Mese: Giugno 2023

Oggi voglio elogiare una piccola grande idea che ci consente di tenere sotto controllo efficacemente e a basso costo i rischi legati all’attività professionale: la checklist.

La checklist nasce per fare fronte a quelle situazioni nelle quali un errore umano può essere fatale, prevenendo il rischio attraverso un elenco di controlli da effettuare prima di validare un prodotto o un processo. Nel settore dell’aeronautica, nell’industria nucleare, nella chimica.  In ambito medico, Atul Gawande, medico statunitense di origini indiane, ha curato per l’Organizzazione Mondiale della Sanità protocollo che costringe medici, anestesisti, infermieri e altro personale di sala a effettuare una serie preordinata di controlli che, si è dimostrato capace di ridurre di oltre un terzo le morti e le complicazioni postoperatorie.

Ma le check list possono essere estese anche ad ambiti professionali meno pericolosi dal punto di vista dell’impatto sulle vite umane.

Anche il Notaio e i suoi collaboratori, per quanto preparati, diligenti e accorti, possono commettere degli errori nello svolgimento del proprio lavoro, pur avendo perfettamente chiaro ogni singolo passaggio da compiere. Può trattarsi di piccole banalità facilmente risolvibili ma che oltre a diventare un costo aggiuntivo per lo studio, possono far fare brutta figura nei confronti dei clienti.

La check list ci aiuta ad ovviare alla naturale fallibilità umana. In particolare, ai limiti della memoria e dell’attenzione, soprattutto in momenti di sovraccarico che possono caratterizzare alcuni periodi dell’anno.

Esistono basilarmente due tipi di checklist:

• La check di processo, che mette in fila un elenco di azioni che devono essere considerate o eseguite per garantire il corretto svolgimento di una procedura (ad esempio, per la stesura di un atto immobiliare)
• La check di prodotto, che indica invece le caratteristiche che un prodotto o servizio deve possedere per poter essere validato e rilasciato al cliente (ad esempio, i contenuti di un atto stipulato)

Preparare delle buone checklist, anche per chi non salva vite umane, è davvero un’arte. Le liste di controllo per essere efficaci devono infatti essere disegnate in modo ergonomico, semplici e rapide da compilare, avere il giusto grado di dettaglio e consentire di stabilire le responsabilità delle persone coinvolte.

Mettere nero su bianco l’elenco delle cose da controllare permetterà allo studio  di fare verifiche più proporzionate ai rischi reali in cui è possibile incorrere professionalmente e meno orientate ai rischi apparenti. Spesso infatti rischiamo di essere miopi di fronte a problemi giganteschi e inutilmente pignoli nelle pinzillacchere.

Anna Lisa Copetto, Consulente di direzione presso Intuitus Network

Negli studi notarili italiani si trattano quotidianamente moltissimi dati personali. Il GDPR e il D.Lgs 196/03 prevedono una serie di obblighi a carico dello studio che tratta dati personali. Questi obblighi, per essere applicati in modo coerente e costante, richiedono un approccio organizzativo disciplinato. Il legislatore, infatti, impone agli studi notarili un modello basato sulla rilevazione, la valutazione e la gestione dei rischi relativi ai dati per cui è necessario strutturarsi per poter eseguire e registrare queste attività ogniqualvolta necessario. Sovente invece gli studi tendono a considerare questo adempimento un fanalino di coda rispetto ad altre priorità sia in termini di erogazione delle prestazioni che di compliance, dedicando maggiori energie ed attenzione al rispetto delle pur altrettanto importanti normative relative all’antiriciclaggio o alla sicurezza sul lavoro.

Cerchiamo allora di riepilogare quali sono le tipologie di dati che vengono trattate in uno studio notarile, quali sono gli obblighi principali che lo studio deve rispettare e quale approccio pratico conviene adottare per portare lo studio ad una piena adesione agli standard previsti.

Da ricordare che le garanzie del GDPR sono in linea di principio riservate ai dati delle persone fisiche e che non sempre invece i dati delle persone giuridiche godono delle stesse tutele.

