loader image
Normativa sulla Privacy: perché dal 2021 sarà più importante?

Normativa sulla Privacy: perché dal 2021 sarà più importante?

Ecco le ragioni per cui la Normativa sulla Privacy non è più un’opzione

Il rapporto annuale di Clusit (realtà italiana di riferimento nella sicurezza informatica e sulla normativa sulla privacy), già nel 2018 evidenziava come il 45% delle aziende italiane avesse subito cyber attacchi. Da anni, ormai, si tratta di un trend in costante crescita. E, dal 2017 ad oggi, gli attacchi cyber sono aumentati del 66%.

Non a caso quasi la metà del personale responsabile delle infrastrutture IT aziendali (46%) teme che un attacco ransomware (con annessa richiesta di riscatto) possa portare alla chiusura della loro attività durante questo periodo se non dovessero aumentare gli investimenti nella sicurezza.

Un altro studio di Canalys, tra le principali società di analisi del mercato tecnologico globale, evidenzia che nel 2020 sono state registrate più violazioni di dati personali rispetto alla somma dei precedenti 15 anni, e alcune di queste violazioni hanno avuto effetti catastrofici su servizi essenziali (come ad esempio per gli ospedali).

È quindi chiaro che lo scenario attuale impone un alto standard di conformità nei confronti della normativa sulla privacy, per mitigare innanzitutto gli effetti assolutamente negativi di una violazione dei dati personali (il cosiddetto data breach); effetti che potremmo sintetizzare in questi termini:

  • Perdita di dati personali e violazione della normativa sulla privacy: tralasciando l’aspetto etico derivante dalla responsabilità di gestire nel miglior modo possibile le informazioni di altri soggetti (dipendenti, clienti e fornitori in primis), è evidente che oggi i dati personali rappresentano un asset di valore che, in quanto tale, necessita di una protezione adeguata. Ogni fuga di dati personali rappresenta anche un enorme danno di immagine, che peraltro può comportare – a norma di legge – anche la comunicazione dell’evento ai propri clienti e fornitori. Questa eventualità è certamente da scongiurare avendo ricadute immediate sul brand aziendale, come testimonia il recente attacco hacker nei confronti di Ho Mobile, l’operatore virtuale di telefonia mobile, che dopo l’accaduto e il tam-tam mediatico che ne è seguito, ha visto registrare una fuga in massa dei suoi clienti verso altre compagnie.
  • Interruzione dell’operatività aziendale: in molti casi (come nell’ipotesi di attacchi ransomware), il data breach può comportare un blocco dei server aziendali o di altri settori focali dell’azienda, determinando altresì una sospensione della normale attività lavorativa. In questi frangenti, un corretto sistema di gestione dei dati personali, insieme a procedure di risposta efficienti e resilienti, sono un elemento decisivo per minimizzare l’impatto di questi eventi di danno.
  • Sanzioni: un data breach può avere riflessi negativi anche sotto il profilo delle sanzioni, oggi certamente significative (fino a € 20 milioni o il 4% del fatturato globale annuo). L’entità di tali sanzioni sono certamente un fattore di cui tenere conto in una valutazione di costi-benefici. In questo senso, una corretta conformità alla normativa sulla privacy riduce sensibilmente l’eventuale applicazione delle stesse sanzioni, perché l’Autorità Garante è la prima ad essere cosciente che il rischio zero in ambito di sicurezza informatica non esiste. Per cui, l’azienda che dimostra di aver fatto tutto ciò che era in suo potere per mitigare eventuali rischi, ha grandi probabilità di non essere soggetta alle pesanti sanzioni del GDPR.

Come si è detto, quindi, nessuno è in grado di garantire l’azzeramento dei rischi derivanti dal data breach. Quello che si può fare è agire preventivamente in modo da ridurre al minimo il rischio derivante dal trattamento dei dati di nostri clienti e fornitori, e al rispetto della normativa sulla privacy.

 

 

La mappatura dei flussi, l’individuazione di chiare regole di ingaggio per il trattamento dei dati personali effettuato da dipendenti e da collaboratori (interni ed esterni), la redazione di valutazioni di impatto, laddove sia identificato un rischio elevato, sono tutte attività utili per garantire un corretto trattamento dei dati personali, minimizzando al contempo il rischio per la violazione e divulgazione a terzi degli stessi.

È proprio questo che, come Studio Legale, ci proponiamo di fare: un’attività di consulenza che non si limiti all’adeguamento alla normativa sulla privacy ma che crei un valore per il Cliente in termini di maggiore sicurezza dei dati personali per affrontare con più serenità eventuali imprevisti e allo stesso tempo per creare una relazione di fiducia con i propri clienti basata su un trattamento trasparente dei loro dati personali.

Una società che si adegua al GDPR è una società che, anche in caso di data breach, non teme lo spettro di provvedimenti sanzionatori o di danni alla sua reputazione, perché sicura di aver fatto quanto in suo potere per proteggere i dati personali di cui è in possesso, sempre nel rispetto della normativa sulla privacy.

 

Con la Normativa sulla Privacy quale percorso affrontare per tutelarti?

Il percorso di conformità alla normativa sulla privacy necessita però di una profonda analisi dell’azienda, agendo sulle criticità per rendere più efficaci e snelli i processi aziendali:

  • In una prima fase, l’attenzione è riposta sull’analisi del rischio (il cosiddetto risk analysis), con la pianificazione di una serie di audit allo scopo di individuare le adeguate misure di sicurezza da implementare in rapporto alla natura ed entità dei dati personali trattati (cosiddetto gap analysis);
  • Si procede quindi alla stesura del registro del trattamento (art. 30 GDPR), documento essenziale per creare una mappa concettuale di tutti i flussi di dati all’interno dell’azienda (cosiddetto data mapping), identificando il ciclo vitale del dato. Il registro, infatti, permette di capire, per ogni dato personale, qual è il suo punto di raccolta, tracciando ogni suo passaggio interno – tra i dipartimenti aziendali – ed esterno, laddove ci si appoggi a fornitori terzi e servizi in outsourcing;
  • È anche l’occasione per fissare limiti nella conservazione dei dati personali (cosiddetto data retention) e per riflettere sullo stato attuale del data base aziendale, eliminando eventuali dati non necessari.

