E se la regolamentazione non fosse un ostacolo alla trasformazione dell’IA—ma un vantaggio strategico? Galen incontra Lauren Wallace—ex Chief Legal Officer presso RadarFirst e veterana in ambito legale, prodotto e governance dell’IA—per analizzare come i settori regolamentati possono sfruttare le loro competenze di conformità per guidare responsabilmente nell’era dell’intelligenza artificiale.
Affrontano gli aspetti pratici della costruzione di strategie IA che pongano la privacy al primo posto, la definizione di chiari principi etici e la creazione di slancio interno tra team trasversali. Se stai affrontando una trasformazione digitale in un contesto ad alto rischio e alta conformità, questo episodio offre consigli concreti e intuizioni maturate sul campo, subito applicabili.
Cosa Imparerai
- Perché i settori regolamentati potrebbero già disporre dell’infrastruttura giusta per attuare bene la trasformazione IA, e come valorizzarla.
- I componenti fondamentali di una strategia IA che mette la privacy al centro–dai valori alla governance fino ai team trasversali.
- Come rendere operativi principi etici come trasparenza, responsabilità e mitigazione dei bias in progetti concreti, non solo su manifesti.
- Modi pratici per trovare allineamento interno, costruire un lessico condiviso tra i team e diffondere una cultura del “la responsabilità è di tutti” sul rischio dati e IA.
- Uno sguardo realistico sul futuro: regolamentazioni, contenziosi, aree grigie—e cosa è prioritario adesso invece di aspettare chiarezza assoluta.
Punti Chiave
- Pensa alla base della tua strategia sui dati: consideri le informazioni personali degli utenti come un bene da cui estrarre valore o come qualcosa di cui essere custode per loro? Cambiare questa mentalità ribalta le regole del gioco su come sviluppare IA responsabilmente.
- Non trattare la “conformità” come una semplice lista di spunte—si tratta di trasformare la governance esistente (privacy, sicurezza, tutela del consumatore) nel trampolino di lancio per l’IA. Se hai già i controlli, sfruttali.
- Coinvolgi tutto il team (prodotto, engineering, legale, marketing, customer success, sicurezza) nelle discussioni su IA fin dall’inizio. Non è solo un’iniziativa “tech”; è una conversazione aziendale su valore, rischio e fiducia.
- Quando valuti uno strumento o modello di IA: chiediti “Qual è il caso d’uso? Qual è il ROI? Chi è responsabile? Comprendiamo davvero questo modello? Possiamo giustificare questa decisione?” Se la risposta è no— potresti dover dire no.
- La cultura e la formazione contano. Sessioni regolari—“lunch and learn” sull’IA etica, racconti di casi, trasparenza fallita—costruiranno un linguaggio condiviso e una consapevolezza diffusa così che i team non restino isolati o debbano rincorrere.
- Il futuro non aspetterà che la legislazione sia perfetta. Devi agire in base ai tuoi valori ora. Definisci la tua soglia di rischio, dai il buon esempio dall’alto e preparati a eventuali cambiamenti regolatori o legali invece che subirli.
Capitoli
- 00:00 – La privacy come diritto umano
- 00:04 – La regolamentazione è un ostacolo o un vantaggio?
- 00:08 – La privacy-by-design come fondamento
- 00:13 – Modelli globali di proprietà dei dati
- 00:16 – Componenti di una strategia IA privacy-first
- 00:26 – Use case: interni vs rivolti al prodotto
- 00:30 – Costruire responsabilità a livello di team
- 00:34 – Collaborazione e cultura cross-funzionali
- 00:46 – Prospettive future: regolamentazione e rischio
- 00:48 – Conclusione e riflessioni finali
Conosci l’Ospite

Lauren Wallace è un’avvocata esperta in tecnologia e privacy, nonché dirigente d’impresa, che ricopre il ruolo di Consigliera Strategica e precedentemente quello di Chief Legal Officer presso RadarFirst, portando oltre 20 anni di esperienza all’incrocio tra tecnologia, diritto e business. Ha ricoperto posizioni di leadership in grandi aziende tecnologiche e startup innovative—inclusi ruoli di consulenza e legale interna per software enterprise globali, SaaS, e tematiche di governance sulla privacy. Certificata Information Privacy Professional (CIPP/US), Lauren è stata fondamentale nell’elaborare la strategia legale, regolatoria e commerciale di RadarFirst, e rimane attivamente coinvolta nella comunità imprenditoriale e non profit di Portland.
