RPA e GDPR: una convivenza possibile?

Articolo header

In questo breve articolo, ci occuperemo di dare una panoramica sulla gamma delle principali implicazioni ed interessenze tra Robotic Process Automation (RPA), Intelligenza Artificiale e GDPR.

Indice

  • Robotic Process Automation & IA a confronto
  • Le opportunità di RPA & AI
  • Definizioni
  • Basi giuridiche e approccio normativo
  • Conclusioni

Robotic Process Automation & IA a confronto

Robotic Process Automation è l’automazione robotica dei processi: per essa si intende il complesso di sistemi computazionali, programmi, Intelligenza Artificiale e algoritmi, che possono governare un determinato processo (attività), rendendolo automatico secondo i parametri immessi dal programmatore. Un esempio di RPA on-line è la valutazione di conformità di testi o registri con una data normativa (ad es. fiscale).

L'Intelligenza Artificiale: inizialmente nata come una disciplina dell'informatica (Computer Science) che studia teoria, metodi, tecniche ed applicazioni che consentono la progettazione di sistemi e programmi capaci di risolvere problemi e fenomeni complessi, si fa qui riferimento alla capacità dei dispositivi artificiali di eseguire funzioni cognitive o ritenute «intelligenti», generalmente associate alla mente umana.

Il GDPR è il complesso di normative europee in tema Protezione dei Dati Personali, le relative Linee Guida ed Opinioni che le informano e le normative nazionali di recepimento e integrazione, comprensive delle determinazioni e provvedimenti delle Autorità di Protezione dei Dati Personali (il cd. Garante della Privacy).

Partiamo da una tecnologia che reputiamo interessante e di grande attualità, cioè la Robotic Process Automation (in breve RPA), l’automazione dei processi nelle aziende di qualsiasi tipologia essa sia.

Questa tecnologia, ccosì come le soluzioni IoT o AI, si basa sull'utilizzo e l'analisi di Big Data e ne genera di nuovi, personali o meno (oltre ai metadati), ritenuti ormai asset strategici per imprese, aziende ed operatori economici di tutti i settori.

Tutte le tecnologie basate sull'elaborazione di dati vengono percepite da alcuni come un'opportunità di crescita operativa, da altri come una minaccia. In realtà come ogni tecnologia, la RPA, se usata correttamente, diventa uno strumento di lavoro molto potente in grado di garantire eccezionali aumenti di performance, pur celando il rischio di non rispettare a tutto tondo sia le norme sul trattamento dei dati che quelle sulla sicurezza informatica.

Le opportunità di RPA & AI

La Robotic Process Automation (RPA) e l’intelligenza artificiale (Artificial Intelligence, AI) possono costituire un'occasione unica per lo sviluppo di nuove attività ed opportunità di business ed abilitano/accelerano l’innovazione e la trasformazione digitale di imprese ed enti, ma vanno implementate con le dovute cautele.

Lo scopo di questa nota introduttiva è infatti quello di evidenziare come, in questo ambito, le criticità recondite siano, in realtà, sotto gli occhi di tutti, ed abbiano solo bisogno di una corretta metodologia di base.

Definizioni

Di seguito daremo evidenza di alcune definizioni in entrambi gli ambiti, RPA e regolamento Privacy GDPR:

  1. RPA: la Robotic Process Automation consiste nell’automazione dei processi lavorativi attraverso l’utilizzo di software "intelligenti" (i cosiddetti software robot o bot) che eseguono in modo automatico le attività ripetitive degli operatori, imitandone il comportamento ed interagendo con gli applicativi informatici nello stesso modo dell'operatore stesso.
  2. AI: l’Intelligenza Artificiale (o Artificial Intelligence) è la capacità dei dispositivi artificiali di eseguire funzioni cognitive o ritenute «intelligenti», generalmente associate alla mente umana.
  3. GDPR: il regolamento generale sulla protezione dei dati (in inglese General Data Protection Regulation), ufficialmente regolamento (UE) n. 2016/679, è il regolamento dell'Unione Europea relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, adottato il 27 aprile 2016, applicabile a partire dal 25 maggio 2018.

Basi giuridiche e approccio normativo

L'implementazione di soluzioni e strumenti di RPA e AI comporta necessariamente la valutazione di tematiche legali di non sempre facile soluzione che attengono alla materia lavoristica – in relazione ai ben noti divieti controllo a distanza dei lavoratori sanciti dall’art. 4 dello Statuto dei lavoratori – alla materia della riservatezza e protezione dei dati personali – con riferimento al GDPR ed al D. lgs. 196/2003, come modificato dal D. lgs. 101/2018 – ed alla materia antitrust – in relazione al tema dell’uso secondario dei big data.

Con particolare riferimento alla tutela della privacy, si imporrà principalmente il rispetto dei principi (art. 5) e degli obblighi di trasparenza (art. 13 e 14) e di individuazione di una valida base giuridica del trattamento (art. 6 e 9) dettati dal GDPR, oltre che di tutta una serie di altri obblighi imposti dalla normativa, tra cui ad esempio valutazioni di impatto preventive ex art 35 e 36 del GDPR medesimo.

Conclusioni

Come si avrà modo di spiegare in successivi interventi, tali normative non costituiscono, né devono costituire, un impedimento assoluto all'utilizzo di soluzioni RPA ed AI – ipotesi d'altronde impossibile essendo ormai il fenomeno in costante e ineluttabile evoluzione – quanto piuttosto uno stimolo per garantire il contemperamento degli interessi in gioco, in particolare la crescita economica e tecnologica ed il rispetto dei diritti fondamentali dell’individuo.

In questo senso, può essere utile aggiungere che il GDPR contiene moltissime innovazioni, rispetto alle precedenti discipline normative. Si denota infatti una maggiore consapevolezza e attenzione agli effetti che possono avere sui trattamenti di dati personali le nuove tecnologie e, specificamente, la robotica e i sistemi IoT, che contemplano, tra l’altro, la capacità delle macchine di apprendere ed elaborare forme di conoscenza che utilizzano, oltre ai dati immessi dai programmatori, anche quelli raccolti autonomamente dal contesto in cui essi sono inseriti ed operano. 

Nei prossimi approfondimenti:

  1. Faremo qualche esempio pratico di RPA
  2. Evidenzieremo alcune importanti differenze tra RPA ed AI
  3. Forniremo qualche suggerimento operativo sulle possibili interazioni tra RPA e Data Protection
Altre news