Questi passaggi sono fondamentali perché, memori di quanto detto all’inizio in tema di data breach, ogni dato personale è fonte di responsabilità per l’azienda che ne è titolare; per cui è cruciale trattare solo i dati strettamente necessari e utili alle finalità preposte, ottemperando al principio di minimizzazione dei dati (art. 5 GDPR).

In quella sede può nascere anche l’esigenza di effettuare valutazioni di impatto per i trattamenti ad alto rischio, seguendo le metodologie riconosciute a livello internazionale (come ad esempio il metodo ENISA); questo processo è fondamentale in sede di controllo ispettivo, perché testimonia la grande attenzione di un’azienda per la questione della normativa sulla privacy e la volontà di porre azioni concrete a mitigazione delle situazioni più rischiose.

Quindi per un corretto adempimento della Normativa sulla Privacy, segue una fase di redazione di policy e procedure inerenti alle attività aziendali (come ad esempio la policy di gestione delle e-mail, della gestione data breach, dei regolamenti sull’uso di device personali, eccetera), oltre alla redazione di tutte le informative necessarie, anche a favore di dipendenti e collaboratori.

Concluso il percorso di adeguamento, è importante attivarne uno nuovo di monitoraggio e aggiornamento mediante audit semestrali o annuali, a seconda del contesto aziendale, oltre ad implementare sessioni di formazione a tutto il personale.

 

La foto rappresenta un'immagine esplicativa sulla Normativa sulla Privacy e sul Data Breach

 

Normativa sulla Privacy: infine, segnaliamo un trend in forte crescita per il 2021.

Un modello organizzativo basato su un corretto trattamento dei dati personali sta diventando un elemento di competitività tra aziende concorrenti sul mercato. Ciò è dovuto da una serie di fattori che proviamo ad elencare:

  • A quasi 3 anni dall’applicazione effettiva del GDPR, è aumentata considerevolmente la sensibilità di utenti e consumatori finali sul tema della normativa sulla privacy. Quest’ultimi, dunque, sempre di più scelgono un prodotto o servizio anche in ragione del livello di protezione garantito dalle aziende sui loro dati.
  • La conformità alla normativa sulla privacy è un elemento decisivo anche nei rapporti B2B, cioè fra aziende; si collabora e si crea network solo con realtà con cui si può serenamente condividere dati personali per finalità comuni.
  • La normativa sulla privacy è ormai un elemento non più accessorio ma fondamentale nella creazione di un prodotto o servizio. Chi non si adegua a questo cambiamento rischia di perdere risorse e investimenti.

In quest’ottica va dunque visto il percorso di adeguamento che proponiamo alle aziende clienti. Non certo un adempimento legale, ma un valore di crescita per le stesse aziende in termini di sicurezza e di competitività sul mercato.

Sistema di Vendita Piramidale: Starlife multata da AGCM

Sistema di Vendita Piramidale: Starlife multata da AGCM

Il caso Starlife: sistema di Vendita Piramidale al bando e multa di 850.000 Euro 

Ancora una volta, l’AGCM (l’Autorità Garante della Concorrenza e del Mercato) ha affrontato un caso di Sistema di Vendita Piramidale (LINK PROVVEDIMENTO), la cui diffusione non sembra cessare nonostante il noto divieto previsto dalla Legge n. 173/2005 (art. 5) e la sua inclusione tra le pratiche commerciali scorrette all’interno del Codice del Consumo (D. Lgs., n° 206/2005). 

Questa volta, ad essere al centro dell’indagine dell’Autorità è la società Starlife Italia S.r.l. (oggi Newcar Europe S.r.l.), che ha fondato un sistema di vendita piramidale dei suoi prodotti, fra cui integratori alimentari e cosmetici, basato sul reclutamento di consumatori, incentivati a creare un proprio network di clienti. 

Alla base del programma Starlife, una serie di elementi tipici della vendita piramidale: 

  • Il consumatore che si iscrive al network è subito chiamato ad un esborso non certo esiguo (200 euro), del tutto sproporzionato rispetto al corrispettivo rappresentato dai prodotti della società. 
  • Il neo iscritto è spinto nella ricerca di parenti, amici o colleghi interessati ad entrare nel sistema Starlife; se riesce infatti a far iscrivere in breve tempo altre 3 persone pronte a spendere la stessa cifra in prodotti Starlife, potrà recuperare parte della sua quota di ingresso.
  • Lo stesso meccanismo vale anche per le tre persone appena entrate nel sistema. 
  • Se il consumatore riesce poi a creare un proprio network può richiedere il noleggio a lungo termine di un’auto sponsorizzata, ma dovrà impegnarsi a mantenere su base mensile alti standard di acquisto (per autoconsumo) e di reclutamento di nuovi membri. 

 

Che cos’è il sistema di vendita piramidale e perché la legge lo vieta 

Pertanto, il sistema di marketing piramidale si regge principalmente sulle entrate derivate dall’ingresso di nuovi affiliati piuttosto che su un’attività economica reale (ossia la vendita di beni o servizi da parte dei consumatori iscritti). 

Il legislatore ne vieta la diffusione perché lo ritiene, nel lungo termine, un sistema non sostenibile, che porta cospicui guadagni in particolare a chi si trova in cima alla piramide del network, mentre difficilmente si raggiungono i risultati sperati (e promessi dalla società), quando si è alla base della stessa. 