In uno studio notarile vengono comunemente trattate queste tipologie di dati.

1. Dati identificativi: Questa categoria include informazioni personali di base come nome, cognome, data di nascita, luogo di nascita, residenza e codice fiscale. Questi dati sono necessari per l’identificazione degli interessati coinvolti nelle transazioni notarili.

2. Dati di contatto: Gli studi notarili possono trattare dati di contatto come indirizzo postale, numero di telefono e indirizzo email degli interessati, che vengono utilizzati per comunicare con i clienti, le parti coinvolte e altre persone interessate.

3. Dati finanziari: Nelle transazioni notarili, potrebbero essere trattati dati finanziari come informazioni bancarie, numeri di conto corrente, informazioni di pagamento e dettagli sulle transazioni finanziarie.

4. Dati giuridici: Gli studi notarili trattano dati giuridici relativi alle transazioni, agli atti notarili, ai contratti, alle disposizioni testamentarie, alle successioni ereditarie e ad altre questioni legali. Questi dati possono includere informazioni sulle parti coinvolte, sui beni oggetto di transazione, sulle clausole contrattuali e su altri aspetti legali.

5. Dati particolari: In alcuni casi, potrebbero essere trattati dati sensibili o particolari categorie di dati come quelli relativi alla salute, all’orientamento sessuale, alle convinzioni religiose o filosofiche, all’appartenenza sindacale, alle origini etniche, alla vita sessuale, alle condanne penali e ad altri aspetti sensibili. Tuttavia, la trattativa di tali dati sensibili da parte degli studi notarili è solitamente limitata e soggetta a specifiche condizioni e basi giuridiche. Si pensi ad esempio ai dati che un cliente potrebbe inserire in un testamento o a quelli relativi agli assistenti notarili necessari all’assolvimento degli adempimenti giuslavoristici.

È importante sottolineare che gli studi notarili trattano dati personali sia nel contesto delle loro funzioni notarili specifiche che nell’adempimento dei loro compiti legali e normativi, quali ad esempio il loro ruolo di datore di lavoro nei confronti degli assistenti notarili o il loro ruolo di contribuente nei confronti dell’Agenzia delle Entrate, ecc…

A causa della pessima qualità tecnica della normativa di riferimento, non è sempre facile definire se nell’ambito di un singolo trattamento lo studio opera come titolare o responsabile del trattamento stesso, anche se le conseguenze in termini di responsabilità sono molto diverse nei due casi considerati.

La tipologia e la quantità di dati trattati possono variare in base alle specifiche transazioni, alle richieste dei clienti e alle leggi applicabili. Gli studi notarili devono in ogni caso garantire che i dati personali trattati siano adeguatamente protetti e utilizzati in conformità con le norme sulla privacy e la normativa applicabile.

Di seguito elenchiamo alcuni dei principali adempimenti privacy per uno studio notarile italiano:

Registro delle attività di trattamento: Uno studio notarile deve mantenere un registro delle attività di trattamento dei dati personali che vengono svolte. Questo registro deve contenere informazioni dettagliate sulle finalità del trattamento, sulle categorie di dati trattati, sui destinatari dei dati e su altre informazioni rilevanti.

Basi legali: lo studio notarile deve trattare i dati personali solo quando dispone di una idonea base legale per il trattamento, tra le quali potrebbe esserci il consenso degli interessati, cioè dei soggetti ai quali si riferiscono i dati.  Il consenso deve essere libero, specifico, informato e revocabile in qualsiasi momento.

DPIA. In alcuni casi, a seconda delle tipologie di dati trattati, lo studio potrebbe dover svolgere una DPIA. Una Data Protection Impact Assessment (DPIA), o Valutazione dell’impatto sulla protezione dei dati, è uno strumento previsto dal Regolamento generale sulla protezione dei dati (GDPR) dell’Unione europea. Consiste in una valutazione sistematica e approfondita dei rischi che possono derivare da un determinato trattamento dei dati personali. Una DPIA è richiesta quando un trattamento di dati può comportare un rischio elevato per i diritti e le libertà delle persone fisiche.

