt

Privacy, etica e sicurezza

Ogni parola che scrivi in un prompt potrebbe essere letta, memorizzata o usata per l'addestramento. Sapere cosa non condividere è essenziale.

Quando usi un modello di IA, i dati che inserisci nel prompt possono essere trasmessi a server esterni, potenzialmente memorizzati e, in alcuni casi, usati per addestrare versioni future del modello. Questo ha implicazioni serie per la privacy e la conformità normativa.

Cosa NON inserire mai in un prompt

  • Dati personali identificativi — nomi, codici fiscali, indirizzi, numeri di telefono di cittadini o colleghi
  • Dati sensibili — informazioni sanitarie, giudiziarie, politiche, religiose (art. 9 GDPR)
  • Documenti riservati — atti non ancora pubblicati, bozze di delibere riservate, dati sotto segreto d'ufficio
  • Credenziali — password, token di accesso, chiavi API
  • Dati di minori — qualsiasi informazione relativa a persone sotto i 18 anni
GDPR e AI Act

Il Regolamento europeo sulla protezione dei dati (GDPR, Reg. UE 2016/679) si applica pienamente all'uso dell'IA. L'AI Act europeo (Regolamento UE 2024/1689) introduce obblighi specifici per i sistemi di IA ad alto rischio, inclusa la trasparenza e la supervisione umana. In Italia, la Legge 132/2025 recepisce l'AI Act e stabilisce regole specifiche per la PA, tra cui l'obbligo di informare i cittadini quando interagiscono con un sistema di IA e la necessità di una Valutazione d'Impatto (DPIA) prima dell'adozione.

Il quadro normativo italiano

  • GDPR (Reg. UE 2016/679) — Base per il trattamento dei dati personali. Art. 22: diritto a non essere sottoposti a decisioni automatizzate. Art. 35: obbligo di DPIA per trattamenti ad alto rischio
  • AI Act (Reg. UE 2024/1689) — Classifica i sistemi IA per livello di rischio. Vieta pratiche come il social scoring. Impone trasparenza e supervisione umana per sistemi ad alto rischio
  • Legge 132/2025 — Recepimento italiano dell'AI Act. Regole specifiche per la PA: obbligo di informativa, supervisione umana, registro dei sistemi IA utilizzati
  • Linee guida AgID — Raccomandazioni pratiche per l'adozione dell'IA nella PA: valutazione d'impatto, formazione del personale, monitoraggio continuo
  • Piano Triennale ICT 2024-2026 — Prevede l'adozione responsabile dell'IA nella PA con obiettivi di efficienza e trasparenza

Buone pratiche

  • Anonimizza sempre i dati prima di inserirli: sostituisci nomi reali con nomi fittizi
  • Usa versioni enterprise dei modelli che garantiscono la non-memorizzazione dei dati
  • Verifica la policy di data retention del servizio che usi
  • Non usare l'IA per decisioni automatizzate che impattano i diritti delle persone
  • Documenta sempre quando e come usi l'IA nei processi decisionali (principio di trasparenza)
Prima (da migliorare)

Analizza la pratica di Mario Rossi, CF RSSMRA80A01H501Z, residente in Via Roma 15, che ha presentato ricorso contro la multa n. 12345.

Dopo (migliorato)

Analizza una pratica di ricorso contro una sanzione amministrativa. Il ricorrente contesta la notifica per vizio di forma. Fornisci: 1) Elementi da verificare 2) Riferimenti normativi applicabili 3) Bozza di risposta. Non ho inserito dati personali per ragioni di privacy.

Suggerimento

Il Piano Triennale per l'Informatica nella PA 2024-2026 prevede l'adozione responsabile dell'IA. Ogni ente dovrebbe dotarsi di linee guida interne sull'uso degli strumenti di IA generativa.

Verifica di comprensione

Quale dato NON dovresti mai inserire in un prompt verso un servizio cloud?

Cap. 7: Limiti e allucinazioniFine del modulo — torna all'indice