L’ambiziosa strategia digitale dell’Unione Europea mira ad affrontare alcune delle sfide aziendali più urgenti di oggi, tra cui la sovranità digitale, la privacy dei dati e la sicurezza informatica, la concorrenza leale, nonché il divario digitale. La strategia è stata concepita per innalzare gli standard a livello globale di regolamentazione dei mercati digitali, garantendo che i diritti fondamentali degli individui restino prioritari. Ciò ha un impatto significativo sulle realtà che operano in Europa, in particolare sui fornitori di servizi basati sul cloud.

Una componente chiave della strategia è stata introdotta nel maggio 2018 sotto forma del Regolamento Generale sulla Protezione dei Dati (GDPR) dell’UE, che ha comportato per molte organizzazioni la revisione delle proprie strategie di conformità, investendo notevoli risorse per lo sviluppo di solidi programmi di privacy. Ora, con l’Artificial Intelligence Act (AI Act) e il Digital Operational Resilience Act (DORA) all’orizzonte, possiamo rifarci ad alcune preziose lezioni apprese dalla nostra esperienza GDPR per orientarci al meglio attraverso questo nuovo panorama normativo UE. Sebbene alcuni aspetti di questi nuovi regolamenti siano specifici per il settore finanziario, avranno comunque un impatto indiretto sulle imprese che interagiscono con le banche, tra cui le compagnie assicurative, i gruppi di investimento e i fondi pensione.

Queste società finanziarie si assumeranno principalmente l’onere di rivedere il loro approccio alla gestione dei rischi, alla segnalazione degli incidenti, alla valutazione e all’audit di terze parti, nonché alla governance dei dati e alla continuità operativa. Per comprendere meglio cosa ciò significhi per un’azienda di servizi basata su cloud come Genesys e i suoi clienti, esaminiamo alcune lezioni chiave apprese dall’implementazione del GDPR e in che modo queste lezioni aiutano le aziende a rispettare l’AI Act e il DORA.

Definizione di GDPR, AI Act e DORA

GDPR

Il GDPR è il regolamento sulla protezione dei dati più conosciuto al mondo. Stabilisce regole in base alle quali le organizzazioni che conducono attività commerciali in Europa o elaborano dati UE devono trattare tali informazioni per garantire il rispetto dei diritti e delle libertà degli individui.

AI Act

L’AI Act è concepito per disciplinare lo sviluppo, l’uso e il posizionamento sul mercato dei sistemi di AI nell’UE. Mira a garantire che i sistemi di AI siano sicuri, trasparenti e rispettosi dei diritti fondamentali, stabilendo norme per la governance dei dati, la supervisione e per i sistemi e le applicazioni di AI ad alto rischio, come quelli utilizzati ad esempio per l’identificazione biometrica a distanza, il riconoscimento delle emozioni e per i sistemi volti a determinare l’accesso all’istruzione, all’impiego e alla ricezione di servizi pubblici essenziali per attività connesse alla migrazione. È valido anche per le applicazioni utilizzate da o per conto delle forze dell’ordine.

DORA

Il regolamento DORA mira a rafforzare la resilienza operativa del settore finanziario dell’UE contro le minacce informatiche e gli incidenti di sicurezza. Stabilisce un quadro completo in materia di rischi e sicurezza per garantire che le banche, gli assicuratori, le imprese di investimento e altre organizzazioni analoghe possano fare affidamento in sicurezza sui fornitori di servizi digitali per mantenere la stabilità del mercato. Gli obblighi del DORA si applicano sia alle società finanziarie che ai fornitori di tecnologie dell’informazione e della comunicazione (Information and Communication Technologies, ICT) come Genesys.

4 Lezioni chiave per la conformità

1. Conoscere, mappare e proteggere i tuoi dati

La conformità inizia con la comprensione dei tipi di dati raccolti e trattati. Il GDPR ha insegnato alle organizzazioni i principi fondamentali per la raccolta e il trattamento dei dati, tra cui la trasparenza, la legittimità del trattamento, la minimizzazione dei dati, la limitazione delle finalità e le misure di sicurezza dei dati. Questi principi ci aiutano a identificare quali dati ha un’organizzazione, perché li sta raccogliendo, come saranno utilizzati e come deve garantire che rimangano sicuri. Seguendo questi principi, le organizzazioni acquisiscono conoscenza delle risorse di dati e comprendono la portata dei loro compiti nei confronti dei clienti, sanno come utilizzare tali dati e in quali casi, nonché i parametri per eliminarli e in che modo i clienti possono accedere o impedire l’uso dei propri dati.