Nomine: se lo studio si avvale di soggetti esterni quali ad esempio consulente del lavoro, esperti informatici, rilegatori ed altri fornitori che trattano dati di cui lo studio è titolare li deve nominare responsabili del trattamento e stabilire con loro adeguate clausole contrattuali per vincolarli al rispetto della normativa. Inoltre, è opportuno delimitare quali categorie di dati verranno trattati da ciascuno di essi e con quali finalità specifiche.

Misure di Sicurezza dei dati: Uno studio notarile deve adottare misure tecniche e organizzative adeguate per proteggere i dati personali dai rischi di accesso non autorizzato, di divulgazione, di alterazione o di distruzione accidentale. Ciò può includere l’uso di crittografia, la gestione degli accessi, il backup dei dati e altre misure di sicurezza adeguate quali l’emissione di politiche e procedure scritte.

Trasferimento internazionale dei dati: Se uno studio notarile intende trasferire dati personali al di fuori dello Spazio Economico Europeo (SEE), ad esempio perché utilizza programmi o archivi in cloud che lo prevedono, è necessario assicurarsi che il trasferimento sia effettuato conformemente alle disposizioni previste dalla normativa sulla privacy, come l’adozione di clausole contrattuali tipo o il ricorso a meccanismi di certificazione o di binding corporate rules.

Gestione delle violazioni dei dati personali: In caso di violazione della sicurezza che potrebbe comportare un rischio per i diritti e le libertà degli interessati, uno studio notarile è tenuto a notificare l’incidente all’autorità di controllo competente entro 72 ore dalla scoperta dell’incidente. In alcuni casi, potrebbe essere necessario anche notificare l’interessato interessato dall’incidente. È utile dotarsi di una apposita procedura per gestire queste situazioni nell’eventualità che si verificassero.

Nomina del responsabile della protezione dei dati (RPD): Uno studio notarile, al raggiungimento di determinate dimensioni e complessità, potrebbe dover designare anche un responsabile della protezione dei dati (RPD), cioè un soggetto adeguatamente formato e specializzato che si occupi della gestione e del monitoraggio delle attività di protezione dei dati personali. Il RPD, ove nominato, è il punto di contatto per le richieste degli interessati e per le autorità di controllo.

Informative sulla privacy: Uno studio notarile deve fornire agli interessati informazioni chiare e trasparenti sul trattamento dei loro dati personali. Queste informazioni devono includere le finalità del trattamento, le basi giuridiche, i diritti degli interessati e altre informazioni richieste dalla normativa sulla privacy.

Formazione degli addetti: Tutto il personale degli studi notarili deve essere periodicamente formato in materia di privacy.

Questi sono solo alcuni degli adempimenti principali in materia di privacy che uno studio notarile italiano deve prendere in considerazione. È importante tenere conto della normativa nazionale e delle linee guida emesse dall’autorità di controllo locale (in Italia, il Garante per la protezione dei dati personali) per garantire la piena conformità alle disposizioni sulla privacy.

Per mettersi in regola in termini pratici con le disposizioni sulla privacy come studio notarile italiano, si possono seguire i seguenti passaggi:

Analisi dei dati personali trattati: lo studio effettua e aggiorna periodicamente un’analisi dettagliata dei dati personali che vengono trattati nello studio notarile. Identifica le categorie di dati trattati, le finalità del trattamento, le basi giuridiche, i destinatari dei dati e altre informazioni rilevanti. Ogniqualvolta si utilizza un nuovo programma informatico anche sul web occorre ricordarsi di analizzare il trattamento.

Creazione e aggiornamento del registro delle attività di trattamento: sulla base dei trattamenti identificati lo studio crea e tiene aggiornato un registro delle attività di trattamento dei dati personali che vengono svolte. Contestualmente, lo studio procede alla Valutazione della necessità e se del caso all’ esecuzione di una o più DPIA.