Risorse da questo episodio:
- Unisciti alla Community di Digital Project Manager
- Iscriviti alla newsletter per ricevere i nostri ultimi articoli e podcast
- Collegati con Lauren su LinkedIn
- Scopri RadarFirst
- NOYB – None of Your Business (l’organizzazione per i diritti alla privacy di Max Schrems)
- AI Incident Database
Articoli e podcast correlati:
Lauren Wallace: La privacy è un diritto umano fondamentale. È un’aspettativa di base che ci permette di vivere le nostre vite in modo autodeterminato. Negli Stati Uniti, storicamente, abbiamo trattato il valore di quelle informazioni personali come appartenente all’azienda che le raccoglie. Nell’UE, la privacy è un diritto umano fondamentale e il diritto di determinare l’uso delle proprie informazioni personali appartiene al soggetto dei dati—la persona.
Galen Low: La regolamentazione è la burocrazia che rallenterà i settori regolamentati nella loro trasformazione AI?
Lauren Wallace: Penso che le aziende fortemente regolamentate abbiano in realtà un vantaggio nel progettare e implementare programmi AI conformi. Sono già inserite nei quadri normativi esistenti. Circa un anno e mezzo fa, abbiamo lanciato una serie di lunch and learn mensili sull’etica dell’AI. Abbiamo parlato di trasparenza, di responsabilità. Questo è l’aspetto più divertente. A tutti piacciono gli aneddoti di guerra, giusto? Ho tirato fuori esempi, sorprendenti e attualissimi, di casi che hanno coinvolto questi principi di trasparenza o mitigazione dei bias.
Galen Low: Benvenuti al podcast del Digital Project Manager — il programma che aiuta i leader della delivery a lavorare in modo più intelligente, consegnare più in fretta e guidare meglio nell’era dell’AI. Sono Galen, e ogni settimana ci immergiamo in strategie reali, nuovi strumenti, framework provati e l’occasionale storia vissuta direttamente sul campo dei progetti. Che tu stia guidando progetti di trasformazione di massa, gestendo workflow AI o semplicemente cercando di tenere sotto controllo il caos, sei nel posto giusto. Iniziamo.
Oggi solleviamo il coperchio sulla trasformazione AI nei settori regolamentati e su come un approccio AI privacy-first possa davvero accelerare l’innovazione, favorire la collaborazione trasversale e spalancare la via verso un impatto duraturo. Oggi con me c’è Lauren Wallace, consulente strategica ed ex Chief Legal Officer di RadarFirst.
Lauren ha un'esperienza ampia che spazia dallo sviluppo legale al business e ruoli esecutivi in marchi come Apple, Microsoft, Nike, oltre a startup sostenute da venture capital e private equity. È nota per i suoi consigli pratici e accessibili a team legali, di prodotto, marketing e sviluppo sull’uso responsabile dell’AI. E quando si tratta di navigare la compliance negli ambienti regolamentati, è un vero ciclone.
Lauren, grazie mille per essere qui oggi con me!
Lauren Wallace: Grazie dell’invito. Sono entusiasta di essere qui.
Galen Low: Anche io sono entusiasta. Stavamo già discutendo nella green room. Vorrei aver registrato quel momento. Davvero, sono molto carico.
Abbiamo una buona sintonia. Su alcune cose vediamo le cose allo stesso modo, su altre no. Sono particolarmente interessato al tuo background perché hai questo mix fra la cultura startup dal ritmo frenetico e la velocità, forse minore, delle industrie più regolamentate, come ad esempio i servizi finanziari. Penso che oggi potremmo spaziare, ma ecco la mappa che ho disegnato per noi.
Per iniziare, volevo togliere subito di mezzo una delle grandi domande che bruciano, la domanda paradossale che tutti vogliono sapere. Poi però vorrei allargare lo sguardo su tre aspetti. Primo: che aspetto ha, a livello di componenti, una strategia AI privacy-first e cosa devono mettere in piedi dirigenti e aziende nei settori regolamentati per realizzarla, e quali sono i benefici.
Poi vorrei vedere esempi pratici di come si applica realmente il principio della privacy by design e come i leader di reparto che realizzano la visione AI della loro azienda possono evitare problemi fastidiosi in futuro. Infine, vorrei riflettere su come sarà lo scenario competitivo dopo cinque anni, quando organizzazioni di diverse dimensioni avranno acquisito slancio sulle strategie AI. Una domanda corposa, insomma. Come ti sembra?
