Legal Prompting - Analizzare le decisioni delle autorità

Bentornati al podcast di NicFab dedicato al Legal Prompting. Sono Nicola Fabiano e questo è il

secondo episodio. Nel primo episodio ho introdotto il tema, ho spiegato cos'è il Legal Prompting e

ho posto tre premesse fondamentali che accompagneranno ogni episodio di questa

serie. Ve le ricordo brevemente. I modelli linguistici non ragionano come giuristi. Il

quadro normativo europeo impone limiti precisi all'uso dell'intelligenza artificiale nelle

attività professionali. La scelta del modello e dell'infrastruttura non è una decisione tecnica,

è una decisione di compliance. Oggi entriamo nel concreto. Parliamo di come usare l'intelligenza

artificiale per analizzare una decisione di un'autorità di protezione dei dati personali.

Perché partire dalle decisioni delle autorità? Chi lavora nella protezione dei dati, avvocati,

dpo, responsabili, compliance, si confronta quotidianamente con le decisioni delle autorità

di controllo. E non parlo solo dell'autorità del proprio paese. Un dpo che opera in un contesto

europeo deve confrontarsi con le decisioni del garante italiano, della CNIL, francese,

dell'ICO britannico, del BFDI tedesco, delle autorità irlandese, belga, austriaca e con le

decisioni e le linee guida delle dpb a livello europeo. Sono documenti spesso lunghi, tecnicamente

densi, con riferimenti normativi stratificati, scritti in lingue diverse. Leggerli richiede

tempo, comprenderli richiede competenza, estrarre le informazioni elevanti per il

caso specifico richiede metodo. È il caso d'uso più naturale per il legal prompting, non perché

l'intelligenza artificiale possa sostituire la lettura del giurista, questo va detto con chiarezza,

ma perché può accelerare una fase preliminare, l'orientamento nel testo, l'identificazione

dei punti chiave, la strutturazione di una prima analisi da verificare, poi in modo approfondito.

Il problema non basta dire analizza questa decisione, il primo errore e lo vedo molto

spesso è incollare una decisione in una finestra di chat e scrivere qualcosa come analizza questo

documento oppure dimmi cosa dice. Il risultato in genere è una sintesi generica superficiale

che non serve a nulla in un contesto professionale, a volte anche inaccurata. Perché succede? Perché

il modello non ha contesto, non sa chi sei, non sa perché stai leggendo quella decisione, non sa

cosa ti serve estrarre, non sa in quale quadro normativo, in quale giurisdizione collocare

l'analisi. Senza istruzioni precise produce un output generico, è un output generico nel lavoro

giuridico, è un output inutile quando non è un output pericoloso. Il metodo? Costruire un prompt

strutturato. Il legal prompting applicato all'analisi delle decisioni richiede un prompt

strutturato. Vediamo come costruirlo passo dopo passo. Il primo elemento è il ruolo, bisogna dire

il modello in quale veste professionale ci si pone. Non è un dettaglio, un dpo legge una decisione in

modo diverso da un avvocato che difende il titolare del trattamento che la legge in modo

diverso da un consulente che deve valutare l'impatto su un intero settore. Il ruolo orienta

l'analisi. Il secondo elemento è il contesto. Bisogna spiegare perché si sta analizzando quella

decisione. Sto verificando la conformità della mia organizzazione? Sto preparando un parere? Sto

valutando se un certo trattamento è a rischio alla luce di un precedente? Sto confrontando

l'approccio di due autorità diverse sullo stesso tema? Il contesto delimita il perimetro dell'analisi

e rende l'output rilevante. Il terzo elemento sono le istruzioni specifiche. Che cosa voglio

estrarre? Le violazioni contestate? La base giuridica applicata? Le misure correttive imposte? I

criteri di quantificazione della sanzione? I precedenti citati? L'interpretazione di un articolo

specifico del GDPR? Più le istruzioni sono precise, più l'output è utilizzabile. Il quarto elemento è

il formato dell'output. Voglio un'analisi discorsiva? Una tabella con violazione? Norma? Sanzione? Un

confronto strutturato con un'altra decisione? Un elenco di punti rilevanti per una specifica

valutazione d'impatto? Il formato va specificato, altrimenti il modello decide da solo e quasi mai

decide nel modo più utile per chi legge. Un esempio pratico. Facciamo un esempio concreto. Supponiamo

che un DPO debba analizzare una decisione sanzionatoria di un'autorità di controllo per

violazione degli obblighi di trasparenza, un tema che attraversa tutte le giurisdizioni europee,

perché l'articolo 13 e l'articolo 14 del GDPR si applicano ovunque. Un prompt inefficace sarebbe

analizza questa decisione. Un prompt strutturato secondo il metodo del legal prompting sarebbe

qualcosa di questo tipo. Agisci come un Dato Protection Officer di un'organizzazione che

tratta dati su larga scala in ambito europeo. Devo valutare se le informative privacy della

mia organizzazione presentano carenze analoghe a quelle contestate in questa decisione. Analizza

la decisione allegata ed estrai 1. le carenze specifiche contestate dall'autorità nelle

informative rese agli interessati, 2. le norme violate con il riferimento preciso agli articoli

del GDPR, 3. le misure correttive imposte e le relative tempistiche, 4. i criteri utilizzati

per la quantificazione della sanzione con riferimento alle linee guida e dpb in materia,

5. le eventuali circostanze attenuanti o aggravanti riconosciute dall'autorità. Presente

risultato in forma tabellare con una colonna per ogni elemento. Alla fine aggiungi un paragrafo

con le implicazioni pratiche per un dpo che deve verificare la conformità delle proprie informative.

