L’Intelligenza artificiale sta entrando sempre più nelle prassi operative delle aziende come strumento usato con molteplici finalità. Una di queste è il supporto alle attività di audit, in particolare può essere utilizzata efficacemente per supportare l’attività del DPO richiesto dal GDPR e di verifica della conformità alla normativa del Sistema di gestione dei dati personali (SGDP) e per il suo mantenimento.
Chi ha costruito un SGDP in un contesto anche poco complesso, normalmente ha definito dei requisiti che tale sistema deve rispettare per essere conforme alla normativa ed ha definito degli obiettivi di controllo, il cui raggiungimento consente di indirizzare i processi nella giusta direzione. I controlli possono essere molto numerosi in dipendenza di quanto si vuole andare in profondità nelle verifiche. Il mantenimento del SGDP allineato a tali obiettivi comporta un’attività continua di audit dovuta anche all’incessante evolvere delle modalità operative messe in atto dall’azienda per stare sul mercato e, conseguentemente, del modificarsi dei processi e dei sistemi che impattano sui dati personali.
Oltre a questo, all’aumentare dei flussi di dati in cui si trova immersa l’azienda e dei canali utilizzati per comunicare, diventa anche più difficile avere piena consapevolezza di quali e quanti dati personali sono gestiti e di come sono trattati. Alcune realtà hanno quindi iniziato ad utilizzare l’AI per supportare il disegno e il mantenimento di un SGDP sotto vari aspetti. Di seguito alcuni casi di applicazione.
Intelligenza artificiale e audit, l’effetto “discovery”
L’azienda si trova a utilizzare molte base dati sia di tipo strutturato che non strutturato. Lo stratificarsi nel tempo delle procedure di business, l’ingresso di nuove piattaforme, applicazioni e dispositivi (es. sensori), l’utilizzo dei social per interagire con i clienti effettivi o potenziali, l’integrazione del sistema informativo con quello degli altri attori della filiera produttiva ed in generale i continui mutamenti delle risorse utilizzate per la produzione e per la gestione, rendono rischioso e insufficiente individuare i trattamenti solo ricorrendo alla conoscenza interna dei processi aziendali e dei dati personali utilizzati da questi.
Utilizzare metodi di AI per analizzare i flussi e le basi dati, individuando dove si trovano i dati personali o dati ad essi riconducibili rappresenta una modalità più robusta per individuare ed esplicitare i dati personali trattati. Si potrebbe anche scoprire che si trattano più dati personali di quanto atteso e si può farne una mappatura puntuale classificandoli ad es. nelle diverse categorie indicate dal Garante, facilitando in tal modo l’analisi e la gestione di un eventuale data breach. Partendo dai dati, si può verificare se sono effettivamente stati descritti nel registro tutti i trattamenti realmente effettuati su di essi.
Si può anche scoprire che in alcuni casi non si era consapevoli di alcuni trattamenti oppure che vi sono trattamenti non legittimi, ad es. perché manca il consenso alla profilazione, oppure che si dispone di un patrimonio informativo sui propri clienti che può diventare una risorsa preziosa da sfruttare legittimamente. Una mappatura dei dati personali esatta è inoltre indispensabile per rendere effettivo l’esercizio dei diritti da parte degli interessati e per mettere in grado l’azienda di dare seguito alle richieste.
Strumenti di AI per verificare gli accessi ai dati
Altro tema rilevante è quello di tenere sotto controllo chi accede ai dati personali e la sua effettiva necessità di accedere per il ruolo rivestito (need to know). Normalmente si verifica periodicamente quali sono i privilegi di accesso ai vari applicativi per ruolo e si aggiornano in base alle necessità indicate dalla linea gerarchica. Automatizzare tale verifica consente di restringere l’accesso a chi effettivamente ne ha esigenza, riducendo conseguentemente il rischio di accessi impropri.
Controllare costantemente i log e correlare le diverse fonti che generano log è utile inoltre per gestire efficacemente i rischi di data breach e intercettare tempestivamente l’operatività anomala, sollevando opportuni allarmi ad es. un accesso che avviene in determinate ore, a certe risorse o che proviene da determinati account. Data la mole di dati da analizzare anche qui diventa indispensabile utilizzare strumenti di AI.