Lauren Wallace: Beh, tranne la prospettiva a cinque anni, Galen. Penso possiamo trattare molti temi.
Galen Low: Va bene. Insomma, possiamo usare la sfera di cristallo e vedere, sì, tre, cinque, dieci anni. Vediamo.
Partirei con quella che chiamo la domanda spinosa, ma prima la introduco. Quando pensiamo a settori altamente regolamentati come servizi finanziari, sanità, energia o telecomunicazioni, la maggior parte di noi pensa alle limitazioni che obbligano le organizzazioni ad agire lentamente.
Segue poi l’idea che nei settori regolamentati la trasformazione AI procederà lentamente, lasciando queste realtà al Medioevo mentre il resto del mondo accelera sulle strategie AI. La mia domanda spinosa è: la regolamentazione è la burocrazia che ostacolerà la trasformazione AI delle industrie regolamentate?
O è il fondamento che potrebbe invece portare benefici a tutti o qualcos’altro?
Lauren Wallace: Dico qualcos’altro. O meglio, parto da una via di mezzo rispetto alle opzioni che hai descritto. La mia posizione sta in mezzo: penso che le aziende fortemente regolamentate abbiano in realtà un vantaggio nel progettare e implementare programmi AI conformi.
Perché i principi che sottendono la governance AI—come trasparenza, responsabilità, monitoraggio e prevenzione dei bias—sono elementi essenziali di un programma di governance AI. Sono già inclusi nei quadri normativi esistenti. E questo è un ambito più ampio di quanto si pensi.
Perché include, ad esempio, il GDPR, che chiunque lavori in qualunque settore conosce bene. Ma se lavori nel settore bancario, devi rispettare le leggi sulle pari opportunità di credito. Se assumi personale, devi rispettare le leggi sulle pari opportunità lavorative. Ci sono molte altre norme sui diritti civili e sulla protezione dei consumatori che possono prevedere divieti o restrizioni sull’uso del decision making algoritmico.
Queste regole, come quelle sulla gestione dei modelli che le banche usano da anni, sono in vigore da sempre. Si chiama decisione algoritmica, che si traduce facilmente in ciò che stiamo vedendo oggi con tutti questi strumenti AI. Quindi queste grandi istituzioni regolamentate, in alcuni dei settori che hai citato, hanno già programmi di compliance robusti su questi quadri.
E hanno risorse dedicate alla governance di questi quadri, controlli e strumenti per garantire la conformità. Non dico che sia semplice aggiungere la governance AI, ma almeno non si parte da zero quando si vuole aggiungere la compliance AI.
Ho lavorato con molte di queste grandi realtà regolamentate sui loro programmi di compliance AI e ho visto di tutto. Alcune partono da zero o hanno un’allergia istituzionale verso l’AI da superare. Ma molte sono davvero sofisticate.
Hanno questi programmi e cercano solo di espanderli: come portare dentro le nuove competenze, le figure che servono, come coinvolgere tutta la comunità aziendale in modo che partecipi alla compliance AI su più larga scala. Sono anche, come so bene, soggette a una complessa rete di notifiche di incidenti di sicurezza.
La mia comunità, il mio radar, so che usate RadarFirst per questo. Quel prodotto, che adoro, contiene circa 500 regole globali sulla privacy e sulle notifiche di incidenti di sicurezza contro cui testare i tuoi incidenti. La gente deve rendersi conto che non importa da dove nasce l’incidente, che sia un fax inviato erroneamente o un’AI che usa informazioni personali.
Un incidente è un incidente. Se sono coinvolte informazioni personali, soggiaci a queste regole di notifica immediata. Quindi, devi saperlo e non credere di poter mettere da parte gli incidenti causati dall’AI. E sicuramente non puoi dare la colpa all’AI. Abbiamo visto che questo non funziona affatto.
Serve un processo per gestire gli incidenti, ma ora va potenziato. Non si parte da zero. Quindi, la risposta lunga alla tua domanda è che la vera sfida è per le aziende di medie dimensioni. Potrebbero dover affrontare questioni normative per la prima volta quando implementano l’AI nei propri processi—da dove iniziare?
Magari non hanno mai avuto strumenti per analizzare dati su larga scala. Ora questi nuovi prodotti AI, relativamente economici e accessibili, glielo permettono. Ma così usano le informazioni in modi nuovi, esponendo i dati a un insieme di nuovi rischi.
