IA e segreto professionale: cosa significa l'art. 321 CP per gli strumenti cloud
Posso inserire dati del mandato in uno strumento di IA? Perché la risposta dipende dall'architettura — e non solo dalla posizione del server.
Il segreto professionale dell'avvocato (art. 13 LLCA, sanzionato dall'art. 321 CP) obbliga avvocate e avvocati alla riservatezza su tutto ciò che viene loro affidato nell'esercizio della professione. Non è un semplice principio deontologico, ma è tutelato dal diritto penale e rilevante sul piano della responsabilità civile. Con l'ingresso degli strumenti di IA generativa una domanda pratica si ripropone in modo nuovo e urgente: posso inserire elementi di un mandato in uno strumento di IA — e, in caso affermativo, a quali condizioni?
Cosa protegge l'art. 321 CP — e quando interviene con gli strumenti di IA?
L'art. 321 CP punisce la violazione del segreto professionale. È protetto non solo il contenuto di un mandato, ma già il fatto stesso che una persona sia cliente, nonché tutte le circostanze che vengono affidate o rese note all'avvocata in tale qualità. La protezione è ampia: comprende nomi, fatti, strategie, mezzi di prova e metadati. Non appena tali informazioni sono inserite in uno strumento di IA che le trasmette a un server, si verifica una comunicazione a un terzo — il gestore dello strumento e i suoi sub-responsabili. Se questa comunicazione sia lecita dipende dal consenso del cliente, dalla copertura contrattuale (in particolare un contratto di trattamento dei dati) e dalle garanzie tecniche del fornitore. In mancanza di uno di questi presupposti, l'avvocata rischia non solo una misura disciplinare, ma una punibilità secondo l'art. 321 CP.
A ciò si aggiunge la legge riveduta sulla protezione dei dati (nLPD). I dati del mandato contengono regolarmente dati personali degni di particolare protezione — dati sulla salute, dati su procedimenti penali, situazioni finanziarie. La loro comunicazione a un responsabile del trattamento presuppone una base giuridica valida, una minimizzazione dei dati e misure tecniche e organizzative adeguate. Il segreto professionale e il diritto della protezione dei dati agiscono qui insieme e si rafforzano a vicenda.
Perché la posizione del server non è tutta la risposta
Molti fornitori pubblicizzano un «hosting in Svizzera». È rilevante, ma non basta. Perché anche se i dati vengono archiviati in un centro dati svizzero, l'elaborazione da parte del modello di IA vero e proprio avviene spesso altrove — ad esempio «in Europa» o negli Stati Uniti. La posizione di archiviazione di una banca dati non dice nulla su dove il modello linguistico effettua i calcoli, su chi ha tecnicamente accesso alle immissioni e sotto quale ordinamento giuridico si trovi tale accesso. I contenuti dei clienti lasciano allora il dispositivo e lo studio — indipendentemente da dove risiedano infine i risultati.
Altrettanto decisiva è la questione dell'addestramento. Se un'immissione è usata per migliorare il modello, il contenuto del mandato non lascia il dispositivo solo per un breve momento, ma confluisce potenzialmente in modo durevole in un modello a disposizione di terzi. Una solida garanzia di zero conservazione — nessun salvataggio, nessun addestramento — non è quindi un optional, ma un presupposto per un uso del cloud sostenibile sul piano deontologico. Come Causidicus limiti il livello cloud alla domanda e al testo di legge pubblico e lo gestisca in regime di zero conservazione è descritto in dettaglio nella pagina Sicurezza e architettura.
Sul dispositivo: perché l'elaborazione locale è la variante più parsimoniosa nei dati
La variante più sicura è non trasmettere affatto i dati. Se il modello linguistico gira localmente sul dispositivo dell'avvocata (sul dispositivo), i dati del mandato non vengono messi in rete per l'elaborazione. Non esiste alcun server che possa essere compromesso, alcun fornitore a cui debba fidarsi e alcuna autorità estera che possa accedere ai dati. Il segreto professionale non è così protetto da un contratto, ma dall'architettura — è una proprietà del sistema, non una promessa sulla carta.