La differenza tra i due prompt è enorme e la differenza nell'output è altrettanto enorme.

Notate una cosa importante, questo stesso prompt funziona indipendentemente dall'autorità che ha

della CRIL con una dell'autorità spagnola. Il metodo è lo stesso, cambiano i fatti, cambia la

lingua, ma la struttura del prompt resta valida. Le trappole. Anche con un prompt ben strutturato ci

sono trappole che vanno conosciute. La prima è l'allucinazione sui riferimenti normativi. Il

modello può citare articoli sbagliati, può inventare commi che non esistono, può attribuire

a una norma un contenuto che appartiene a un'altra. Questo rischio aumenta quando la decisione è in

una lingua diversa dalla lingua del prompt, perché il modello deve operare una doppia mediazione

linguistica e giuridica. Ogni riferimento normativo nell'output va verificato, sempre e senza eccezioni.

La seconda trappola è la perdita delle sfumature argomentative. Le decisioni delle autorità hanno

una struttura precisa. C'è una differenza sostanziale tra un fatto riportato nella ricostruzione

dell'istruttoria, un'argomentazione nelle difese del titolare del trattamento e una conclusione

dell'autorità. Il modello può confondere questi piani, può attribuire all'autorità una posizione

che in realtà era quella della parte. In un contesto professionale questo è un errore grave.

La terza trappola riguarda i precedenti e i riferimenti incrociati. Se il modello cita decisioni

precedenti o linee guida delle dpb, quei riferimenti vanno verificati. Potrebbero non esistere oppure

esistere ma dire qualcosa di diverso da quello che il modello riporta. Ho visto modelli inventare

numeri di provvedimento, attribuire a linee guida e dpb contenuti mai espressi, confondere pareri del

gruppo di lavoro articolo 29 con opinioni delle dpb. Sono errori che in un parere legale o in

delle conseguenze serie. Le tre premesse applicate. Torniamo alle tre premesse del primo episodio e

vediamo come si applicano a questo caso d'uso. Supervisione umana, human oversight. L'output

dell'analisi non è il prodotto finale, è un punto di partenza. Il dpo, l'avvocato, il consulente devono

leggere la decisione originale, confrontare l'analisi prodotta dal modello, verificare ogni

riferimento, integrare con la propria competenza e la propria conoscenza del contesto. L'intelligenza

artificiale non sostituisce il giurista, accelera una fase del lavoro ma la responsabilità resta

interamente umana. Quadro normativo. La decisione che si sta analizzando potrebbe contenere dati

personali delle parti coinvolte. Incollare quel testo in un modello cloud senza avere verificato

i termini di servizio del fornitore, le garanzie sui trasferimenti internazionali dei dati, la

presenza di un data processing agreement adeguato è un problema di compliance e ciò può valere

anche quando la decisione sia pubblica perché, qualora essa contenga ancora dati personali

identificabili, la pubblicità legale o istituzionale dell'atto non rende automaticamente libero qualunque

successivo riutilizzo di tali dati. L'eventuale impiego del testo in un modello cloud richiede

comunque una verifica autonoma di base giuridica, finalità, necessità, minimizzazione, ruolo del

fornitore e garanzie sui trasferimenti. Scelta del modello e dell'infrastruttura. Per analizzare

decisioni che contengono informazioni riservate penso a decisioni non ancora pubblicate, a bozze,

a documenti scambiati nell'ambito di procedimenti in corso, un modello locale potrebbe essere la

scelta più appropriata dal punto di vista della protezione dei dati. Non è sempre necessario,

ma bisogna porsi la domanda prima, non dopo. Analizzare una decisione di un'autorità di

protezione dei dati con l'intelligenza artificiale non è copiare e incollare un testo e aspettare

una risposta. È un processo che richiede metodo, precisione nelle istruzioni e verifica rigorosa

dell'output. Il Legal Prompting serve esattamente a questo, trasformare un uso approssimativo dello

strumento in un uso professionale e consapevole. Nel prossimo episodio parleremo di un altro caso

d'uso concreto, la redazione di informative privacy con l'ausilio dell'intelligenza artificiale.

Vedremo come strutturare i prompt, quali errori evitare e perché un'informativa generata senza

supervisione può creare più problemi di quelli che risolve. Se volete approfondire sul mio blog

nickfab.eu trovate un articolo dedicato al Legal Prompting con riferimenti e link utili e ogni

martedì nella NickFab Newsletter trovate la rubrica Legal Prompting anche in formato scritto.

Iscrivetevi alla newsletter su nickfab.eu. Grazie per l'ascolto, al prossimo episodio.