Per chi parte la governance da zero, dico: il lavoro è tanto. Questa è la mia risposta lunga alla domanda breve.
Galen Low: Stavo aspettando la parte positiva! "Hai tanto lavoro da fare, ma..."
Lauren Wallace: Allora andiamo al punto positivo. Perché puoi sempre partire dai principi base della privacy by design e poi estenderli alla protezione non solo delle informazioni personali ma anche dei dati aziendali proprietari.
Perché ci sono molti nuovi rischi mettendo, ad esempio, informazioni aziendali su ChatGPT o simili. Devi valutare e rafforzare la tua postura di sicurezza. L’AI apre una nuova, enorme superficie d’attacco, quindi devi assicurarti che la sicurezza sia al top. Ma soprattutto—e spero parleremo a lungo di questo oggi—serve avviare internamente la conversazione per capire davvero cosa vuoi fare con l’AI, cosa pensi sia possibile fare e qual è il reale ROI che vuoi ottenere, mentre avviamo questa conversazione nelle nostre comunità.
Io preferisco dividere in due vettori: uno è l’uso interno dell’AI per la produttività, per sostituire strumenti esistenti, per potenziare funzionalità, e l’altro è l’uso nello sviluppo di prodotto.
Galen Low: Mm-hmm.
Lauren Wallace: E ci sono considerazioni molto diverse per ognuno di questi casi.
Galen Low: Voglio entrare in questo. Sono contento che tu abbia menzionato il "muscolo" e il GDPR, perché vengo dal mondo digitale, dove ci siamo trovati a inseguire la regolamentazione, prima con il GDPR e poi con l’accessibilità, l’ADA Act, e andavamo in panico perché non avevamo un processo su queste cose, né conversazioni sulle sanzioni, sulla segnalazione degli incidenti, sulla visibilità dei dati... Non era ancora nella nostra cultura.
Qualcuno ne è uscito vincente, soprattutto dal lato accessibilità, perché è diventata una necessità impellente. Le agenzie che hanno aiutato i clienti con soluzioni web accessibili hanno avuto un vantaggio, ma c’è stata molta confusione perché agivamo con l’approccio opposto: proviamo tutto, muoviamoci in fretta, chi se ne importa, questa è tecnologia digitale, non abbiamo tutte queste regole. Poi, la doccia fredda.
Lauren Wallace: Indovina? Regole. Sì, tantissime regole, tutte pensate per principi affini,
Ma che si applicano in modi diversi. Prendi GDPR e CCPA, la legge della California poi rafforzata dal CPRA: partono dallo stesso intento, ma hanno implementazioni molto diverse. Quindi, come project manager digitale, come assicurarsi… molti miei clienti tentano di trovare il livello massimo, la cosiddetta “high watermark”.
Cercano ciò che è coerente tra gli ambienti normativi in cui operano, trattando tutti come se fossero soggetti a un approccio di massimo livello. Cercare di fare il minimo in ogni caso può sembrare efficace per evitare esposizione normativa, ma alla lunga costa molto di più in implementazione e anche come fatica mentale se vuoi davvero innovare.
Quindi: scegli la strada migliore possibile e seguila. Hai nominato l’accessibilità—tema a me molto caro e su cui sto lavorando con altri gruppi. Vorrei tornare e parlare con te anche di accessibilità in AI, perché stiamo dando per scontato che le linee guida come le WCAG, o il semplice “spuntare la casella” sui requisiti di sito web, siano adeguate, ma l’impatto cognitivo dei prodotti AI richiede un altro livello.
Sia nelle interazioni dirette (tipo copilot per il consumatore), sia nel mondo fisico. Persone con disabilità hanno tratto vantaggio da cose come Alexa e HomeKit per rendere le loro vite più facili,
Ma queste tecnologie sono moderati dall’AI in background, per cui spesso le scelte implicite vengono prese da altri. Potere immenso, ma ci meritiamo molto di più. Quindi sono entusiasta all’idea di un’altra conversazione sull’accessibilità in AI.
Galen Low: Vorrei anche io, si parla spesso di equità e accesso equo, e hai ragione sulla logica del “livello massimo”: anche io ho lavorato a progetti di accessibilità web sulle WCAG, spesso come un mero esercizio formale e sempre sotto scadenza, camminando sul filo del minimo indispensabile. Ma questo actually aumenta il rischio, perché sembra che ingegnerizzare tutto al massimo livello normativo sia un overkill—mentre ho visto che il minimo alla lunga costa di più, richiede correzioni successive ecc.
