În momentul în care o companie decide automatizarea unui proces operaţional repetitiv cu ajutorul unui software de Robotic Process Automation (RPA), este recomandat ca alinierea datelor utilizate în acest proces la legislaţia cu privire la protecţia datelor GDPR să fie făcută încă de la început, pentru a nu exista întârzieri sau probleme, apreciază Roxana Ionescu, partener, NNDKP, în cadrul evenimentului ZF Digital Summit 19.
„Realitatea este că trecerea la automatizare te ajută şi din perspectiva conformării cu cerinţele în domeniul protecţiei datelor. Primul pas în automatizare este maparea. Ca să implementezi o soluţie de RPA trebuie să mapezi procesul pe care îl vei automatiza. Cu ocazia aceasta, îţi creezi exact acele documente pe care legislaţia în domeniul protecţiei datelor le impune din perspectiva responsabilizării operatorului. Astfel, vei şti din prima ce date ai, unde ajung şi cum sunt gestionate şi se evită eroarea”, explică Roxana Ionescu, specialist în protecţia datelor.
Ea susţine că ar fi o „ocazie pierdută” dacă atunci când faci analiza pentru automatizare nu treci în revistă şi protecţia datelor.
Mai mult, Roxana Ionescu spune că atunci când concepi procesul de automatizare trebuie să discuţi cu departamentul de legal şi cu responsabilul de protecţia datelor încă de la început, pentru a nu pierde timp.
„Concepi procesul şi din acel moment cân dconcepi procesul îţi informezi toţi oamenii din echipă care ar trebui să ştie asta. Dacă ai ceva legat de protecţia datelor cu caracter personal trebuie să anunţi şi omul de la legal şi omul de la protecţia datelor, DPO-ul, şi să le spui că ai implementat un proces decizional automat. Te poţi lovi de diferite situaţii, să spunem că ai reuşit să te bazezi pe contract, dar îţi apare o situaţie în care trebuie să asiguri intervenţie umană la cerere, în condiţiile în care vorbim de un bot. Primul pas de informare este de când concepi soluţia pentru că soluţii există, doar că trebuie să le pui pe listă, să ai grijă cu cei cu care lucrezi să adreseze şi aceste nevoi”, spune Ionescu.
Ea povesteşte că sunt clienţi care atunci când au implementat au fost nevoiţi să reia procesul de la început pentru că au neglijat aspectul protecţiei datelor personale.
„Trebuie să vă întrebaţi dacă vor implica utiizarea datelor cu caracter personal sau nu. Trebuie să treci prin paşi. Din capul locului avantajul automatizării este că te forţează în zona de mapare. Este o ocazie perfectă petnru a analiza acest proces şi din perspectiva proctecţiei datelor pentru că reglementatorul va veni sau nu va veni. Te face să dormi mai bine la finalul procesului dacă vezi că nu va fi blocat de responsabilul pentru protecţia datelor. Sunt situaţii în care îţi dai seama că ai pierdut ceva şi trebuie să adaugi ulterior. Spre exemplu, s-a mers pe o soluţie de automatizare cu machine learning, cu AI, era un proces automat care lua anumite decizii care puteau afecta clienţii. Din punct de vedere al matematicii GDPR era asigurată informarea, justificarea pentru proces, dar nu ştiam cum să răspund la întrebarea dacă vine clientul şi contestă soluţia ce se întâmplă. Uitasem de un factor uman. Ceea ce a însemnat că proiectul nu s-a mai continuat, ci s-a reluat, de la mapare”, spune NNDKP.