La “bolla” del sistema piramidale regge fino a quando il flusso di nuovi ingressi resta ad un livello tale da assicurare il pagamento dei vari premi promessi nei diversi livelli del network. Ma prima o poi questo flusso cala, come è inevitabile che sia, compromettendo l’intera sostenibilità del sistema

Come ha di recente sottolineato il Consiglio di Stato (sent. n. 321/2020), il fondamento del divieto è quello «di contrastare i sistemi distributivi basati sul progressivo ampliamento della base di consumatori reclutati con la prospettiva illusoria di ingenti guadagni»

È questo il vero discrimine tra un sistema di vendita piramidale (illecito) e un sistema di multilevel marketing (lecito): nel primo caso i profitti dei singoli e della società derivano principalmente dall’ingresso di nuovi affiliati, mentre nel secondo caso sono i guadagni derivanti dalla vendita diretta di prodotti o servizi o dalla percentuale sulle vendite del proprio network che rappresentano le entrate principali dell’intero sistema. 

Nel caso di Starlife Italia, tutto il programma era incentrato sul reclutamento di nuovi affiliati, e pertanto anche i benefit connessi alla affiliazione, fra cui il noleggio dell’auto sponsorizzata, dipendevano dalla dimensione e propagazione del network creato dall’affiliato-sponsor, il quale doveva mantenere anche un ordine di acquisto mensile minimo per il proprio consumo. 

Per queste ragione, l’Autorità ha valutato la condotta di Starlife Italia come una pratica commerciale scorretta, perché afferente ad un sistema di vendita piramidale illecito, vietandone per questo la continuazione oltre ad irrogare una severa sanzione di € 850,000,00. 

 

multilevel marketing e di sistema di vendita piramidale

 

Come creare un sistema legittimo di Multilevel Marketing 

Il provvedimento dell’Autorità ci offre alcuni spunti. Innanzitutto, esso rappresenta un monito per tutti coloro che desiderano intraprendere un’attività imprenditoriale in questo settore, creando una società di Multilevel Marketing

Prima di avviare un’attività del genere, dobbiamo infatti assicurarci che il sistema di Multilevel Marketing che abbiamo in mente resti nel perimetro di legittimità disegnato dal legislatore senza sfociare in un sistema di tipo piramidale, che – come abbiamo visto – viene sanzionato dall’Autorità in maniera molto severa. 

Per questa ragione, il consiglio è di affrontare un percorso di conformità normativa (cosiddetto compliance), per dare vita ad un genuino sistema di Multilevel Marketing, senza alcuna rischiosa contaminazione con il sistema illecito di tipo marketing piramidale.

Un percorso dunque di consulenza che parta dalla redazione dello statuto ai contratti con i singoli fornitori e clienti, dai Manuali per gli affiliati, fino al codice etico dell’azienda, con l’obiettivo di essere pienamente conformi alla L. n. 173/2005, senza ricadere tra le “presunzioni” di vendita piramidale indicate dall’art. 6 della norma. 

Le presunzioni sono infatti indicatori che segnalano la presumibile esistenza di una vendita piramidale, facendo scattare, a sua volta, un intervento dell’AGCM. In particolare, si presume che il sistema sia di tipo piramidale: 

  • Se il sistema è in gran parte finanziato dall’ingresso di nuovi membri che, all’atto del reclutamento, devono corrispondere “una somma di denaro o titoli di credito o altri valori mobiliari e benefici finanziari in genere di rilevante entità e in assenza di una reale controprestazione”; 
  • Se il nuovo membro è inoltre obbligato ad acquistare “una rilevante quantità di beni o prodotti” dalla società organizzatrice, “ivi compresi materiali didattici e corsi di formazione, non strettamente inerenti e necessari alla attività commerciale in questione e comunque non proporzionati al volume dell’attività svolta”; 
  • Se, infine, il sistema si basa economicamente sull’ingresso di nuovi affiliati e sul loro acquisto di prodotti per autoconsumo piuttosto che su un sistema di vendita diretta. 

Tutta l’attività di consulenza dovrà quindi essere improntata nel senso di creare un programma di multilevel marketing che non abbia nessuna affinità con le caratteristiche tipiche della vendita piramidale, per non ricadere in nessuna delle presunzioni appena elencate.

Intelligenza Artificiale e algoritmi: come evitare i rischi

Intelligenza Artificiale e algoritmi: come evitare i rischi

Intelligenza Artificiale: i 5 consigli per evitare rischi privacy ed etici

 

L’​Intelligenza Artificiale (I​A​) ha il potenziale di rendere le organizzazioni più efficienti e innovative, ma allo stesso tempo solleva rischi significativi per i diritti e le libertà individuali, che spesso sfociano in scenari dal forte impatto discriminatorio.

Nel corso della nostra attività di consulenza legale su sistemi di ​Intelligenza Artificiale, abbiamo elaborato una metodologia volta ad affrontare tali rischi​: una metodologia che si fonda su 5 principi chiave.

 

Grande attenzione sugli effetti giuridici dell’algoritmo

Forse non tutti sanno che ​ci sono algoritmi di Intelligenza Artificiale che decidono sull’affidabilità di un creditore o altri algoritmi che valutano un profilo nelle fasi di recruiting. L’effetto giuridico potrebbe essere, rispettivamente, l’accesso o meno ad un mutuo, la selezione o il rifiuto di un profilo per una posizione lavorativa.

Sono ​effetti che possono avere un impatto enorme sulla vita delle persone e sul loro futuro​. L’analisi di un consulente legale dovrà innanzitutto focalizzarsi su questo aspetto: qual è l’effetto giuridico di un algoritmo, la sua portata e come incide sullo status giuridico di un individuo.

