supersqualo
Avvocati

Anonimizzare fascicoli prima dell'IA: il workflow vero

Prendi un fascicolo, lo butti in ChatGPT, ti scrive una memoria in dieci minuti. Bello. Peccato che hai appena spedito nome, cognome e CF del tuo cliente a un server in Texas. Ecco come anonimizzare per davvero.

Di Super Squalo·6 min lettura
Nota. L'intelligenza artificiale corre. Cerco di tenere il passo aggiornando le guide, ma fra l'oggi e fra sei mesi può cambiare parecchio. Se hai dubbi su qualcosa di specifico, scrivimi.

Sono le 23 e 40 di un martedì. Hai udienza dopodomani, ti manca la memoria su un licenziamento e sei cotto. Apri ChatGPT sul portatile di casa, copi e incolli tutto il fascicolo, premi invio. In dieci minuti hai la bozza. Bello, vero? Peccato che hai appena spedito a un server americano il nome, cognome, codice fiscale, indirizzo, patologia depressiva e situazione patrimoniale del tuo cliente. La legge sul segreto professionale non guarda l'orario.

Il punto non è che l'IA fa schifo. Il punto è che tu non hai un workflow. Butti dentro tutto perché hai fretta e ti racconti che "tanto i dati non li usano". Non è vero a metà.

Il pasticcio in cui finisci se non anonimizzi

Anche disattivando il training (su ChatGPT consumer di default è attivo, occhio), i dati transitano comunque, vengono loggati per giorni e processati fuori Europa. Per il GDPR e per il Consiglio Forense questo basta a metterti nei guai. Il Garante con OpenAI ha già fatto cassa: 15 milioni a dicembre 2024 proprio per come gestiva i dati personali, e Synlab nel 2024 ha pagato 2,5 milioni per dati sanitari finiti dove non dovevano. Non sono cifre da prendere a ridere.

E poi c'è la parte deontologica, che è quella che ti tira il calcio nel sedere all'ordine: il segreto professionale è tuo, non del fornitore di software. Se i dati del cliente escono dallo studio, è colpa tua.

Cosa NON puoi fare

Non puoi usare ChatGPT consumer su account Gmail personale per il lavoro. Mai. Stessa storia per Gemini personale e Copilot non aziendale.

Non puoi incollare PDF interi senza leggerli prima. Le scansioni con OCR si portano dietro testo nascosto: ricevute, intestazioni, firme che non ti aspetti.

Non puoi fidarti del trucco "anonimizzo dopo". Se mandi i dati veri e poi li sostituisci, il modello li ha già visti e il log è già partito.

Non puoi mettere i nomi delle parti nel system prompt o nel prompt iniziale: vengono registrati uguale.

Cosa invece si può fare bene

Il workflow che funziona alle 23 e 40, senza pensarci, è semplice.

Uno: trova-e-sostituisci sistematico in Word. Ctrl+H. Nome del cliente diventa [CLIENTE], controparte diventa [CONTROPARTE], date specifiche diventano [DATA1], importi precisi diventano [IMPORTO_X]. Tre minuti.

Due: codice fiscale, partita IVA, IBAN tutti via. Diventano [CF], [PIVA], [IBAN]. Sembrano stringhe innocue ma identificano direttamente la persona.

Tre: indirizzi, fino al comune. "Via Garibaldi 14, Cremona" diventa "indirizzo, città del nord Italia". Un comune piccolo identifica più di un nome.

Quattro: patologie e dati sensibili li parafrasi. "Sindrome bipolare diagnosticata 2019" diventa "patologia psichiatrica diagnosticata anni fa". L'IA capisce lo stesso, il cliente non è riconoscibile.

Cinque: numeri di ruolo, sentenze, solo l'anno. "RG 4521/2024 Trib. Milano" diventa "procedimento pendente in tribunale del nord, 2024".

Se sei pigro — e sei un avvocato, quindi sei pigro al punto giusto — c'è una scorciatoia. Uno script in Python di trenta righe con una libreria gratuita di riconoscimento entità in italiano ti riconosce automaticamente persone, luoghi, organizzazioni. Glielo dai in pasto al fascicolo, ti tira fuori la versione anonimizzata in dieci secondi. Tieni una mappatura cifrata in locale per riportare i nomi veri quando rimetti l'output dentro l'atto. Tempo a regime: venti secondi a documento.

I paletti che non si toccano

I dati del cliente non escono dal tuo studio in chiaro. Modello IA in casa o presso un fornitore italiano serio, server in Europa, file cifrati in transito e a riposo, audit log di chi ha lavorato cosa e quando. Mappatura nomi conservata cifrata, separata dal resto. Se gestisci cinquanta fascicoli al mese, l'anonimizzazione manuale diventa stupida: si fa una volta il setup e si usa mille.

Una nota personale

Io di mestiere monto sistemi IA privati per studi italiani. Non vendo corsi, non vendo formule magiche. Mi occupo di gente che ha clienti veri da proteggere e poca voglia di smanettare. Se ti capita di avere domande, sul gruppo Telegram di Super Squalo (t.me/Squalogruppo) si discute di queste cose ogni giorno, e si risponde gratis.

Stasera comincia col trova-e-sostituisci. È brutto, è lento, ma è in regola. Quando ti accorgi che ti porta via mezz'ora a fascicolo, è il momento di fare un passo serio.

Hai un dubbio? Vieni a parlarne.

Gruppo Telegram aperto. Domande, opinioni, casi vissuti. Senza venditori e senza spam. Per consulenza personale o caso aziendale, usa il pulsante consulenza.

Entra nel gruppo TelegramRichiedi consulenza