Sempre più al centro della ‘vita’ d’una azienda, per i professionisti contabili si prospetta un nuovo percorso formativo
Da qui ai prossimi due anni gli obblighi per una impresa derivanti dalle norme UE sulla privacy e sulla transizione energetica 5.0, ridisegneranno anche alcuni ruoli professionali al suo interno, tra i quali spicca quello del revisore legale. Nel nuovo assetto normativo per la privacy, infatti, viene considerata prioritaria la collaborazione continua e strutturata tra il DPO, ovvero il data protection officer, responsabile della protezione dati e l’Organo di Vigilanza (odv) e il collegio sindacale, poiché questa costante interazione permette di individuare e affrontare con tempestività tutti i rischi legati ai processi aziendali, migliorando la cosiddetta compliance, e di conseguenza riducendo la possibilità di violazioni e conseguenti sanzioni. Un operato condiviso a tutela della reputazione aziendale ed a beneficio della stessa governance. Vale la pena ricordare che il legislatore europeo ha focalizzato la sua attenzione anche sui compiti di controllo e sorveglianza, attribuiti dal gdpr (general data protection regulation) al responsabile della protezione dati, che attengono pure i trattamenti di dati personali eseguiti appunto dagli organi di controllo interno e che devono necessariamente essere conformi ai principi della data protection per poter poi costituire un presupposto di legittimazione del loro operato. Secondo un noto parere dell’Autorità Garante espresso lo scorso anno, l’OdV, nel suo complesso, a prescindere dalla circostanza che i membri che lo compongano siano interni o esterni, deve essere considerato una “parte dell’Ente”. Il suo ruolo si svolge, quindi, nell’ambito dell’organizzazione dell’Ente, che, quale titolare del trattamento, attraverso la predisposizione dei modelli di organizzazione e di gestione, definisce il perimetro e le modalità di esercizio dei compiti dell’OdV pur salvaguardandone l’autonomia. E lo stesso ente, in ragione del trattamento dei dati personali che l’esercizio dei compiti e delle funzioni affidate all’OdV comporta (ad esempio, l’accesso alle informazioni acquisite attraverso flussi informativi), è chiamato a designare – nell’ambito delle misure tecniche e organizzative da porre in essere in linea con il principio di accountability – i singoli membri dell’organo di vigilanza quali soggetti autorizzati. Ciò che va precisato è che riguardo al ruolo privacy del collegio dei sindaci e dei revisori legali, l’Autorità Garante ad oggi non si è mai espressa in modo specifico. In dottrina, però, si ritiene che essi siano titolari del trattamento poiché le loro funzioni, i loro poteri ed i mezzi per operare sono stabiliti dalla legge e non dall’Ente. Seguendo questa impostazione i membri del collegio sindacale, quali autonomi titolari, dovrebbero mappare tutti i trattamenti da loro eseguiti, tenere il registro dei trattamenti ed il registro degli incidenti di sicurezza, fornire le informative agli interessati. Alla luce di queste considerazioni si può asserire che anche il collegio dei sindaci, come il revisore legale, che tra l’altro contribuisce alla cosidetta “corporate governance”, è in grado di assumere il medesimo ruolo privacy dell’OdV di “autorizzato al trattamento”. In concreto, sempre secondo la dottrina corrente, l’Ente quale titolare del trattamento, richiamandosi ad uno specfico articolo della normativa, potrebbe designare i membri dell’OdV come “esercenti la funzione di titolari del trattamento”, ricoprendo così il ruolo di “designati speciali”.
Ed anche nella transizione energetica 5.0, accanto al ruolo-chiave dei professionisti tecnici quali ingegneri e architetti, si prospetta una funzione non certo marginale anche per i revisori legali. Dal momento che il Piano Transizione 5.0 prevede non solo la progettazione di sistemi di risparmio energetico ma anche la successiva e rigorosa rendicontazione allo Stato delle spese sostenute, va da sé che a fronte di tali obblighi, il revisore legale sarà chiamato a ‘certificare’ l’effettivo sostenimento delle spese da parte dell’impresa e la loro corrispondenza con la documentazione contabile predisposta dall’impresa stessa. Alla luce di questi due contesti di stretta attualità – privacy e transizione energetica – che richiamano esplicitamente un coinvolgimento del revisore legale, l’INRL sta già lavorando con il nutrito team di docenti ad un programma di alta formazione (a pagamento) e ad una serie di webinar gratuiti calendarizzati come ormai tradizione nella giornata del mercoledì, fino alla fine dell’anno, nel corso dei quali verranno affrontate anche queste delicate materie.
