WEBVTT 00:00:10.180 --> 00:00:16.979 Benvenuti a Legal Prompting, il podcast dedicato al metodo giuridico nell'era dell'AI. Sono Nicola 00:00:16.979 --> 00:00:24.719 Fabiano e questo è l'episodio 7. Nell'episodio precedente abbiamo visto come usare l'AI per 00:00:24.959 --> 00:00:31.040 analizzare contratti e clausole, individuare criticità, confrontare versioni. Ora facciamo 00:00:31.040 --> 00:00:37.500 un passo avanti. Quei prompt non vivono in isolamento, vivono dentro processi aziendali, 00:00:38.259 --> 00:00:43.819 dentro flussi di compliance che coinvolgono persone, documenti, scadenze e responsabilità. 00:00:45.360 --> 00:00:51.259 Oggi parliamo di Legal Prompting nei processi di compliance aziendale. Compliance è una parola 00:00:51.259 --> 00:00:57.259 ampia. Include privacy, anticorruzione, antiriciclaggio, sicurezza delle informazioni, 00:00:58.840 --> 00:01:06.220 modelli 231, controlli interni. In ognuno di questi ambiti l'AI può aiutare, ma può anche 00:01:06.220 --> 00:01:12.639 introdurre rischi nuovi se viene inserita senza criterio. Partiamo da un principio. L'AI non è 00:01:12.639 --> 00:01:17.860 uno strumento neutro che si aggiunge a un processo esistente. L'AI cambia il processo, 00:01:18.419 --> 00:01:24.580 chi fa cosa, come si documenta una decisione, chi è responsabile di un esito. Prima di iscrivere 00:01:24.580 --> 00:01:31.040 un prompt occorre chiedersi dove quel prompt entra nel flusso e cosa cambia rispetto al 00:01:31.040 --> 00:01:37.120 modo in cui le cose si facevano prima. Vediamo tre applicazioni concrete. Prima applicazione, 00:01:37.580 --> 00:01:43.080 la gestione delle richieste degli interessati ai sensi del GDPR. Un titolare del trattamento 00:01:43.080 --> 00:01:49.720 riceve richieste di accesso, cancellazione, portabilità. L'AI può aiutare nella prima 00:01:49.800 --> 00:01:55.480 classificazione della richiesta, nell'estrazione delle informazioni rilevanti, nella verifica 00:01:55.480 --> 00:02:02.000 preliminare dei termini. Il prompt deve specificare il quadro normativo, il ruolo di chi richiede, 00:02:02.220 --> 00:02:09.800 il tipo di richiesta. La risposta dell'AI è una bozza tecnica. La decisione resta del responsabile. 00:02:10.520 --> 00:02:17.240 Seconda applicazione, la revisione periodica delle politiche aziendali. Codici, etici, policy, 00:02:17.360 --> 00:02:23.500 privacy, procedure interne. L'AI può confrontare la versione attuale con i riferimenti normativi 00:02:23.500 --> 00:02:30.020 aggiornati e segnalare incongruenze, lacune, riferimenti obsoleti. Il prompt deve indicare 00:02:30.020 --> 00:02:36.419 gli standard di riferimento e il perimetro della revisione. L'output è una mappa delle criticità, 00:02:36.419 --> 00:02:41.940 non una nuova versione del documento. Terza applicazione, il monitoraggio delle 00:02:41.940 --> 00:02:48.460 segnalazioni interne, il whistleblowing. L'AI può aiutare nella prima triage delle segnalazioni e 00:02:48.460 --> 00:02:55.380 nella categorizzazione per tipologia di rischio. Qui la cautela è massima. Le segnalazioni 00:02:55.380 --> 00:03:01.860 contengono dati sensibili, identità da proteggere, fatti che potrebbero diventare oggetto di indagini. 00:03:02.460 --> 00:03:08.860 L'infrastruttura deve garantire confidenzialità, traziabilità, segregazione dei dati. Non è una 00:03:08.860 --> 00:03:15.580 questione di prompt, è una questione di governance. Da queste applicazioni emerge una regola operativa. 00:03:16.820 --> 00:03:22.919 Ogni uso dell'AI nella compliance va documentato. Quale prompt è stato usato, su quale modello, 00:03:23.080 --> 00:03:29.139 da quale operatore, con quale esito. Senza questa documentazione la compliance non è 00:03:29.139 --> 00:03:35.380 verificabile. È un processo non verificabile, non è conforme, qualunque sia il risultato apparente. 00:03:35.860 --> 00:03:42.880 C'è un altro punto. L'AI introduce un nuovo rischio operativo, il rischio di automatizzare l'errore. 00:03:43.740 --> 00:03:50.360 Se un prompt è impreciso, ogni uso di quel prompt produrrà un esito impreciso. La scala dell'errore 00:03:50.360 --> 00:03:56.460 cresce con la scala dell'uso. Per questo i prompt aziendali vanno trattati come strumenti operativi. 00:03:57.139 --> 00:04:03.779 Vanno versionati, testati, validati, aggiornati, come si fa con qualsiasi procedura. E poi c'è la 00:04:04.080 --> 00:04:10.419 responsabilità. L'AI non risponde di nulla. Risponde il titolare del trattamento, il datore 00:04:10.419 --> 00:04:16.720 di lavoro, il professionista, il consulente. La supervisione umana non è un dettaglio formale, 00:04:17.019 --> 00:04:22.299 è l'unico modo per riportare le decisioni a soggetti che possono risponderne. Nel prossimo 00:04:22.299 --> 00:04:28.420 episodio entreremo in un terreno delicato. Il segreto professionale è la scelta dell'infrastruttura 00:04:28.260 --> 00:04:34.980 AI. Quali modelli si possono usare, quali no, e perché la scelta dell'infrastruttura è già 00:04:34.980 --> 00:04:40.399 una decisione di compliance. Per restare aggiornati iscrivetevi alla newsletter sul mio 00:04:40.399 --> 00:04:46.420 blog vicfab.eu. Grazie per l'ascolto. Appuntamento al prossimo episodio.