NEWS

 
  • Home
  • Informazione
  • Primo Piano
  • La classificazione degli incidenti sulla sicurezza delle informazioni per intervenire in modo proattivo in caso di data breach

Sicurezza, privacy e intelligenza artificiale: la politica per i dipendenti si allarga anche all’AI

La sicurezza, come principio fondamentale di una organizzazione, si è estesa negli anni dall’ambito fisico per abbracciare anche la protezione dei dati personali e successivamente la sicurezza delle informazioni. Ora deve considerare di integrare anche la componente dell’AI. La politica aziendale di una organizzazione, deve quindi, in modo sempre più esteso, focalizzarsi sulla cultura della responsabilità individuale, trovando una naturale applicazione anche nel contesto della introduzione di strumenti di AI a comunicare da quella generativa che oramai è parte integrante delle attività quotidiane.

(Nella foto: l'Ing. Monica Perego,Esperta e Formatrice TÜV Italia, speaker al Privacy Day Forum 2025)

In questo articolo vogliamo esplorare il contesto di applicazione e gli elementi di base di un regolamento o di parte di un regolamento per i collaboratori per un uso responsabile di soluzioni di AI.

Dai principi alla pratica - Regolamentare l’uso dell’AI deve diventare una responsabilità condivisa ad ogni livello dell’organizzazione. Un regolamento per i dipendenti e collaboratori che consideri tali aspetti si piò basare sui principi di seguito indicati che prendono spunto dal modello PDCA (Plan Do Check Act).

PLAN - Pianificazione nell’adozione dell’AI - prima di implementare soluzioni basate su AI, è fondamentale pianificare come queste verranno integrate nei processi aziendali, garantendo il rispetto delle normative vigenti, come il GDPR. La pianificazione include la valutazione dei rischi legati alla raccolta, all’elaborazione e alla conservazione dei dati, nonché l’adozione di misure preventive per proteggere i dati personali e aziendali.

Tra le misure fondamentale la policy che definisce l’approccio dell’azienda nei confronti dell’AI.

Valutazione dei rischi prima dell’uso - l’uso dell’AI comporta rischi legati alla sicurezza dei dati e alla protezione delle informazioni (non solo quelle personali). Prima di utilizzare algoritmi o modelli predittivi e/o permettere l’uso delle soluzioni di AI generativa, è essenziale valutare le potenziali conseguenze, verificare l’affidabilità delle fonti dei dati e garantire che i sistemi utilizzati siano aggiornati e sicuri.

Conformità alle normative e alle politiche aziendali - l’uso dell’AI, e quindi quanto dichiarato nella policy, deve rispettare rigorosamente le normative sulla protezione dei dati e le policy interne di sicurezza informatica. Garantire la conformità assicura il rispetto della legge e consolida anche la fiducia delle terze parti. Anche questo aspetto va quindi considerato nell’analisi dei rischi.

Consapevolezza del ruolo nella gestione dell’AI - ogni dipendente deve essere consapevole del proprio ruolo nella gestione e nell’utilizzo dell’AI in azienda. Questo significa comprendere quali dati sono trattati dai sistemi di AI, quali informazioni personali possono essere elaborate e quali sono le responsabilità specifiche in relazione al proprio ruolo. La formazione pianificata, continua sull’uso etico e sicuro dell’AI è il primo passo verso una gestione responsabile. La formazione deve essere pianificata ed effettuata tenendo conto dei risultati della analisi dei rischi.

DO - Protezione collettiva attraverso l’AI - la gestione sicura dell’AI è una responsabilità condivisa. Proteggere le informazioni sensibili elaborate dall’AI significa tutelare non solo l’azienda, ma anche dipendenti e più in generale tutte le part interessate. La mancata adozione di misure di protezione può compromettere la sicurezza e la privacy di molti soggetti. Nel caso in cui l’uso di un sistema AI generasse delle perplessità – ad esempio, in caso di decisioni apparentemente errate o anomalie nei dati trattati – è fondamentale fermarsi e consultare gli esperti aziendali in sicurezza informatica prima di procedere. Le misure da mettere in atto comprendo anche, lato dipendenti e collaboratori, comprendono anche il regolamento sull’uso dell’AI.

CHECK - Monitoraggio e valutazione continua - per garantire un uso responsabile e sicuro dell’AI, è fondamentale monitorare costantemente l’efficacia delle misure adottate. Questo include la verifica periodica della conformità alle normative, l’analisi dei report di utilizzo, l’adeguatezza del regolamento sull’uso dell’AI, l’identificazione di eventuali criticità. Attraverso audit interni e valutazioni regolari, è possibile garantire che l’implementazione dell’AI rispetti gli standard aziendali e normativi, intervenendo tempestivamente in caso di non conformità tramite azioni correttive.

