Legal Prompting - Segreto professionale e infrastruttura AI

Bentornati a Legal Prompting, sono Nicola Fabiano e questo è l'episodio 8.

Nell'episodio precedente abbiamo visto come integrare il Legal Prompting nei

processi di compliance aziendale con workflow strutturati, governance e

tracciabilità. Oggi affrontiamo un tema che è il

presupposto di tutto, il segreto professionale e la scelta dell'infrastruttura AI.

Il principio è semplice ma spesso sottovalutato. Quando un avvocato, un

consulente legale o un dpo inserisce in un sistema di intelligenza artificiale

informazioni coperte da segreto professionale, sta compiendo una scelta

deontologica, non solo tecnica. L'infrastruttura su cui gira il modello,

il luogo in cui i dati vengono trattati, i soggetti che possono accedervi, le

anzie contrattuali in essere, la giurisdizione applicabile, tutto questo

fa parte del rispetto del segreto. Non esiste prompt ben scritto che possa

compensare un'infrastruttura inadeguata. Vediamo tre applicazioni concreti.

Prima applicazione, l'analisi di un fascicolo riservato. Se devo chiedere a

un modello di sintetizzare gli atti di una controversia o di confrontare le

clausole di un contratto coperto da NDA, il primo passo non è scrivere il prompt.

È necessario verificare dove andranno quei dati, se saranno usati per

l'addestramento, chi avrà accesso ai log, per quanto tempo verranno conservati e

se il fornitore offre garanzie compatibili con il dovere di riservatezza.

Per dati altamente sensibili, un modello eseguito in locale o su un'infrastruttura

europea con DPE solido e clausole di non training esplicite è spesso l'unica

opzione coerente. Seconda applicazione, la consulenza in

materia di privacy o di salute. Le categorie particolari di dati

richiedono cautelle rafforzate. Anche quando il caso d'uso appare generico,

basta un dettaglio identificativo per trasformare il prompt in un trattamento

di dati personali sensibili. La regola operativa è la pseudonimizzazione

preventiva o, dove possibile, l'astrazione del caso. Se il fornitore non offre

garanzie adeguate sui trasferimenti extra o E, il dato sensibile non deve

uscire dal mio perimetro. Terza applicazione, la redazione di pareri su

operazioni straordinarie o procedimenti penali.

Qui non basta la riservatezza tecnica. Occorre considerare la giurisdizione

del fornitore, le richieste di accesso da parte di autorità estere, l'esposizione

a normativi come il Cloud Act e le implicazioni della legge 332 del 2025 e

dell'AI Act in materia di infrastruttura. Tre regole operativi trasversali.

Prima regola, classificare prima di prontare. Ogni informazione che entra in

un modello deve essere classificata in base al livello di riservatezza. Senza

classificazione non può esserci una scelta consapevole dell'infrastruttura

e ogni decisione successiva è CICA. Seconda regola, documentare la scelta.

Il fascicolo del cliente deve mostrare quale strumento è stato utilizzato, con

quali garanzie contrattuali, su quale base giuridica e perché quella scelta

era proporzionata al caso. La documentazione tutele il cliente e il

cliente. Quando possibile sostituire dati identificativi con segna posto, lavorare

per categorie e schemi, ricostruire il contesto solo nella propria mente.

Il modello aiuta a ragionare, non ha bisogno di conoscere l'identità delle persone

coinvolte. Il segreto professionale non è un vincolo che limita l'uso dell'AI, è

la cornice che lo rende illegittimo. Senza questa cornice ogni efficienza

guadagnata si trasforma in un rischio deontologico e disciplinare e ogni

vantaggio operativo diventa una passività latente.

Nel prossimo episodio entreremo nel cuore dell'AI Act, quali obblighi

specifici ricadono sul professionista legale, come si articola la supervisione

umana e cosa significa concretamente la trasparenza nell'uso dei sistemi di

intelligenza artificiale. Per approfondire questi temi è ricevere

riflessioni settimanali sul rapporto tra diritto, privacy e tecnologia.

Ti invito a iscriverti alla newsletter su nicfab.eu. Grazie per l'ascolto.