Controllare l’intera azienda
L’utilizzo dell’AI, con l’enorme possibilità di elaborazione che la caratterizza, consente di superare la logica dei controlli a campione e dei controlli periodici. Diventa quindi possibile estendere le verifiche all’intera azienda ed effettuarle di continuo, senza vincoli di spazio e tempo. Questo con il vantaggio ulteriore di non impattare l’operatività di coloro che sono impegnati nelle operazioni di business, in quanto non è necessario distoglierli dalle operazioni per farsi dare documenti, informazioni o input di varia natura. Il coinvolgimento delle persone diventa limitato ai casi di allerta che vengono sollevati.
Un cruscotto in tempo reale
La capacità di disegnare un SGDP in modo competente, snello ed efficace diventa essenziale. L’SGDP deve essere sostanziale e non formale, quindi è importante la competenza del DPO nel definire gli obiettivi dei controlli in modo che siano adeguatamente implementati negli algoritmi di AI. Il DPO ha inoltre materiale per creare a beneficio proprio e del titolare un cruscotto di indicatori e di dati alimentabili in tempo reale e utili a verificare continuamente lo stato di conformità. Un cruscotto che consente di passare dalla sintesi al dettaglio delle casistiche oggetto di riepilogo, diventa di per sé uno strumento di accountability.
Integrazione tra i diversi ambiti dell’audit
Può succedere che un controllo soddisfi obiettivi propri a diversi ambiti di audit, ad esempio un controllo è utile per verificare contemporaneamente la conformità ISO27001, quella relativa alla protezione dei dati personali e quella relativa ad aspetti legali contrattualizzati, utili al CFO. La digitalizzazione dei controlli tramite l’AI rende possibile condividerne gli obiettivi e i risultati portando di fatto all’integrazione di diverse funzioni di audit. Questo dovrebbe verosimilmente portare a dei risparmi oltre che ovviamente a maggiore efficacia. Potrebbe inoltre fare emergere spazi per ottimizzare i processi e migliorare la comunicazione delle informazioni tra le diverse funzioni aziendali, portando così a maggiore efficienza.
Con la AI una cabina di regia “elastica”
Si può procedere per aggiustamenti successivi sperimentando diverse ipotesi prima di individuare il modo migliore di controllare un determinato fenomeno. E’ infatti abbastanza poco costoso effettuare queste prove in quanto serve solo un adeguato data set per allenare l’algoritmo ed una buona conoscenza dello strumento (o del prodotto) utilizzato per l’implementazione. E’ possibile anche procedere in modo incrementale, controllando inizialmente i fenomeni più rilevanti per poi estendere.
Decisioni interamente automatizzate
Anche questo è un ambito da tenere sotto controllo e verso cui si rischia di scivolare sempre più con l’utilizzo degli RPA (Robotic Process Automation) che sostituiscono gli operatori umani. Come sappiamo il GDPR vieta di attuare trattamenti di dati personali basati interamente su decisioni automatizzate ma come ci si assicura che questo non avvenga, stante l’evoluzione in atto verso questi modelli operativi? Questo attiene forse più al concetto di privacy by design ma anche qui l’obiettivo di controllo deve essere fissato in modo da intercettare pure queste casistiche e ovviamente supportato da un’osservazione della realtà continua e assistita da strumenti di AI.
Le modalità produttive aperte dall’integrazione tra il sistema informativo e il modo fisico (inclusi gli umani) che diventa “leggibile” attraverso dispositivi IOT, presenta nuove forme di dati personali generati dal processo produttivo stesso, quasi sempre sotto forma di big data analizzabili con modalità ingegnerizzate. Il SGDP deve tenere conto di tali applicazioni e verificare che non vi siano utilizzi in violazione del Regolamento. Qui un primo livello di complessità è definire cosa è da considerarsi dato personale, quindi applicare i controlli anche a questi data base necessariamente con modalità di tipo AI.
Abbiamo riportato sopra solo alcuni esempi. La trasformazione digitale in atto rende pervasivo il dato personale, inteso come dato che consente di identificare anche indirettamente una persona fisica: l’SGDP necessita di diventare parte integrata a tale trasformazione e per far questo deve utilizzarne gli strumenti.