ACT - Segnalazione e miglioramento continuo - rilevare tempestivamente anomalie o possibili falle nei sistemi di AI è cruciale per evitare conseguenze dannose. Allo stesso modo, proporre miglioramenti nelle procedure aziendali è essenziale per garantire che l’uso dell’AI sia sempre allineato con le migliori pratiche di sicurezza e protezione dei dati.

Formazione continua sull’uso dell’AI - poiché l’AI e le normative in materia sono in costante evoluzione, è indispensabile programmare e partecipare a percorsi formativi periodici per mantenere aggiornate le competenze e garantire una gestione responsabile delle tecnologie intelligenti.

Aggiornamento costante delle misure di sicurezza - nel campo dell’AI, le tecnologie evolvono rapidamente. Non si può presumere che un sistema AI sicuro oggi lo rimanga anche domani senza manutenzione continua e aggiornamenti periodici sia dell’analisi dei rischi che di nuove misure. È necessario monitorare costantemente i sistemi e adeguare le protezioni ai nuovi rischi sia a livello tecnico che organizzativo. È quindi indispensabile rivedere, secondo lo scadenziario anche il regolamento sull’uso dell’AI considerando i risultati degli audit, dei monitoraggi e controlli, nonchè le innovazioni introdotte dall’evoluzione tecnologica.

Asse portante: il regolamento per l’uso dell’AI - Asse portante dell’approccio delineato, lato dipendenti e collaboratori di una organizzazione è quello di un regolamento sull’uso dell’AI. Una volta definita la politica generale dell’organizzazione nei confronti dell’AI, ed effettuata l’analisi dei rischi (si veda il precedente modello PDCA) l’organizzazione deve mettere a punto un insieme di regole per i collaboratori che siano oggetto di formazione e riviste con regolarità. I contenuti tipici di un regolamento per l’uso consapevole dell’AI potrebbero prevedere, come minimo:

- introduzione alla policy ed integrazione con le altre policy aziendali;
- soggetti coinvolti, aree interessate dalla policy e tecnologie AI soggette a regolamentazione;
- ruoli e responsabilità di soggetti quali: dipendenti e collaboratori, Responsabile della gestione dell’AI (AI Manager), dipartimento IT, DPO, Direzione;
- definizioni, uso e modalità di funzionamento dell’AI (aspetti generali e non relativi al contesto aziendale);
- vantaggi e rischi delle soluzioni di AI (aspetti generali e non relativi al contesto aziendale);
- misure permesse e vietate all’interno dell’organizzazione nell’utilizzo di soluzioni di AI (aspetti specifici del contesto aziendale);
- approfondimento sull’utilizzo o meno di alcuni strumenti specifici come ad esempio: raccolta e gestione dei dati utilizzati dall’AI, controllo dell’accuratezza e della qualità dei dati, monitoraggio delle performance e gestione degli errori compensa la segnalazione (aspetti specifici del contesto aziendale);
- gestione degli incidenti: rilevazione e segnalazione delle anomalie, procedure per la gestione dei dati compromessi e comunicazione interna ed esterna in caso di violazione di interesse per i destinatari del regolamento;
- sistema sanzionatorio e provvedimenti disciplinari.

Ovviamente i contenuti specifici vanno integrati in relazione al contesto aziendale; il documento deve essere datato ed approvato dalla direzione.

Conclusioni - La sicurezza delle informazioni e l'uso responsabile dell'AI non sono responsabilità esclusiva del dipartimento IT o del Data Protection Officer, ma parte integrante del lavoro di ciascuno collaboratore aziendale per la sua parte di competenza. Integrare l'AI nei processi aziendali richiede lo stesso impegno e rigore che si dedica alla sicurezza fisica e alla protezione dei dati – sia personali che aziendali, contribuendo così a creare un ambiente digitale sicuro, conforme e affidabile. È quindi possibile assicurare, con ragionevole certezza, che le informazioni, ricerche ed analisi siano gestite in modo sicuro, preciso e nel rispetto degli scopi previsti, salvaguardando la dignità e i diritti delle persone a cui appartengono.

La politica sull'uso dell'AI e sulla protezione dei dati non è solo un insieme di regole da seguire, ma una visione che incarna i valori fondamentali dell’organizzazione: rispetto, trasparenza, responsabilità e integrità.

Note sull'Autore

Monica Perego Monica Perego

Membro del Comitato Scientifico di Federprivacy, docente qualificato TÜV Italia e docente del Master per Esperto Privacy e del Corso di alta formazione per Data Manager - Twitter: monica_perego

Articoli correlati

Prev Sanzionato il Comune che non aveva mai nominato il Responsabile della Protezione dei Dati
Next La valutazione d'impatto sulla protezione dei dati: adempimento essenziale ma spesso sconosciuto

Galleria Video

Privacy Day Forum 2025: il trailer della giornata

Cerca Delegato

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Newsletter

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy

Federprivacy sui social

Argomenti in evidenza