 

Seguire i principi Privacy (GDPR) aiuta a creare algoritmi equi

La ​Normativa sulla Protezione dei Dati Personali (​GDPR​) è un vero alleato nella creazione di algoritmi equi:

 

  • Innanzitutto il ​GDPR ​richiede che gli algoritmi rispettino il principio di equità (​fairness​), che si lega a quello di “ragionevole aspettativa”. Cosa significa? Semplificando, ogni decisione dell’algoritmo deve risultare in qualche modo “attesa” dall’utente, perché conforme alle norme vigenti e rispettosa delle prassi consolidate in un determinato contesto (come ad esempio, di lavoro). Le decisioni che non coincidono con le ragionevoli aspettative dell’utente, potrebbero essere l’indizio dell’esistenza di probabili ​bias.​ La consulenza legale deve quindi ​individuare la relazione giuridica esistente tra chi utilizza l’algoritmo e i possibili utenti​, ragionando anche su possibili categorie protette (per esempio i lavoratori) e interessi sensibili coinvolti (per esempio convinzioni personali, orientamento sessuale, religione professata, eccetera). Sulla base di tale relazione, si dovrà definire qual è la “ragionevole aspettativa” dell’utente, valutando i suoi specifici diritti e le sue libertà.

 

  • Qualsiasi decisione che abbia un impatto negativo sui diritti e le libertà dell’individuo deve essere giustificata. Per cui chi progetta sistemi di Intelligenza Artificiale deve, su richiesta, ​saper indicare qual è la logica di ogni decisione​. Superare l’effetto black box (scatola nera) che affligge i sistemi di machine learning, talvolta insondabili nelle loro logiche, è una delle sfide più importanti da vincere.

 

  • Il ​GDPR ​richiede inoltre l’attuazione di misure di salvaguardia per tutelare gli utenti​. Fra queste almeno il ​diritto di ottenere l’intervento umano​, di poter esprimere la propria opinione e di contestare la decisione dell’algoritmo. Chi progetta sistemi IA deve sempre considerare questi obblighi normativi.

 

  • La valutazione di impatto sui rischi – anche discriminatori – di un algoritmo è un adempimento necessario che deve guidarci verso una IA più equa. Analizzare il livello di rischio dell’algoritmo è utile per implementare le misure di mitigazione più adeguate al caso concreto sotto il profilo tecnico e organizzativo.

 

Non solo il diritto alla Privacy ma anche il diritto alla non discriminazione

Tra gli addetti ai lavori si sente spesso parlare di algoritmi e ​bias,​ quest’ultimi intesi come pregiudizi o discriminazioni che generano decisioni automatizzate inique​. Sembra incredibile che un algoritmo possa ereditare le discriminazioni esistenti nel mondo reale ma, d’altronde, l’algoritmo viene alimentato da dati che sono frutto dell’esperienza umana. Per rendere il quadro più chiaro, riportiamo un esempio tratto da uno studio molto recente.

Alcuni ​ricercatori tedeschi hanno inviato a più di 100 aziende il curriculum di tre candidati, di sesso femminile, aventi qualifiche identiche. Una candidata aveva un nome tedesco, l’altra un nome turco e la terza aveva sempre un nome turco ma, a differenza dell’altra connazionale, nella foto del curriculum indossava il velo.

La candidata con il nome tedesco è stata richiamata per un colloquio nel 19% dei casi, la seconda candidata dal nome turco nel 14% dei casi, mentre la candidata – sempre con nome turco ma che indossava il velo – ha ricevuto un feedback notevolmente inferiore (circa il 4%).

Questo studio dimostra che, in alcuni contesti, come quelli del reclutamento, pregiudizi ereditati anche dal passato, possono incidere sensibilmente sul processo decisionale dell’uomo. Allo stesso modo, se questi dati sono trasposti su ​sistemi di Intelligenza Artificiale possono generare le stesse distorsioni​, anzi talvolta di portata più ampia, perché gli algoritmi attuali sono in grado di trovare correlazioni insospettabili tra i dati, ​a tal punto da creare nuove forme di discriminazione che neppure avevamo preso in considerazione.

Conoscere i ​bias ​più comuni del settore in cui verrà impiegato l’algoritmo, classificarli in maniera corretta ed eventualmente agire nella fase di progettazione e addestramento dell’Intelligenza Artificiale, è il primo passo per porre rimedio ad effetti sociali negativi dal forte impatto discriminatorio.

Il tema è sempre più sentito, anche a livello giurisprudenziale. ​Le ultime sentenze in materia hanno messo in luce l’illegittimità di algoritmi che producono disparità di trattamento fra gli utenti (discriminazione diretta) o che, dall’altra, non tengono conto della vulnerabilità di un soggetto (per esempio un minore) o di sue caratteristiche particolari, generando comunque disparità sanzionabili (discriminazione indiretta).

L’indagine del legale dovrà quindi focalizzarsi sulla decisione automatizzata dell’algoritmo (output), valutandone i potenziali effetti e segnalando, laddove presenti, eventuali disparità di trattamento o situazioni di svantaggio a danno di alcune categorie o gruppi di utenti.

 

Chiedersi se l’Intelligenza Artificiale è una soluzione necessaria e proporzionata al problema

Siamo spinti a credere che la tecnologia sia sempre la soluzione. Ma dobbiamo confrontarci con i limiti e i rischi della tecnologia che utilizziamo. Ad oggi ​non è sempre possibile prevedere tutti gli effetti sociali dell’Intelligenza Artificiale​, ed è altrettanto complesso eliminare i ​bias p​resenti nei set di dati o nelle decisioni algoritmiche.

Pertanto dovremmo sempre chiederci se l’Intelligenza Artificiale è necessaria e proporzionale al problema che vogliamo risolvere. In questo senso, è importante valutare le possibili alternative: si possono ad esempio considerare soluzione intermedie, prevedendo decisioni semi-automatizzate che includono l’intervento dell’uomo, per ​sorvegliare ed eventualmente correggere distorsioni​ e risultati non equi.