La piattaforma Genesys Cloud™ è stata concepita per essere utilizzata in modo flessibile dai nostri clienti e adattare l’input dei dati di conseguenza. Le pratiche trasparenti in materia di dati basate sul GDPR consentono a Genesys di fornire a clienti, partner e vendor gli strumenti necessari per soddisfare gli obblighi stabiliti dall’AI Act per gli aspetti di mappatura dei dati, fonti di dati e requisiti relativi ai dati di formazione. In osservanza al DORA, le società di servizi finanziari devono conoscere il tipo di dati dei clienti trattati dai loro fornitori ICT, nonché quando tali fornitori si affidano a terzi per le attività di trattamento dei dati. Devono anche sapere attraverso quali applicazioni o piattaforme i fornitori accedono ai dati.

2. Valutare e modificare i contratti

La gestione contrattuale è una componente fondamentale per la sicurezza, l’elaborazione dei dati e la gestione dei rischi. Seguendo i requisiti di conformità GDPR, Genesys ha impostato e riprogettato clausole contrattuali per garantire sicurezza, riservatezza e trasparenza. In tale logica, sia il DORA che l’AI Act richiedono istruzioni chiare per il trattamento dei dati, adeguate valutazioni dei rischi, misure di sicurezza proporzionate e una segnalazione diligente degli incidenti nell’ambito degli accordi, in particolare tra entità finanziarie e vendor di tecnologie.

3. Testare e migliorare la tua sicurezza

La sicurezza è fondamentale nei servizi cloud. Il GDPR ha sottolineato la necessità di valutare e garantire il livello adeguato di sicurezza per le attività di trattamento dei dati in base al loro ambito e ai mezzi. Genesys Cloud soddisfa questi requisiti per progettazione e per impostazione predefinita. Il DORA e l’AI Act attribuiscono inoltre priorità alla sicurezza, richiedendo test rigorosi e un equilibrio tra misure tecniche per arginare i potenziali rischi per i diritti degli utenti.

4. Aumentare la consapevolezza

È fondamentale per le organizzazioni e i loro dipendenti sapere in che misura un regolamento si applica loro e capire il proprio ruolo in quel contesto e l’adesione. I dipendenti Genesys hanno completato la formazione su argomenti di sicurezza e conformità, tra cui protezione dei dati e privacy. Questa formazione, avviata in base al GDPR, garantisce che i dipendenti siano in grado di gestire correttamente le informazioni e i dati personali. Nel momento in cui il DORA e l’AI Act entreranno in vigore, il nostro personale sarà preparato su queste normative per mantenere la conformità e integrarle nella nostra strategia di conformità olistica.

Essere sempre conformi ai regolamenti UE

Sfruttando la nostra esperienza con la conformità al GDPR, Genesys è in grado di soddisfare efficacemente i requisiti dell’AI Act e del DORA. Comprendendo la quantità di dati che gestiamo, aggiornando i nostri contratti, testando rigorosamente le misure di sicurezza, valutando correttamente le terze parti e sensibilizzando i nostri dipendenti, possiamo garantire che le nostre operazioni restino conformi e che gli interessi e i doveri legali dei nostri clienti siano debitamente soddisfatti.

Sebbene l’impatto immediato di questi regolamenti permanga prevalentemente in Europa, le nostre operazioni a livello mondiale ci consentiranno di estendere questo impegno a livello globale in tutta la nostra organizzazione per offrire i servizi tenendo conto di tali standard di riferimento. I nostri team terranno i clienti e i partner aggiornati sull’adeguamento a questi regolamenti. Gli esperti di Genesys possono rispondere a qualsiasi domanda specifica. Clicca qui per ulteriori informazioni sulle misure di sicurezza di Genesys Cloud.