Lauren Wallace: Esatto. Non vuoi dover lavorare a “punti” in seguito.
Inoltre, scegliere il livello massimo dal punto di vista normativo incoraggia un approccio etico al lavoro. Anche dove la normativa non c’è, puoi dire: “questo è comunque il modo migliore per farlo” perché vuoi essere un buon cittadino aziendale e poter raccontare ai tuoi figli di non aver fatto cose pessime nella tua carriera. Inoltre non sai da dove potrebbero arrivare le sfide: forse non da un’autorità statale, ma da una class action o da concorrenti. Quindi, dimostrare di aver rispettato solo il requisito minimo di notifica non basta.
Devi mostrare che, come organizzazione, agisci secondo linee guida etiche interne. E credo che uno degli argomenti di oggi sia proprio ottenere consenso su queste linee guida: come project manager, questo è il tuo pane quotidiano—mettere tutti d’accordo. Ma quali strumenti, quali parole usare…?
Galen Low: Amo questo discorso. Possiamo approfondire? Ho visto la tua presentazione su una strategia AI privacy-first. Il discorso dell’etica e della comunicazione trasversale risuona molto. Potresti scomporre per i nostri ascoltatori i componenti chiave di un approccio privacy-first alla trasformazione AI? Anche i benefici, magari, e se vuoi allargare il discorso anche oltre la privacy, perché fa comunque parte del tessuto etico.
Lauren Wallace: Zoomando, per me la privacy è un diritto umano fondamentale. C’è un’aspettativa di base che consente una vita autodeterminata.
Gli stati e le organizzazioni dovrebbero intervenire con grande cautela. Il mio punto controverso è guardare il panorama globale: nell’UE la privacy è davvero presa come diritto fondamentale, ben definito dal GDPR e anche dall’AI Act europeo, che si appoggia sul GDPR per dire: partiamo dalla privacy e poi allarghiamoci.
Questo è il DNA dell’UE: privacy come diritto umano fondamentale, il diritto di disporre delle informazioni personali spetta al soggetto dei dati. Negli USA invece il valore delle informazioni personali viene storicamente visto come appartenente all’azienda che le raccoglie e usa, perché ne trae valore, dunque il valore è suo.
Meno controverso, ma ci sono anche ordinamenti dove il valore dei dati personali e il loro contenuto specifico sono considerati proprietà dello Stato, che li usa nell’interesse della persona coinvolta.
Tre teorie di base molto diverse su chi possiede e deve beneficiare dei dati personali. Quindi, quando guardi alle linee guida etiche aziendali, domandati: dove ci collochiamo? Si parte da lì, non da un elenco di principi come equità, responsabilità, mitigazione dei bias.
Sono ottimi per creare un modello condiviso da colmare come azienda, ma, nel profondo: l’organizzazione ritiene di dover estrarre valore dai dati personali? O di servire i clienti mettendo sempre al centro l’interesse del soggetto dei dati? Negli USA puoi scegliere, io voglio aiutare chi serve gli interessi del soggetto dei dati.
Galen Low: Hai citato il modello europeo come benchmark per la privacy individuale.
Visto dalla mia esperienza nordamericana, ho accettato l’idea che i miei dati siano una sorta di valuta di scambio. Se hai detto, “dato che estraggono valore, quei dati sono loro”, ho pensato, certo! E se non pago soldi, allora va bene. Così il consumatore lascia che le aziende gestiscano i dati in modo libero, e spesso restituisce valore superiore a quello del denaro, almeno per l’azienda.
Però con il GDPR è rimasta impressa la questione del controllo e della titolarità dell’utente, ma poi mi sono chiesto: chi ha tempo? Solo l’idea di eliminare le foto dal telefono è impegnativa, figurarsi chiedere la cancellazione dati a tutti i servizi dove sono finiti. Alcuni lo fanno, ma non io. In fondo siamo noi a permettere che i nostri dati vengano usati.
Lauren Wallace: Kudos a realtà come NOYB (None Of Your Business), l’organizzazione di Max Schrems: possono esercitare il diritto su larga scala. Per gli individui è quasi impossibile. Ora, molte normative—e qui l’AI cambia le cose rispetto alla privacy—stabiliscono l’obbligo di informare e poi ottenere il consenso, che deve essere informato. Nel mondo privacy il consenso è troppo spesso implicito.
