RPA e protezione dei dati: una convivenza possibile?

RPA e protezione dei dati: una convivenza possibile?

Assieme a due esperti dei due settori, proviamo a far luce su una questione da non sottovalutare

Robotic process automation (RPA) e protezione dei dati. Sono due dei principali argomenti che interessano la cosiddetta “società dell’informazione”, la nostra società moderna, in cui il valore dei dati è sempre più palese agli occhi di tutti. Valore che per alcuni ha un carattere prevalentemente economico e per altri un carattere prevalentemente privato, mentre, per il GDPR, hanno utilità in quanto strumento con cui creare benessere e sviluppo sociale, facendo ben attenzione ad avere riguardo per i diritti e le libertà delle persone fisiche (cittadini, e tutti lo siamo).

La questione è: possono convivere RPA e protezione dei dati?

Ne parliamo con due esperti, l’ing. Luca Porcari, presidente dell’associazione RPA Italy che ha l’obiettivo di divulgare le potenzialità dei processi automatizzati gestiti da robot software e dell’intelligenza artificiale in questo periodo di trasformazione guidata dall’Industria 4.0, a cui farà da contraltare il dott. Fabio Giuseppe Ferrara, vicepresidente del comitato scientifico di AssoDPO ed esperto di protezione dei dati, sicurezza dei sistemi informativi e conservazione documentale.

SDF: Buongiorno a entrambi e grazie per aver accettato l’intervista su un tema così presente da essere stato anche oggetto di discussione ai recenti congressi di RPA Italy a Milano e a Roma. Vorrei iniziare domandandovi di spiegare, dalle due prospettive che rappresentate, cosa sia la robotic process automation.

LP:

<<Ricambio i ringraziamenti a Fiscal Focus per l’intervista.

La robotic process automation (RPA) è una tecnologia che comprende una serie di prodotti coinvolti nell’automazione dei processi lavorativi: consta di software “intelligenti” (i cosiddetti “software robot”) che possono eseguire in modo automatico le attività ripetitive degli operatori, imitandone il comportamento e interagendo con gli applicativi informatici nello stesso modo dell’operatore. Con queste caratteristiche intrinseche, l’RPA è per sua natura una delle prime tecnologie che facilita ed abilita il passaggio dal mondo analogico a quello digitale nelle imprese>>.

FGF:

<<Mi unisco ai ringraziamenti alla rivista e ai lettori.

Semplificando al massimo e partendo dal presupposto che il termine “robotico” non implica necessariamente una forma antropomorfa, ma, molto più semplicemente, l’utilizzo di automatismi che, tramite l’ingegnerizzazione di un apposito software, permettono di svolgere compiti ripetitivi. In termini puramente “privacy/data protection” l’RPA è un trattamento di dati, anche personali, in forma AUTOMATIZZATA e/o profilata, che quindi ricade nelle more dell’art. 22 del GDPR, oltre ai vari considerando e linee guida>>.

SDF: Quindi, sulla base di queste caratteristiche, mi sembra di intuire che possa essere uno strumento utile a categorie come commercialisti, tributaristi, esperti contabili, consulenti del lavoro, cioè la larga maggioranza dei nostri lettori. È corretto?

LP:

<<È corretto. Con l’RPA, infatti, è possibile automatizzare processi con input standard, leggibili elettronicamente e basati su regole predefinite, con alti volumi di dati e una bassa quantità di “eccezioni”, ossia processi che possiamo ormai considerare “maturi e stabili”.

Quindi, per esempio, task facilmente automatizzabili possono essere aprire e-mail ed allegati, autenticarsi su portali web o ad applicazioni, copiare dati, riempire formulari, collegarsi ad altri sistemi, estrarre dati strutturati da documenti… Ne consegue che, per esempio, per chi opera nel settore della consulenza amministrativa, fiscale e tributaria, l’interpretazione e successivo caricamento di fatture e/o dei dati in esse contenuti risulta un’attività relativamente semplice da automatizzare. Stessa cosa vale se si intende calcolare alcuni indici tipici d’impresa, sulla base dei dati contenuti nello stato patrimoniale e/o nel conto economico aziendale.

Nella pratica quotidiana, questo si traduce in un efficientamento delle risorse, in particolare del tempo>>.

SDF: Come tutte le medaglie, però, immagino ci sia un rovescio. Quali potrebbero essere le criticità a cui porre particolare attenzione?

FGF:

<<Dal punto di vista della protezione dei dati, rientrando i trattamenti citati dall’art. 22 nell’ambito di quelli meritevoli di analisi del rischio e sussistendo l’obbligazione di informativa e consenso espresso quando l’interessato potrebbe subire un trattamento automatizzato, risulta palese che ogniqualvolta il titolare decida di implementare un trattamento di questo tipo, debba obbligatoriamente mettere in campo le misure tecniche e organizzative di sicurezza richiamate dall’art. 32 e verificare che il trattamento rientri o meno nelle obbligazioni del provvedimento sulle DPIA>>.

SDF: Sulla scorta di quanto avete appena condiviso con noi, posso chiedervi di dare alcuni suggerimenti semplici per i lettori?

LP:

<<Certamente.

Quando si vuole avviare un progetto RPA, prima di tutto occorre fare delle valutazioni molto dettagliate del tipo di processi automatizzabili, con l’ausilio delle giuste interfacce e competenze. Ci si deve cioè affidare a veri specialisti di processo che analizzino a fondo i processi “as is”, ridisegnandoli per giungere, infine, ad automatizzare ciò che deve o può essere automatizzato (“to be”): gli stessi specialisti devono far largo uso di semplici metriche per tracciare il corretto funzionamento e il successo delle implementazioni.

Occorre inoltre, fin dall’inizio, spiegare bene e condividere che tipo di infrastruttura IT sia eventualmente necessaria o ottimale per implementare un progetto RPA. Spesso risulta più utile ed economico progettare una infrastruttura IT al di fuori di quella già presente in azienda o in studio.

Infine, tutti i progetti RPA richiedono un controllo rigoroso durante l’esecuzione dei task demandati ai bot [abbreviazione di software robot, nda], controllo che va previsto costantemente (anche da remoto) al fine di evitare che ci siano blocchi o fermi dovuti ovviamente a cause terze e/o non sempre prevedibili all’inizio.

Affidarsi ad un System Integrator ben referenziato risulta sempre più vantaggioso e vincente rispetto alla scelta di formare un team interno di competenze specifiche sull’RPA>>.

FGF:

<<Da quanto esposto sinteticamente nella risposta precedente si evince come l’utilizzo delle RPA nei vari ambiti inerenti i nostri lettori è assolutamente consigliabile, perché foriero di risparmi sia in termini di ore/uomo che di produttività (più analisi e maggiormente approfondite, in minor tempo), a patto che si utilizzino strumenti erogati o resi disponibili da fornitori (software house, consulenti, analisti…) che abbiano correttamente svolto le attività obbligatorie di cui sopra e che il titolare faccia le opportune verifiche, eroghi l’informativa e richieda il consenso a tutela sia PROPRIA che dell’INTERESSATO. Quindi, ben venga la diffusione sempre maggiore di questi strumenti e di queste modalità, purché aderenti alle ormai note modalità di compliance al GDRP>>.

Fonte: Fiscal Focus