Questa domanda diventa un imperativo in alcuni settori che soffrono storicamente di pregiudizi, come quello della giustizia predittiva o del recruitment. In questi casi le precauzioni non sono mai abbastanza, perché è frequente che gli effetti discriminatori possano generarsi anche laddove i dati raccolti non contengano caratteristiche sensibili come il “sesso” o la “etnia” di una persona.

Potrebbero infatti esservi altre caratteristiche, come la professione, che sono in qualche modo correlate al “sesso”, sollevando ugualmente un rischio di discriminazione. Si pensi a certe professioni, ancora dominate dal genere maschile e da antichi stereotipi. Ad esempio un set di dati che attinge da precedenti colloqui di lavoro per una posizione di ingegnere meccanico, se utilizzato per allenare un algoritmo di reclutamento, è probabile che generi modelli statistici orientati ad avvantaggiare gli uomini, data la scarsa presenza di ingegneri donne in quel campo.

Questi problemi possono verificarsi in qualsiasi modello statistico​, ma è più probabile che si verifichino nei sistemi di Intelligenza Artificiale – in particolare, di machine learning – perché sono modelli che contengono un numero molto maggiore di caratteristiche (le cosiddette features). Se da una parte il machine learning è più potente degli approcci statistici tradizionali perché è più efficace nello scoprire nuove correlazioni tra i dati (si parla al riguardo di pattern o cluster), dall’altra questa abilità potrebbe far emergere nuovi elementi discriminatori.

Il legale dovrà tenere conto di questi due estremi, bilanciando rischi e benefici. È il processo più complesso, perché entrano in gioco interessi confliggenti: più dati, in genere, equivale ad una maggiore precisione nelle predizioni dell’algoritmo, ma dall’altro sono maggiori i rischi privacy; una diminuzione delle caratteristiche trattate (le cosiddette features) può diminuire il rischio delle discriminazioni, ma può generare risultati non veritieri o poco precisi.

Non esiste, chiaramente, una formula perfetta valida per ogni applicazione; ​sarà il legale a calibrare i parametri della proporzionalità e necessità a seconda del caso concreto e, in casi estremi, a prendersi la responsabilità di porre veti sulla opportunità del progetto.

 

Gli algoritmi di Intelligenza Artificiale possono essere parte della soluzione

Può sembrare un paradosso, ma si stanno diffondendo algoritmi in grado di rilevare pregiudizi e discriminazioni di altri algoritmi, intervenendo già nelle prime fase di training. In sintesi, potremmo dire che ​un algoritmo aiuta un altro algoritmo ad essere più equo​.

Questi, dunque, i 5 principi che riassumono una metodologia di lavoro in continua evoluzione che presto dovrà confrontarsi con il ​Regolamento UE sull’Intelligenza Artificiale​, il primo framework legale interamente dedicato a questa tecnologia.

Una metodologia che, ovviamente, rispecchia un approccio strettamente legale alla materia e che, pertanto, non ha l’ambizione di essere l’unico strumento di mitigazione dei rischi connessi all’utilizzo dell’IA.

C’è infatti bisogno di un ​lavoro di coesione fra più professionisti​: sviluppatori software, data scientist, esperti di etica, ingegneri informatici, professionisti della sicurezza informatica, solo per citarne alcuni. Tra questi, però, ​non può mai mancare il punto di vista di un legale​, perché al centro di ogni processo di gestione del rischio deve esserci l’individuo, i suoi diritti e le sue libertà fondamentali. Solo così otterremo un’intelligenza artificiale più equa.

 

DATA GOVERNANCE ACT: nuova vita ai dati europei

DATA GOVERNANCE ACT: nuova vita ai dati europei

 

Ancora oggi sono pochi gli enti (pubblici e privati), in grado di sfruttare il potenziale effettivo dei dati. 
Il Data Governance Act, nella versione proposta dalla Commissione lo scorso 25 Novembre, vuole promuovere un cambio di rotta su questo fronte.

L’obiettivo dichiarato è infatti proprio quello di ottimizzare il valore dei dati, anche di quelli che non sono disponibili come open data, favorendone la circolazione per mezzo di attori qualificati e strumenti di tutela che ne garantiscano una condivisione sicura all’interno di un mercato unico digitale.

Per poter raggiungere un obbiettivo così temerario, la proposta di Regolamento si fonda su 3 pilastri i quali sono volti a sorreggere l’intero ecosistema di governance dei dati pensato dalla Commissione europea.
Il primo pilastro definisce le regole che disciplinano le condizioni di riuso di certe categorie di dati in possesso degli enti del settore pubblico; Il secondo prevede invece i meccanismi di condivisione dei dati (c.d. data sharing), con l’ingresso di fornitori dediti a tali servizi di intermediazione; Infine il terzo pilastro definisce il concetto di “data altruism” ossia la raccolta e il trattamento di dati resi accessibili a terzi per fini altruistici da parte di imprese o persone fisiche.

1. IL RIUSO DEI DATI

Perché la Commissione prende in considerazione i dati in possesso degli enti pubblici per un loro eventuale riuso?
Il concetto si ricollega ad una idea di base molto nobile: i dati generati o derivati dall’utilizzo di soldi pubblici devono portare benefici a tutta la società.

Le categorie di dati a cui potranno applicarsi le condizioni di riuso definite dalla Commissione saranno quindi quelli in possesso degli enti pubblici (es. lo Stato, gli enti regionali o locali) e in particolare quei dati protetti da ragioni di privacy o proprietà intellettuale e/o industriale.

L’obiettivo è dunque quello di sfruttarne il valore statistico e/o di ricerca, evitando che restino giacenti negli archivi fisici o telematici della pubblica amministrazione.