Quando clicchi su quei banner cookie o compili un modulo, devi ricordarti la massima: "se il prodotto è gratis, allora il prodotto sei tu".
Galen Low: Sì.
Lauren Wallace: Ma è facile lasciarsi sedurre dalla funzionalità promessa.
E pensare: beh, sono solo io, quanto può valere? Ma nell’aggregato, arricchite e rivendute, queste informazioni assumono molto valore. L’AI permette questa "enrichment" e inferenze su dati arricchiti. Quel dato fornito a un venditore in un’occasione isolata può valere poco, ma aggregato e rivenduto a terzi ha valore dossier molto più alto.
Come può il soggetto dei dati opporsi paese per paese? Non può. Quindi rispetto a chi intende essere etico, dico: consapevolezza profonda di quali dati si posseggono, dove li si è ottenuti, se si ha consenso per usarli per determinati scopi, e se un loro uso esteso sia compatibile con il consenso originale. L’informazione andava comunicata in fase di raccolta? Meglio non doverci tornare poi, specie nei set di dati legacy o dopo un’acquisizione di società solo per il loro database.
Per esempio, una grande banca ha acquistato una startup che offriva servizi per studenti in cerca di aiuti finanziari e sosteneva di avere 4 milioni di nominativi. La banca vedeva questi dati come chiave per acquisire nuovi clienti, considerando le spese di acquisizione solitamente superiori ai 100 dollari per nuovo cliente. Ha pagato 175 milioni di dollari (circa 40-45 dollari a nominativo). Poi si scopre che quei 4 milioni di nomi erano inventati dall’AI: valore della società, nullo.
Questo fa riflettere: spesso non paghi per il prodotto ma sono i tuoi dati ad avere valore, a volte anche molto, come ha calcolato la banca. Se vedi il valore di vita di un dato, non lo sottovaluteresti più.
Galen Low: C’è molta materia: spesso si pensa all’AI come un tool, una skill—ma quello che hai raccontato è il vero "black box": cosa succede ai dati dopo il click? Dove vanno, chi li aggrega, chi li riprende?... Serve capire non solo il modello di partenza (valore dati all’azienda, all’individuo o allo Stato) ma anche come i dati viaggiano, le responsabilità etiche, e come gestirle.
Lauren Wallace: È una domanda enorme, ce ne sono tantissime da cittadini, genitori, consumatori, aziende… L’oceano da bollire è gigantesco e io ho solo un accendino! Allora punto sul caso d’uso: che cosa vuoi ottenere con quella applicazione e quel dataset? Che ROI cerchi: risparmi, nuovi clienti, altro? Procedi per livelli, non solo ai massimi sistemi. Parliamo spesso di "tone at the top", ossia di come i vertici trasmettono valori. Ma a livello di progetto devi ancora scomporre e chiederti: cosa voglio fare davvero? Che ROI? E come i principi etici aziendali o normativi si calano nel contesto di quel progetto?
E se non so la risposta perché il black box è davvero opaco, è sicuro procedere? Spesso rispondo di no, anche come Chief Legal Officer: abbiamo esaminato centinaia di vendor e in molti casi abbiamo detto NO, per mancanza di trasparenza, informazioni poco disponibili, modelli non dichiarati, trust center assenti. Quindi va bene dire di no: se, nell’analisi chiara del prodotto e dei suoi effetti, mancano risposte, serve valutare la responsabilità (accountability). Non si può dare la colpa a un fornitore su cui non hai vigilato (ignorance is no defense under the law). Ma chi è davvero responsabile? Il board, la leadership o il team? Serve sviluppare responsabilità reciproca tra i team, coinvolgendo davvero tutta la comunità, dalla progettazione al marketing, legal, clienti… Così ci si rende conto se gli script sono pronti, se i reparti sono allineati, se i contratti clienti pongono limitazioni (magari nascoste): solo così la responsabilità si crea davvero.
Galen Low: Mi fa piacere che tu sia andata in questa direzione: la privacy è tanto forte quanto l’anello più debole del team. Basta uno che, per fretta, scarichi il dataset sull’LLM pubblico o aggiri le regole e il valore complessivo crolla. La cultura della responsabilità condivisa è decisiva.
Lauren Wallace: È il valore della privacy come principio guida: è personale. Prova a fare un sondaggio in ufficio: quanti sono stati vittime di violazione dati? Riceviamo lettere spesso per crediti rubati—se in prima persona subisci un abuso di dati, è un vero incubo. Avere cura reciproca, far leva sulla privacy personale fa la differenza. Hai figli? Vorresti che i loro dati fossero accessibili a chiunque? Valutiamo anche la durata del valore di un dato, che può emergere anni dopo.