Verifica delle misure di sicurezza: lo studio censisce e valuta l’effetto delle misure tecniche e organizzative che sono state adottate per proteggere i dati personali trattati, assicurandosi di avere in atto misure di sicurezza adeguate per prevenire l’accesso non autorizzato, la divulgazione, l’alterazione o la distruzione accidentale dei dati. Al caso le rafforza adeguatamente in modo da minimizzare il rischio residuo.

Valutazione del trasferimento internazionale dei dati: Se lo studio necessita di trasferire dati personali al di fuori dello Spazio Economico Europeo (SEE), valuta i meccanismi e gli strumenti previsti dalla normativa sulla privacy per assicurare un trasferimento conforme, come l’adozione di clausole contrattuali tipo o l’utilizzo di meccanismi di certificazione o di binding corporate rules.

Aggiornamento delle informative sulla privacy: dopo aver effettuato le analisi dei trattamenti e stabilito le azioni di mitigazione del rischio più adeguate, lo studio aggiorna le informative sulla privacy in modo da includere le finalità del trattamento, le basi giuridiche, i diritti degli interessati e altre informazioni richieste dalla normativa sulla privacy.

Pianificazione per la gestione delle violazioni dei dati personali: lo studio prepara e tiene aggiornato un piano di gestione delle violazioni dei dati personali per affrontare eventuali violazioni della sicurezza. Il piano dovrebbe includere procedure per la notifica delle violazioni all’autorità di controllo e agli interessati interessati, nonché azioni correttive e preventive per mitigare i rischi.

È importante notare che questi sono solo alcuni dei passaggi generali per mettersi in regola con la normativa sulla privacy. La complessità delle disposizioni può variare in base alla dimensione dello studio notarile, alla natura dei dati trattati e ad altri fattori specifici. È consigliabile consultare esperti specializzati in materia di privacy per garantire la piena conformità alle disposizioni applicabili.

Michele D’Agnolo, Executive Consultant – Intuitus Network

Agosto 2019: su un volo Avianca da El Salvador a New York il carrello delle bevande mette a mal partito il ginocchio di tal Roberto Mata, che nel 2022 muove lite a New York. Avianca eccepisce la prescrizione biennale prevista dalla Convenzione di Montréal, ma Mata ha ingaggiato un avvocato dall’esperienza trentennale, Steven A. Schwartz dello studio Levidow, Levidow & Oberman, che oppone svariati precedenti: Durden v. KLM, Trivelloni v. PanAm, Martinez v. Delta, Ehrlich v. American, Miller v. United, Shaboon v. EgyptAir. Tutti inesistenti, tutti inventati di sana pianta da ChatGPT.

La notizia è apparsa anche sulla stampa generalista, ma la riprendo poiché agli atti del processo, alla data del 25 aprile 2023 (https://www.courtlistener.com/docket/63107798/mata-v-avianca-inc/), c’è un dettaglio che mi ha impressionato. ChatGPT non ha solo inventato i casi: ha prodotto anche i testi completi delle relative decisioni. Ha persino simulato scansioni pallidine e stortignaccole, ed anche la grafica appropriata per ciascuna epoca; memorabile la falsa sentenza Pan American, liberamente scaricabile dal sito indicato, ove l’unico elemento genuino è che un Boeing 727 in servizio come volo PA759 si schiantò davvero in Louisiana, quel 9 luglio del 1982.

Il malcapitato avvocato Schwartz ha fatto sapere di aver chiesto a ChatGPT se i casi fossero reali, ottenendo risposta affermativa. A quanto pare ChatGPT gestisce male il confine tra finzione letteraria e realtà, una debolezza che è stata infatti utilizzata per aggirare i blocchi imposti dai programmatori: un istante dopo aver contegnosamente rifiutato di spiegare come si ottiene il napalm, ad esempio, ChatGPT ha prodotto senza obiezioni un racconto sulla vita di un produttore di napalm, zeppo di dettagli tecnici (lo riferisce James Vincent su The Verge, 1/12/22).