Il Regolamento inoltre prevede divieti circa accordi di esclusiva per il riutilizzo di alcuni dati, scongiurando possibili accordi bilaterali che potrebbero nuocere al principio di concorrenza.
L’accordo è infatti ammesso solo se giustificato e necessario per la fornitura di un servizio di interesse generale.

2.  I MECCANISMI DI CONDIVISIONE DEI DATI (il “data sharing”)

Due sono gli scenari possibili: la condivisione di dati pretrattati o la condivisione di dati non pre-trattati in ambienti protetti.
In relazione al primo meccanismo di condivisione, i dati personali dovrebbero essere anonimizzati o almeno pseudonimizzati prima della loro trasmissione, mentre per i dati non personali è necessario eliminare le informazioni commerciali a carattere confidenziale. Solo in seguito a tale pre-trattamento, i dati potranno essere trasmessi a favore di chi ne fa richiesta (il re-user).

Ci sono casi però in cui il pre-tattramento potrebbe mettere a rischio le finalità di riuso del richiedente o pregiudicarne l’efficacia.
Un esempio potrebbe essere quello di un ente di ricerca che necessita di dati genetici in chiaro.

In situazioni come questa l’uso dei dati potrebbe essere concesso – anche in assenza di un pretrattamento – ma in ambienti protetti e controllati – in questo caso dall’ente pubblico – e accessibili anche da remoto.

Se però queste garanzie non fossero sufficienti per un riuso dei dati in sicurezza, gli enti pubblici dovranno adoperarsi per acquisire – in favore del re-user – il consenso degli interessati o le autorizzazioni necessarie presso le aziende coinvolte.

La trasmissione dei dati può avvenire anche a favore di un re-user che intende trasferirli verso Paesi terzi. In tal senso, la trasmissione potrà avvenire senza particolari problemi nei confronti di Paesi terzi già ritenuti adeguati dalla Commissione Ue, con un livello di protezione delle informazioni confidenziali equivalente a quello presente in Europa.
Laddove il trasferimento sia diretto ad un Paese non adeguato, il re-user dovrà impegnarsi personalmente a garantire, nei confronti dell’ente pubblico che possiede i dati, il medesimo standard di sicurezza sancito dal Regolamento.

3. CONDIVIDERE I DATI PER FINI ALTRUISTICI: IL “DATA ALTRUISM”

Il Regolamento dedica una parte al concetto di “data altruism” ovvero la possibilità di utilizzare dati resi accessibili in maniera volontaria da aziende o persone fisiche per finalità di interesse generale.

Il trattamento e la raccolta di questi dati viene affidata ad apposite organizzazioni (Data altruism Organizations), riconosciute dall’UE e segnate in un apposito registro tenuto dalla Commissione.
Il concetto di “data altruism” vuole avere un forte impatto nel mondo della ricerca, sarà necessario quindi fare affidamento sul consenso degli interessati qualora siano persone fisiche.

Si è pensato infatti ad un modulo uniforme di consenso a livello europeo per il “data altruism” nel quale dovranno essere indicate le modalità di trattamento dei dati personali e le rispettive basi giuridiche.

4. L’IMPATTO DEL DATA GOVERNANCE ACT.

È indiscutibile che da questo Regolamento emerga una nuova concezione di economia digitale volta a creare uno spazio comune nel quale i dati rappresentano un patrimonio non solo a fini commerciali e privatistici ma anche di interesse comune.

La Commissione ha fatto la sua proposta, ora si dovrà solo attendere un accordo fra Parlamento e Consiglio Europeo, nella speranza che non vengano intaccati i principi di trasparenza e di massima valorizzazione dei dati.

 

STOP AL PRIVACY SHIELD: le imprese italiane dicono addio a Google, FB & co.?

STOP AL PRIVACY SHIELD: le imprese italiane dicono addio a Google, FB & co.?

 

È questa la domanda che circola tra le imprese italiane ed europee, dopo la sentenza della Corte di Giustizia UE del Luglio scorso che ha posto fine al Privacy Shield, rendendo di fatto illegali tutti i trasferimenti di dati dall’Europa agli Stati Uniti.

Gli effetti della sentenza sono stati immediati e si sono tradotti in dubbi e quesiti concreti per chi fa impresa: posso ancora utilizzare Google Cloud per la mia azienda? Posso continuare a fare campagne di advertising con Facebook?

La buona notizia è che non si deve dire addio a questi servizi (sarebbe impensabile ad oggi, data anche la loro enorme diffusione).
Anche se sono necessari degli accorgimenti legali e tecnici di cui parlare.

Insomma, esistono già delle soluzioni da poter adottare, che sono state recentement indicate dagli organi istituzionali europei proprio in seguito alla caduta del Privacy Shield.

In questa news, cercheremo di fare quindi il punto della situazione, chiarendo quali passi deve fare un’azienda italiana per essere conforme alle leggi in materia, se intende continuare ad utilizzare i servizi digitali di Google o di altre aziende americane.

1. COSA FARE PER CONTINUARE AD INVIARE I DATI A GOOGLE E AGLI ATRI SERVIZI DIGITALI AMERICANI?

È innegabile che l’invalidazione del Privacy Shield stia creando enormi difficoltà ad imprese ed enti europei che trasferiscono dati con partner situati in territorio americano.
In particolare, tante sono le aziende italiane, anche fra le piccole e medie imprese, che si avvalgono di servizi digitali americani come Google Cloud o Facebook e che ora si vedono costrette a correre ai ripari per poter continuare a trasferire dati personali verso i server delle più note Big Tech.

Ecco allora cosa fare per tornare ad una situazione di conformità alle normative in materia di privacy.

A. IDENTIFICARE TUTTI I TRASFERIMENTI DI DATI PERSONALI VERSO GLI USA

Facciamo una breve premessa: non esiste solo Google.
All’interno dell’azienda potrebbe essere in uso un servizio di newsletter o di marketing automation americano, oppure l’app connessa al vostro core business ha i server allocati negli Stati Uniti.