Galen Low: Possiamo fare una "vertical slice" da prospettiva progetto/prodotto? Sotto la “tone at the top” ci sono formazione, empatia, presenza delle diverse funzioni—ma c’è chi pensa: non possiamo portare tutti sempre al tavolo, costa troppo! E se qualcuno nel team viola una regola?: come si ripara?
Lauren Wallace: Posso vederla in modo diverso: ci sono gli usi intenzionali e quelli involontari, spesso dovuti a disattenzione. Molti tool hanno configurazioni per proteggere dati personali e riservati. Parti da qui: elimina i rischi involontari. Poi analizzi il restante rischio da negligenza o dolo.
Galen Low: Ecco, giusto.
Lauren Wallace: Perché quando hai deadline pressanti è facile sgarrare.
Galen Low: "Non farlo e basta". Hai ragione. Anche io mi sono reso conto che dire di no non è facile, soprattutto quando non è “il tuo compito". Mia moglie lavora nelle assicurazioni dove il rischio è gestito seriamente e si rifiuta business se il rischio è troppo alto. In altri settori si pensa solo a cogliere le opportunità senza adeguata due diligence, ma il rischio può ritorcersi contro.
Lauren Wallace: Non ci si trova gusto a dire no: bisogna usare il lessico giusto e strumenti come la matrice del rischio (probabilità vs gravità) per discuterne insieme e decidere come azienda dov’è la soglia. Board, investitori e regolatori ti chiedono di stare nella linea concordata. Se poi si supera il limite per ignoranza, non ci sono scuse legali. Quindi sì, tone at the top, valori condivisi, l’investimento personale sulla privacy… è lì che bisogna arrivare.
Galen Low: È bello sentirlo: credevo sarebbe uscita una soluzione “enterprise” troppo irraggiungibile per un piccolo team, ma invece basta tone at the top, educazione, lessico condiviso, cultura e—importante—dialogo trasversale. Oggi serve davvero portare le funzioni diverse al tavolo: con l’AI il rischio è nuovo, non noto, serve costruire cultura prima ancora che prodotti.
Lauren Wallace: E nessuna organizzazione non si sta interrogando oggi su una trasformazione AI. Non puoi ignorare che molte persone siano a disagio: l’AI è in ogni oggetto del quotidiano e non puoi davvero capirne i meccanismi. Chiedere loro di abbracciare l’AI senza preparazione rischia di far fallire l’iniziativa. Voglio portare un esempio da RadarFirst: abbiamo lanciato lunch and learn mensili sull’AI etica. Tutti invitati, sessioni semplici, ogni volta un tema (agency e oversight, trasparenza, responsabilità). Mi basavo sulle EU AI guidelines ante-Act, spiegando da dove derivavano, i principi base dei diritti umani, costruendo lessico condiviso.
Esempi concreti tratti dall’AI Incident Database (cercatelo online!), per capire cosa è andato storto e cosa si poteva fare. Forum libero dopo la lezione: le persone sono uscite magari senza cambiare idea, ma con una cornice analitica e un lessico per comunicare dubbi: con il team, legale, compliance, prodotto. Raccomando questa formula a tutti: è divertente e rafforza la dimensione valoriale e umana dell’AI.
Galen Low: Chi dovrebbe guidare queste sessioni se non c’è una Lauren Wallace?
Lauren Wallace: Chi non ha una Lauren Wallace… Bella domanda! Dipende: prodotto, G&A, chi gestisce il budget AI… Serve uno sponsor esecutivo, ma può essere anche un incarico a rotazione, mese per mese, così cambiano i punti di vista.
Galen Low: Amo la parola “comunità” che hai usato: non una community of practice classica ma una rete che condivide conoscenze, lessico e confronti su nuove sfide e scelte. Oggi è davvero un gioco trasversale, multi-funzione. Prima molte aziende non avevano neppure in mente una trasformazione AI; ora è la normalità.
Lauren Wallace: E tutto è arrivato molto in fretta.
Galen Low: Davvero. E, come hai detto tu, le aziende regolamentate avevano già il "muscolo" per dialogare su rischio e compliance.
Lauren Wallace: Esatto, hanno già preso decisioni sulla soglia di rischio.