È esattamente l'approccio di Causidicus. Il livello standard gira come programma nativo direttamente sul Mac; il modello linguistico, la biblioteca giuridica e i suoi dossier restano in locale. Per rispondere alle sue domande, a questo livello non serve alcuna connessione di rete. Inoltre, i dossier e i prodotti di lavoro sono archiviati cifrati (AES-GCM, chiave nel portachiavi macOS, legata al dispositivo), così che i contenuti non siano facilmente leggibili nemmeno in caso di smarrimento dell'apparecchio.
Cosa dovrebbe verificare prima di usare l'IA
Prima che uno studio introduca uno strumento di IA, conviene una breve e onesta lista di controllo:
- I dati del mandato lasciano il dispositivo — e se sì, verso dove, per quale scopo e per quanto tempo?
- Le immissioni sono usate per l'addestramento, o vale una solida garanzia di zero conservazione?
- Chi ha tecnicamente accesso, e sotto quale ordinamento giuridico si trova tale accesso?
- Per un'eventuale trasmissione è disponibile il consenso del cliente?
- Esiste un contratto di trattamento dei dati che rispecchia gli obblighi di protezione dei dati?
- Vengono trasmessi solo i dati necessari (minimizzazione dei dati), o l'intero dossier?
Causidicus è costruito in modo che il livello sul dispositivo non trasmetta affatto i dati del mandato. Laddove si usa un livello cloud, ciò avviene esplicitamente e si limita alla domanda e ai testi di legge pubblici; solo un'analisi estesa degli atti, da attivare separatamente, tratta contenuti di atti pseudonimizzati — e ciò unicamente con il consenso del cliente e un contratto di trattamento dei dati. Chi vuole comprendere il lato dei costi di questo uso graduale trova i modelli sotto Prezzi; il calcolatore dei termini deterministico resta indipendentemente da ciò sempre gratuito.
Basta il consenso del cliente — e cosa dire della pseudonimizzazione?
Un consenso esplicito del cliente può legittimare una trasmissione di dati del mandato, ma non è un lasciapassare. Deve essere informato: il cliente deve sapere quali dati vengono trasmessi a chi, dove e per quale scopo. Inoltre, il consenso non esonera dagli altri obblighi di protezione dei dati — minimizzazione dei dati, contratto di trattamento, misure tecniche adeguate restano in vigore. In costellazioni delicate, per esempio in caso di conflitti di interesse o di rapporti multiparte, un consenso valido può essere praticamente difficile da ottenere.
La pseudonimizzazione — la sostituzione dei nomi con sigle e la rimozione di identificatori come i numeri AVS, di riferimento e IBAN — riduce il rischio, ma non lo elimina. La pseudonimizzazione non è anonimizzazione: permane un rischio residuo di re-identificazione, proprio nei piccoli contesti, dove le persone si lasciano dedurre dal fatto. Per questo Causidicus non tratta gli atti pseudonimizzati come «innocui», ma vincola la loro elaborazione al consenso e a un contratto di trattamento dei dati. È la qualificazione onesta e deontologicamente pulita — e il motivo per cui il livello standard resta coerentemente locale.
Un esempio pratico
Poniamo che un'avvocata voglia chiarire con l'IA una questione giuridica complessa relativa a un mandato in corso. Nel livello sul dispositivo formula la questione giuridica astratta e si fa proporre le norme pertinenti con il riferimento alla fonte — senza che nomi o numeri di incarto lascino l'apparecchio. Se per una sottoquestione particolarmente impegnativa le serve più potenza del modello, attiva il livello cloud; vengono trasmessi solo la domanda astratta e il testo di legge pubblico, non l'atto. Solo quando vuole far analizzare il testo concreto dell'atto attiva, con il consenso del cliente e un contratto di trattamento dei dati, l'analisi estesa e pseudonimizzata degli atti. Così resta in ogni passaggio padrona del livello di protezione — e può in qualsiasi momento motivare perché il trattamento scelto è compatibile con il segreto professionale.
Il messaggio di fondo resta sobrio: non è la posizione del server a decidere della compatibilità con il segreto professionale, ma l'architettura — la questione se i dati vengano affatto trasmessi, e sotto quali garanzie. La parsimonia nei dati è la migliore protezione del segreto professionale che uno studio possa adottare sul piano tecnico.