Insomma, le variabili sono tante, per cui il primo passo è quello di effettuare una attenta ricognizione di tutti i trasferimenti di dati personali di dipendenti, clienti, fornitori, dall’Italia agli USA.

B. ADOTTARE LE CLAUSOLE CONTRATTUALI TIPO O UN’ALTRA MISURA DI GARANZIA

L’azienda italiana che vuole continuare a trasferire dati verso gli Stati Uniti dovrà avvalersi di una tra le misure di garanzie indicati dall’art. 46 GDPR (la normativa privacy europea).
Le più diffuse sono le cc.dd. clausole contrattuali tipo stipulate fra chi invia i dati (es. azienda italiana) e chi li riceve (es. Google).

Vi starete chiedendo: come posso contrattare con un gigante come Google o Facebook? È una lotta impari.
In realtà le grandi aziende americane stanno prendendo coscienza della situazione post-Privacy Shield dichiarando apertamente di aderire a tali clausole, che rappresentano uno standard di protezione e sicurezza stabilito dalla Commissione Europea, l’organo deputato ad emanarle e a revisionarle per eventuali aggiornamenti.

All’impresa italiana spetta quindi il compito di accertare che i trasferimenti di dati verso gli Stati Uniti siano protetti da tali clausole o altri strumenti di garanzia, consultando i termini dei loro servizi.

C. APPLICARE MISURE SUPPLEMENTARI

Oggi purtoppo la sola applicazione di clausole contrattuali tipo non basta più per legittimare il trasferimento di dati verso gli USA, perché la Corte di Giustizia Europea, con la sentenza del Luglio scorso (ne avevamo già parlato qui: LINK) chiede misure di garanzie supplementari

La ragione è legata ad aspetti non solo normativi, ma anche di natura politica. La normativa interna americana consente infatti all’intelligence l’accesso e il monitoraggio sui dati anche di cittadini europei, per finalità di sorveglianza la cui discrezionalità è così ampia da non garantire un livello di protezione adeguato ai cittadini UE

A nulla valgono le solo clausole contrattuali tipo (o altre misure di protezione di tipo contrattuale), perchè come tali vincolano solo le parti e non le autorità governative americane che restano liberi di superare – e quindi vanificare – quegli accordi, qualora decidano di attivare programmi di sorveglianza per motivi di sicurezza nazionale.

E’ quindi necessario adottare misure supplementari, volte a garantire ai dati trasferiti verso gli Stati Uniti un livello di protezione sostanzialmente equivalente a quello previsto dall’Unione Europea.

2. UN ESEMPIO DI TRASFERIMENTO DATI CON APPLICAZIONE DI MISURE SUPPLEMENTARI

Per capire meglio quanto detto sopra riportiamo un esempio che trae ispirazione dalle recentissime raccomandazioni 1/2020, emanate dall’European Data Protection Board, l’organo comunitario deputato, tra le altre, a fornire un indirizzo uniforme sull’applicazione del GDPR.

Questo, lo scenario: una clinica privata italiana utilizza un servizio di cloud computing per archiviare a scopo di backup dati personali fra cui sono ricompresi anche dati sanitari.

In questa situazione specifica, ci sono tutti i presupposti per l’implementazione di misure ulteriori a supporto delle clausole contrattuali tipo o di altri strumenti di garanzia.
La ragione risiede, prima di tutto, nella natura dei dati trattati, dal momento che i dati sanitari sono dati considerati sensibili e quindi meritevoli di una maggiore tutela.
Non dobbiamo inoltre dimenticare che anche la sola “messa a disposizione” o “conservazione” dei dati – attività tipiche dei servizi cloud – sono veri e propri trattamenti ai sensi della normativa privacy europea e dovranno essere valutati come tali agli occhi del titolare del trattamento che si affida a tali fornitori.

L’azienda italiana dovrà quindi applicare una misura di garanzia supplementare. Ad oggi non esiste un elenco ufficiale di queste misure. Quindi la scelta sul tipo di misura da adottare è tutta nelle mani dell’azienda, chiamata a scegliere l’opzione più adatta per il tipo di trasferimento effettuato.

Restando all’esempio precedente, si potrebbe fare affidamento ad un sistema di CRITTOGRAFIA, al fine di cifrare i dati personali, cioè renderli incomprensibili a chi non possiede le relative chiavi crittografiche.

Il sistema, oltre ad essere sicuro, si rivela molto adatto al caso specifico perchè l’archivio per fini di back-up dei dati non richiede l’accesso di quei dati in chiaro. L’unica finalità, appunto, è quello di avere una copia di dati che, in caso di necessità, riesca a supplire ad eventuali malfunzionamenti o violazioni dei server principali.

Vediamo allora quali sono i passaggi da seguire per attivare questa spicifica misura supplementare:

  1. UTILIZZARE UN SISTEMA DI CRITTOGRAFIA AVANZATO PRIMA DEL TRASFERIMENTO DI DATI. In particolare, la crittografia deve essere robusta a tal punto da arginare possibili critto-analisi e accessi da parte dell’intelligence americana.
  2. GESTIRE LE CHIAVI CRITTOGRAFICHE IN MODO AFFIDABILE. In particolare, solo l’azienda italiana (esportatrice dei dati) deve essere tenuto alla loro conservazione. Il motivo è chiaro: se le chiavi fossero in possesso anche dell’azienda americana (destinataria dei dati), si vanificherebbe ogni sforzo, perchè a quel punto l’Intelligence americana sarebbe titolata a ordinarne la consegna.

LA CONSULENZA DELLO STUDIO.

Dopo l’uscita delle Raccomandazioni dell’EDPB non è più rinviabile un adeguamento normativo dell’azienda per quanto concerne i trasferimenti di dati verso gli Stati Uniti.

Le Raccomandazioni dell’EDPB dettano infatti una linea chiara ed ora spetta all’aziende applicarle.