Il consenso di istituzione e la possibilità di dire no dove il rischio non è integrato nel DNA aziendale è una sfida considerevole all’avvio. Perciò, anche coinvolgendo un consulente per strutturare la conversazione, la partecipazione dev’essere ampia perché altrimenti si rischia di parlare senza arrivare a decisioni.
Galen Low: Concordo.
Lauren Wallace: I veri esperti sono le persone dell’azienda: loro danno gli input migliori per la cornice delle decisioni.
Galen Low: Per chiudere vorrei parlare un po’ del futuro. Non faremo troppa futurologia.
Abbiamo menzionato il GDPR e il tema della lentezza normativa rispetto agli usi nuovi come i social. Le aziende dei settori regolamentati hanno un vantaggio, ma la legislazione non è al passo con l’AI. Quindi: ci aspettano anni di aree grigie—faremo scelte e la normativa arriverà dopo a cambiare le carte, o è il contrario: la pratica aziendale influenzerà la regolazione?
Lauren Wallace: Domanda bellissima.
Galen Low: Solo una cosetta finale.
Lauren Wallace: Eh, domanda da scoppio mentale!
Pensiamo al diritto: serve a cristallizzare principi etici condivisi, così che tutti sappiano dove orientarsi anche se non sono d’accordo. Il contenzioso serve a coprire gli spazi nuovi dove non c’è ancora norma. Quindi vedere la giurisprudenza è utile per capire come si va formando la risposta normativa (vedi class action sulle grandi “foundation models” AI—esiti diversi, processo evolutivo). Poi questi esiti rientrano nel legislatore ma i tempi sono lunghi. Vale la pena ricordare: "La giustizia macina lentamente ma bene". Così si arriva a testi di legge lunghissimi che cercano di prevedere ogni possibilità e ridurre i casi nuovi: da qui i tempi enormi, e francamente non voglio che i legislatori corrano troppo. In Colorado sono andati di fretta con una normativa, poi l’hanno dovuta ritirare per difficoltà applicative: aziende avevano avviato processi di adeguamento in anticipo, poi tutto in stand-by. Quindi se vuoi seguire regola per regola rischi di impazzire. Ma se hai un tone at the top, sai cosa vuol dire etica aziendale, hai chiaro dove sta il livello di rischio accettato, allora puoi mettere il rischio legale in un angolo e dire: se capiterà, lo affronteremo. Ma oggi agiamo su ciò che sappiamo essere giusto e che i nostri clienti si aspettano da noi.
Galen Low: Risposta stupenda, davvero. Grazie infinite. Adesso, domanda bonus: hai una domanda per me?
Lauren Wallace: Certo, Galen. Conversazione interessantissima, abbiamo parlato di questioni complesse. Voglio chiederti come stai! Quando hai fatto l’ultima vacanza? Dove sei andato?
Galen Low: Un anno fa, in Messico, con tutta la famiglia di mia moglie—sua sorella, nostro figlio (il cane è rimasto a casa). Bello, rilassante, clima perfetto, ricarica totale e riflessione sulla famiglia, sulle cose essenziali. La vita va veloce e spesso non scegli le direzioni della salute, del lavoro… Insomma, siamo in ritardo anche con le vacanze! Con tutte le conversazioni sulla trasformazione AI, aggiungiamo argomenti su argomenti in un mondo già rapido. È davvero difficile trovare tempo ed equilibrio.
Lauren Wallace: Il nostro carico cognitivo è ormai inimmaginabile, a volte non puoi fare altro che come hai fatto tu: portare le persone care da qualche parte di caldo e apprezzare il momento. Bravissimo.
Galen Low: Anche se solo temporaneamente!
Lauren Wallace: Esatto.
Galen Low: Grazie mille Lauren per essere stata qui con me oggi. È stata una conversazione preziosa. Per chi l’ha apprezzata, dove ti si può trovare?
Lauren Wallace: Scrivetemi su LinkedIn e partiamo da lì.
Galen Low: Perfetto. Metteremo il link al profilo di Lauren nelle note dell’episodio, insieme alle leggi citate e NOYB. Dateci un’occhiata!
Lauren Wallace: Grazie, Galen.
Galen Low: È tutto per questo episodio del Podcast del Digital Project Manager. Se ti è piaciuto, iscriviti dove preferisci ascoltare i podcast. E per altre insights pratiche, casi studio e playbook, visita thedigitalprojectmanager.com.
Alla prossima, grazie dell’ascolto.
