Leggi le privacy policy sull’AI senza annuire addormentandoti
Risorse
Un modo pratico per leggere le privacy policy dei provider di AI: ignora il profumo, trova le clausole su training, retention, accesso, condivisione ed eliminazione.
- Date
- 3 luglio 2026
- Author
- Unexposed

Le privacy policy dei provider di AI sono spesso scritte come un divano fatto di nebbia. Morbide, grandi e sorprendentemente difficili da lasciare.
L’astuzia non è leggerle come letteratura. Leggile come un meccanico. Stai cercando pezzi: training, retention, accesso, condivisione, eliminazione, subfornitori, diritti dell’utente ed eccezioni.
Inizia dal training. Il provider usa i contenuti dei clienti per addestrare o migliorare i modelli? L’opzione predefinita è opt-in o opt-out? La dichiarazione si applica ai clienti API, agli account consumer, ai piani enterprise, agli endpoint di immagini, agli upload di file e ai dati di fine-tuning? “Non facciamo training sui tuoi dati API” è utile. “Potremmo usare i contenuti per migliorare i servizi” è un’altra cosa.
Poi leggi la retention. Per quanto tempo vengono conservati prompt, immagini, output, log e file? Ci sono regole diverse per il monitoraggio di abusi, lo stato dell’applicazione, i progetti salvati, i batch job o le modifiche alle immagini? Se la policy usa “temporaneo”, cerca il numero.
Successivamente leggi per l’accesso. Il personale del provider può rivedere i contenuti? Quando? Per abusi, supporto, conformità legale, debugging o qualità? Sono coinvolti revisori umani? La revisione è automatica, campionata, escalated o disponibile in modo ampio dentro i dashboard?
Dopo, leggi per la condivisione. Quali subfornitori gestiscono i dati? Il contenuto esce dalla regione? I dati vengono condivisi con provider di modelli, vendor di infrastruttura, strumenti di analytics o piattaforme di supporto? La parola “subprocessor” è noiosa finché non scopri che uno di loro è dove è finita davvero la foto del tuo cliente.
Infine, leggi l’eliminazione. Il cliente può eliminare i contenuti? L’eliminazione copre solo i sistemi attivi? E i backup? E gli output generati, le miniature e i link in cache? Se i diritti di eliminazione sono descritti ma il prodotto non ha un percorso di eliminazione utilizzabile, congratulazioni: hai trovato la lacuna.
Il tuo obiettivo non è diventare un avvocato da un giorno all’altro. Il tuo obiettivo è scrivere un riassunto interno di una pagina che un collega normale possa capire. Se non riesci a riassumere il comportamento del provider, non sei pronto a far passare immagini dei clienti attraverso di esso.
Ulteriore lettura: Cosa fraintendono gli sviluppatori sul training dei modelli e sulle immagini caricate, Cosa significa davvero zero data retention tra i provider di AI e Il problema degli strumenti di AI che nascondono la retention nelle clausole.