Il 16 ottobre in programma il corso online "Il ruolo operativo del DPO tra AI e GDPR"
Uno degli errori più comuni, nel quale si rischia di cadere - spesso in perfetta buona fede - è quello di affrontare la protezione dei dati personali partendo dal rispetto di una sola normativa (della quale in genere si sente di essere abbastanza padroni) e considerare tutte le altre quasi come una sorta di “rumore di fondo”, semplici realtà ancillari rispetto alle norme che meglio padroneggiamo (o che pensiamo di padroneggiare meglio).
In realtà, pur essendo consapevoli del rango delle varie fonti (difficile non considerare quale norma preminente il GDPR) bisogna sempre sforzarsi di avere verso le fonti un approccio onnicomprensivo e rendersi conto che il mutato contesto tecnologico mira ora a rendere centrali aspetti che, solo qualche anno fa, saremmo stati tentati di considerare meramente tecnici, relegandoli nella ristretta cerchia degli addetti ai lavori.
La compliance al framework normativo della protezione dei dati, in altri termini, non è e non deve essere improntata ad una “monade normativa”, alla quale tendiamo ad uniformare “tutto il resto” ; al contrario, se si dovesse ricercare l’aggettivo più calzante, probabilmente si dovrebbe dire che siamo chiamati a realizzare una sorta di compliance sinfonica, rivolta ad evitare il più possibile le contraddizioni (più o meno reali) nelle quali ci si imbatte ed a declinare le stesse in un contesto il più possibile globale.
I casi concreti non mancano: negli ultimi anni molte norme si sono affastellate e gli adempimenti, anche operativi, si sono moltiplicati e spesso sovrapposti, rendendo il difficile l’approccio sopra descritto non solo auspicabile, ma doveroso.
Si prenda ad esempio l’AI Act e l’enorme sforzo sotteso alla volontà di realizzare a livello europeo un quadro giuridico omogeneo sull’intelligenza artificiale.
È vero, la norma entrerà completamente in vigore solo a partire dal 2026, ma come non tener sin subito conto del concetto di Intelligenza Artificiale antropocentrica e del divieto di utilizzo di quei sistemi di IA da considerare a rischio inaccettabile? (Per approfondimenti, vedasi l'articolo "Il Data Protection Officer e il dilemma della ‘compliance privacy’ nel nuovo ecosistema digitale").
Sfide da far tremare le vene ai polsi, che possono però essere affrontate con una declinazione attuale di strumenti ormai collaudati, tra i quali val forse la pena di ricordare:
- la mappatura dei processi aziendali in chiave di identificazione di eventuali “strozzature” che potrebbero comportare l’interruzione dei normali flussi operativi;
- lo sviluppo e l’esecuzione, ancor più rigorosi, di piani di continuità operativa;
- un rinnovato approccio olistico al rischio informatico ed alla resilienza, non più limitato ai soli dati personali ed aperto alle dinamiche aziendali (oltre che a quelle relative agli interessati;)
- un costante dialogo interno (tra le differenti funzioni aziendali) ed esterno (tra aziende coinvolte nei settori critici/ad alta criticità);
- l’esecuzione di due diligenze ancora più approfondite sui fornitori;
- lo svolgimento di audit periodici, realmente idonei a valutare la conformità alle normative e l'efficacia delle misure di sicurezza implementate;
- uno sforzo di continua formazione delle risorse, volto a quella “alfabetizzazione digitale” cui - con particolare riguardo all’AI - fa riferimento lo stesso art.4 del relativo Regolamento.
In questo contesto il Data Protection Officer, pena la perdita, se non formale, sicuramente fattuale di centralità, deve esprimere uno sforzo, per così dire, rifondativo: non si tratta qui di perdere di autorità, ma di mantenere ed accrescere la necessaria autorevolezza richiesta dal ruolo.
Alla luce dei nuovi scenari che devono affrontare i Data Protection Officer con l’intelligenza artificiale, il 16 ottobre la Scuola di formazione Ipsoa ha organizzato il Corso online” Il ruolo operativo del DPO tra AI e GDPR” con il patrocinio di Federprivacy e la docenza del Dott. Mario Mosca, Coordinatore del Gruppo di Lavoro per la privacy nel settore bancario e finanzario.
Il programma del corso si pone l’obiettivo di aiutare i partecipanti a comprendere l'evoluzione del ruolo del DPO grazie all'integrazione con l'AI, analizzando gli obblighi legali e le competenze necessarie per tutelare i dati personali in un contesto tecnologico avanzato, approfondendo le tecnologie AI e Machine Learning, ed esaminando le principali differenze tra AI rule-based e sistemi di deep learning, con un focus sui bias algoritmici e la discriminazione automatizzata.
Inoltre, durante la giornata di formazione, sarà analizzato il delicato equilibrio tra innovazione e protezione dei dati personali e le sfide legate alla trasparenza e minimizzazione dei dati, e applicare le conoscenze teoriche per garantire la conformità dei sistemi AI, individuando le sfide tecniche e giuridiche legate all'uso dell'AI che il DPO deve affrontare nella protezione dei dati personali.
Per maggiori informazioni e iscrizioni, è possibile visitare direttamente il sito della Scuola di Formazione Ipsoa Wolter Kluwer. Per i soci Federprivacy è previsto uno sconto del 25% sulla normale quota di partecipazione.