___________________________________________________________________
L’intelligenza artificiale, cui prodest?
Sul tema d’attualità dell’Intelligenza artificiale interviene l’avvocato Cristina Guelfi, apprezzata docente dei corsi di formazione dell’Inrl che osserva: “Il legislatore europeo, con il regolamento sull’intelligenza artificiale (Artificial Intelligent Act) segna un importante passo avanti in materia di regolamentazione dell’intelligenza artificiale ponendola nella dimensione di tecnologia antropocentrica ossia di strumento a servizio delle persone con la finalità di migliorare il benessere degli individui. Nello specifico si definisce l’intelligenza artificiale come un moltiplicatore di possibilità che tuttavia non si deve anteporre all’uomo.
Massima attenzione, dunque, all’aspetto dei diritti fondamentali della persona soprattutto per quanto attiene la tutela dell’identità individuale e delle forme di manifestazione del pensiero.” E nel proseguire la sua disamina l’avvocato Guelfi sottolinea: “La caratteristica più innovativa del provvedimento in esame è la valutazione dell’intelligenza artificiale secondo l’approccio basato sul rischio.
La valutazione dell’impatto dell’utilizzo di un sistema di intelligenza artificiale sui diritti fondamentali di una persona viene condotta alla luce dell’analisi del rischio potenziale che il sistema di intelligenza artificiale può avere sui diritti fondamentali come il diritto all’identità, all’immagine, alla manifestazione di pensiero. A questo proposito il regolamento europeo sull’intelligenza artificiale ha individuato un limite massimo di non accettabilità dell’utilizzo di tale sistema definendolo come rischio inaccettabile. I sistemi di intelligenza artificiale possono comportare un rischio non accettabile, e pertanto vietati, quando implicano fenomeni discriminatori per le persone. Fra i fenomeni discriminatori rientrano la manipolazione comportamentale cognitiva o meccanismi di classificazione delle persone in base al comportamento, al livello socio-economico, alle caratteristiche personali.”
“Ai fini della misurazione della legittimità di un sistema di intelligenza artificiale – prosegue Guelfi – il legislatore europeo, dopo l’approccio valutativo basato sul rischio, è poi passato ad evidenziare il criterio della proporzionalità.
Sulla base del criterio della proporzionalità il legislatore europeo ha chiarito l’ammissione di tutti quei sistemi di intelligenza artificiale capaci di confermare l’identità di una persona fisica per consentire, per esempio, ad un soggetto di accedere e di fruire di un determinato servizio. Nell’ambito dell’accesso ad un servizio si considera rispettato il criterio della proporzionalità se la persona fisica per accedere al servizio specifico rilascia informazioni di carattere personale che siano strettamente necessarie per fruire del servizio stesso. In un simile contesto sono stati considerati vietati gli strumenti finalizzati alla profilazione dei dati personali della singola persona che ha fruito di quel determinato servizio per perseguire scopi ultronei alla semplice vendita.”
Al termine del suo approfondimento, l’avvocato Guelfi evidenzia:
“Il regolamento in questione rappresenta un primo corpus normativo europeo unitario cui i singoli Stati Membri dovranno attenersi ai fini dell’adeguamento all’interno della legislazione nazionale. Si tratta, come specifica il provvedimento stesso, di un provvedimento armonizzato con gli altri provvedimenti europei in materia di tutela della privacy e protezione dei dati (Regolamento Europeo 2016/679) e con la Carta dei diritti fondamentali dell’Uomo.
In attesa del conseguimento in Italia di una compiuta normativa in materia di intelligenza artificiale, ad oggi a livello nazionale manca un pensiero univoco sul tema in questione. Spesso le questioni riguardanti l’utilizzo dei sistemi di intelligenza artificiale, per esempio nell’ambito dei luoghi di lavoro, vengono analizzate alla luce della sola normativa in materia di privacy; normativa sicuramente pertinente ma non esaustiva. In conclusione, da quanto fino a qui emerso sembrerebbe che il regolamento, con i principi dallo stesso espressi, di proporzionalità, gradazione del rischio, rappresenti un primo spunto organico di norme per comprendere e implementare i sistemi di intelligenza artificiale nelle nostre attività produttive o nell’impiego nell’accesso ai servizi quotidiani.”