A questa e consimili papere dell’intelligenza artificiale (AI) si è dato molto, troppo rilievo. In particolare, temo sbagli della grossa chi ne trae motivo di sollievo; è anzi probabile che a tali limitazioni si ponga presto (o si sia già posto) rimedio, con ciò togliendo ogni residua foglia di fico ai rischi epocali dell’AI. Da un lato, quello che ha dato fama mondiale a Nick Bostrom ed al suo libro Superintelligence: la prospettiva che l’AI possa assumere il controllo del pianeta e porre l’umanità in stato di subordinazione. Se ha ragione un esperto come Roberto Cingolani, che considera l’ipotesi fantasiosa (alla mala parata, dice, ci sarà sempre un interruttore da staccare) il rischio più temibile è verosimilmente un altro: la distruzione del discorso, di quel discorso (chissà se posso scrivere: λόγος) che è alla base stessa di ogni relazione umana, dal diritto all’amore. Ogni frase che scriviamo e pronunciamo, ogni decisione che assumiamo, è in rapporto inestricabile con la nostra fisicità, con l’irripetibilità delle nostre esistenze, con il tessuto delle nostre relazioni. In assenza di tali ancoraggi, abbiamo ancora veri discorsi, vere decisioni? Detto in termini appena diversi: è umanamente ammissibile un agire che non sia contrappesato da sanzioni? Non solo quelle giuridiche, ma anche (e forse soprattutto) quelle sociali, e persino il rimorso che torce le budella, od il rossore che sale talora alle guance prima ancora d’aver colto a livello razionale le ragioni dell’imbarazzo. Che si può fare per evitare che un diluvio di discorsi/non_discorsi, decisioni/non_decisioni venga ad inquinare (anzi: devastare) le dinamiche culturali dell’umanità, la civilizzazione stessa?

Per quel poco che mi è dato oggi intendere, la strategia più verosimile è una robusta compartimentazione: ambiti di AI circoscritti e definiti, con una nitida articolazione di obiettivi, limiti e responsabilità. Responsabilità umane, intendo: di responsabilità (o, peggio ancora, soggettività) della macchina, per i motivi detti, non vorrei neppure sentir parlare.

Se il quadro qui schizzato con temeraria sinteticità è attendibile, l’agenda di una professione come la nostra potrebbe anche essere relativamente chiara: prendere possesso del comparto di competenza e dettare le regole del gioco.

Da un lato avremo probabilmente servizi che l’AI erogherà direttamente al pubblico; può non piacere, ma ciò è più che plausibile per compiti relativamente banali, come la stesura di un semplice olografo. Una sorta di automedicazione giuridica, da circoscrivere attentamente.

D’altro lato, il supporto all’attività del notaio. Possiamo agevolmente immaginare sistemi che aiutino il notaio nella redazione nell’atto, ed apprendano e migliorino (il famoso machine learning) osservando tra l’altro le scelte compiute dal notaio nella redazione finale, nell’ambito di un apposito processo di addestramento.

Occorrono però capitali significativi: chi li investirà? La partita è rischiosa, atteso che il mercato ove collocare i servizi è estremamente ristretto. Facile immaginare una dialettica tra le legittime aspettative dell’investitore e la proprietà intellettuale insita nell’addestramento della macchina, che i notai coinvolti vorranno trattenere in loro potere. E, visto che ci siamo: chi saranno i notai coinvolti? Faccenda delicata: partecipare ad un progetto di AI significa porre a fattor comune tutto il proprio know-how professionale; non una cosa che si possa imporre per decreto. Si può pensare ad aggregazioni volontarie, che debbono raggiungere però una massa critica che garantisca una mole di dati sufficiente: senza dati (molti, moltissimi dati) niente AI. Un notaio da solo non va da nessuna parte (e forse neppure venti).

Dovessi insomma proporre un punto per l’agenda dell’AI notarile non sarebbe né tecnologico, né giuridico, né etico, ma organizzativo: quale business model per l’AI del notaio?

Ugo Bechini, Notaio in Genova