In questa fase complessa e delicata, lo Studio Legale Baldrati & Strinati offre la consulenza necessaria per scegliere le soluzioni più adatte ai singoli casi concreti, valutando quale sia l’opzione migliore anche in termini di efficacia, senza pregiudicare il flusso produttivo e commerciale che spesso fa perno su servizi digitali americani.

 

CROWDFUNDING: quali sono i vantaggi per Startup e PMI?

CROWDFUNDING: quali sono i vantaggi per Startup e PMI?

Come abbiamo già approfondito in un altro articolo (EQUITY CROWDFUNDING: strumento essenziale per Startup e PMI) per crowdfunding si intende un modello di finanziamento collettivo che permette di finanziare progetti e attività imprenditoriali di Start-up e PMI attraverso la raccolta di capitali tra un numero indeterminato di soggetti (c.d. “crowd”), effettuata questa con l’utilizzo di piattaforme specializzate online.

I vantaggi legati a questo strumento sono molteplici, a partire da quello economico, fino a quello della visibilità dell’azienda.
Come noto, infatti, il “creator”, ossia la società ideatrice del progetto, sfrutta le piattaforme di crowdfunding per pubblicizzare la sua idea imprenditoriale alla ricerca di potenziali investitori in grado di assicurare la liquidità necessaria e dare così attuazione agli obiettivi dichiarati.

1. I MODELLI DI CROWDFUNDING

Sono diversi i modelli di Crowdfunding utilizzati per gli scopi sopra indicati, così come profondamente marcate sono le differenze che distinguono una tipologia di crowdfunding dall’altra. Quelli più conosciuti sono il Donation Crowdfunding, il Reward Crowdfunding, il Leading Crowdfunding e l’Equity crowdfunding.
Gli ultimi due sono caratterizzati da una spiccata componente finanziario-lucrativa (cfr.: leading ed equity), mentre il Donation Crowdfunding e il Reward Crowdfunding sono strumenti ideali soprattutto per perseguire una finalità più filantropica e sociale.

2. I VANTAGGI COMUNI AD OGNI CAMPAGNA

Al di là delle finalità connesse alla singola campagna di raccolta fondi, il Crowfunding offre una serie di vantaggi comuni. Ve ne elenchiamo alcuni tra i più significativi:

  • FEEDBACK DALLA PROPRIA AUDIENCE: i fondatori del progetto possono ricevere, sin dalle prime fasi di raccolta fondi, opinioni di mercato da parte degli utenti, in particolare sulla appetibilità dei servizi e/o prodotti offerti sul mercato. In questo senso è possibile avere, a bassissimo costo, già una valutazione circa la “commerciabilità” dell’idea, con conseguente possibilità di aggiustare il tiro, in caso di insuccesso della campagna.
  • INTERAZIONE CON GLI INVESTITORI: i fondatori del progetto, grazie anche ad alcune piattaforme che permettono di semplificare le comunicazioni tra gli investitori e le Startup o PMI titolari delle campagne, ottengono un proficuo scambio di visioni, utile anche in chiave post campagna, ai fini dello sviluppo successivo del progetto.
  • OPPORTUNITÀ DI MARKETING: la sponsorizzazione del progetto può apportare benefici anche dal punto di vista promozionale e di brand awareness, consentendo di far circolare il marchio della società o del progetto lanciato, su un canale solitamente non battuto per queste finalità. Questo permette, in non rari casi, di raggiungere anche soggetti che sono interessati ad acquistare interamente l’idea oppure ad investire in maniera consistente sul modello di business presentato dalla singola Startup o PMI. Un elemento, quest’ultimo, non trascurabile soprattutto in caso di insuccesso della campagna.
  • AUMENTO DI CREDIBILITÀ: in caso di successo, oltre alla consapevolezza raggiunta circa la bontà del proprio modello di business, la società acquisterà uno status di credibilità utile anche per attrarre nuove forme di finanziamento, tra cui spesso spiccano quelli proposti da investitori informali (angel investor), realtà aziendali già affermate a livello nazionale e/o internazionale, banche e fondi di venture capital.

3. ATTENZIONE ALLA PROPRIETÀ INTELLETTUALE

Tuttavia, a fianco di tali vantaggi, c’è un elemento al quale bisogna prestare molta attenzione ed è quello relativo alla possibilità concreta che un qualche competitor, sfruttando le eccessive informazioni, oppure semplicemente utilizzando l’idea che sta dietro al progetto, possa immettere sul mercato un prodotto e/o servizio più o meno analogo.

Pertanto, in fase di approccio alla piattaforma di crowdfunding, sarà importante farsi affiancare da consulenti esperti al fine di valutare quali informazioni, e soprattutto come, devono essere comunicate alla piattaforma.

Al netto di questo, rimane indubbio che tra gli aspetti più importanti del crowdfunding ci sia quello di poter raccogliere velocemente – ed a seconda della piattaforma anche a costi relativamente contenuti – le necessarie somme di denaro per poter far crescere e sviluppare la propria Startup o PMI. Anche il basso costo delle transazioni porta sempre più imprese a scegliere questo strumento; infatti, le piattaforme online, potendo fare affidamento su un numero generalmente elevato di transazioni da parte degli investitori, sono in grado di ammortizzarne i costi di intermediazione.

L’avvocato Andrea Baldrati e l’avvocato Armando Strinati offrono consulenza alle startup e alle PMI in ambito di attivazione e chiusura della campagna di crowdfunding, fornendo assistenza legale in ogni sua fase.

Per altre news sul mondo startup e PMI ti invitiamo a leggere:
1. E-COMMERCE: I primi passi per avviare la vendita online;
2. SMARTWORKING: come attivarlo in sicurezza;
3. NO AL PRIVACY SHIELD: ora cosa devono fare le imprese italiane?