Digital Transformation επιχειρήσεων: Τι είναι και ποιος ο ρόλος του νομικού συμβούλου στις προκλήσεις που παρουσιάζονται

Μίνα Ζούλοβιτς, Partner ΖΟΥΛΟΒΙΤΣ ΚΟΝΤΟΓΕΩΡΓΟΥ ΔΙΚΗΓΟΡΙΚΗ ΕΤΑΙΡΕΙΑ, Μέλος Συμβουλευτικής Επιτροπής GR.EC.A

www.zklawfirm.gr

Digital transformation μιας επιχείρησης, πολύ συνοπτικά, σημαίνει μετατροπή μιας τυπικής διαδικασίας που εκτελούνταν στο φυσικό περιβάλλον ή με φυσικά μέσα σε ψηφιακή διαδικασία που διενεργείται πλέον στο άυλο ψηφιακό περιβάλλον και με εργαλεία ΙΤ (Information Technology) ή με το συνδυασμό φυσικού και ψηφιακού περιβάλλοντος/εργαλείων.

Τα εργαλεία IT είναι ποικίλα και μπορεί να διαφέρουν ουσιωδώς ανά περίπτωση, όπως π.χ. υπηρεσίες SaaS (Software-as-a-Service) ή PaaS (Platform-as-a-Service), εγκατάσταση νέου/ων ΙΤ συστήματος/ων στην επιχείρηση, υπηρεσίες cloud, συστήματα ΑΙ (Artificial Intelligence), IoT (Internet of Things) blockchain, κλπ.

Οι διαδικασίες αυτές μπορεί να αφορούν οποιαδήποτε από τις λειτουργίες μιας επιχείρησης. Ενδεικτικά μόνον αναφέρονται κάποιες εξ αυτών:

• Η διαδικασία με την οποία γίνονται οι παραγγελίες από τους προμηθευτές (π.χ. αντί να υπογράφονται χειρόγραφα οι συμβάσεις να αντικαθίστανται με ηλεκτρονικές υπογραφές ή και με υποβολή παραγγελιών μέσω πλατφορμών με αποδοχή όρων – tick the box)

• Η πώληση των προϊόντων ή υπηρεσιών της επιχείρησης (π.χ. όταν στα φυσικά κανάλια προστίθεται και ένα ή περισσότερα e-shops ή όταν οι πωλήσεις γίνονται και μέσω μιας πλατφόρμας τρίτου, μέσω app ή και τηλεφωνικά κλπ)

• Η πρόσληψη εργαζομένων (π.χ. με διαχείριση βιογραφικών μέσω ηλεκτρονικών πλατφορμών, η διενέργεια απλών ή ψυχομετρικών test  με ηλεκτρονικά μέσα ή ακόμη και χρήση ΑΙ συστημάτων για την επιλογή του κατάλληλου προσωπικού ή την αξιολόγησή του στην συνέχεια κατά την παροχή της υπηρεσίας κλπ)

• Η συλλογή, αποθήκευση και φύλαξη των δεδομένων (εταιρικών πληροφοριών ή προσωπικών δεδομένων πελατών ή εργαζομένων) σε ψηφιακά μέσα (π.χ. σε servers εντός της επιχείρησης, σε servers τρίτων, στο cloud – private ή public κλπ)

• H ψηφιοποίηση των συστημάτων της αποθήκης (ERP – Enterprise Resource Planning) ή του πελατολογίου (CRM – Customer Relationships Management)

• Η χρήση ψηφιακών μέσων για την προώθηση των προϊόντων και των υπηρεσιών που πωλεί η επιχείρηση (λ.χ. διαφήμιση στα social media ή/και με τη χρήση adtech providers, αξιοποίηση συστημάτων ΑΙ για την επεξεργασία δεδομένων και τη στατιστική ανάλυση και παρακολούθηση της συμπεριφοράς των πελατών, η συνεργασίες με τρίτες επιχειρήσεις ή πλατφόρμες μέσω affiliate marketing κλπ)

Κάθε μετατροπή μιας διαδικασίας της επιχείρησης σε «ψηφιακή» λειτουργία βάσει και της τεχνολογικής λύσης που κάθε φορά επιλέγεται συνεπάγεται ασφαλώς και αλλαγές ή νέες συνθήκες στην νομική διαχείριση, αφού διαφοροποιούνται κατά πολύ και το νομικό πλαίσιο στο οποίο θα ενταχθεί εφεξής η νέα ψηφιακή λειτουργία, αλλά και το αντίστοιχο νομικό ρίσκο το οποίο αναλαμβάνει.

Οι νομικές αυτές προκλήσεις που καλείται, λοιπόν, να διαχειριστεί σήμερα ο νομικός σύμβουλος μιας επιχείρησης, επιγραμματικά θα μπορούσαν να διαχωριστούν σε τρεις βασικούς «πυλώνες»:

1) στρατηγική προετοιμασία για τη μετάβαση της επιχείρησης σε μια ψηφιακή διαδικασία

2) υλοποίηση των απαραίτητων νομικών εγγράφων/πολιτικών που θα συνοδεύουν/θωρακίζουν την συγκεκριμένη διαδικασία και

3) αντιμετώπιση κρίσεων /επίλυση διαφορών

Ειδικότερα:

1) Ως προς την στρατηγική προετοιμασία για τη μετάβαση της επιχείρησης σε μια ψηφιακή διαδικασία:

Κατά τον σχεδιασμό της νέας ψηφιακής διαδικασίας, σε όποιο τμήμα της επιχείρησης και αν εντάσσεται αυτή, θα πρέπει να εξετάζονται και τα νομικά θέματα που μπορεί να ανακύψουν με στόχο:

• να λαμβάνει γνώση η επιχείρηση
• να μπορεί να αξιολογήσει το ρίσκο της
• να θέσει τις κατάλληλες προδιαγραφές για τα εργαλεία ΙΤ που θα αγοράσει και
• να γνωρίζει καλά τις επιλογές της

Είναι εμφανές πως η ανάλυση των νομικών ρίσκων είναι σημαντική ήδη από το στάδιο της στρατηγικής προετοιμασίας καθώς σχετίζεται πάρα πολύ στενά με τους ίδιους τους στόχους / KPIs (Key Performance Indicators) που έχουν τεθεί για την συγκεκριμένη διαδικασία. Αναλόγως του νομικού ρίσκου που επιθυμεί να αναλάβει, η επιχείρηση θα πρέπει να λάβει υπόψη και ορισμένους τεχνικούς ή νομικούς περιορισμούς, καθώς και τυχόν πρόσθετα εχέγγυα που θα θελήσει να λάβει σε σχέση με το εκάστοτε εργαλείο/διαδικασία.

ΠΑΡΑΔΕΙΓΜΑΤΑ:

Οι τεχνικοί και νομικοί περιορισμοί καθώς και τα εχέγγυα που συνοδεύουν ένα εργαλείο ΙΤ που επιλέγεται για την υποστήριξη του ψηφιακού μετασχηματισμού, επιδρούν και στον οικονομικό αντίκτυπο της μετάβασης στο ψηφιακό περιβάλλον. Ορισμένα παραδείγματα:

• Οι περιορισμοί στον χρόνο αποθήκευσης των προσωπικών δεδομένων που επιβάλλει ο GDPR (General Data Protection Regulation), επηρεάζουν τον «χώρο» φύλαξης που είναι απαραίτητος για να φυλάσσονται τα δεδομένα αυτά (λ.χ. μια σύντομη ή πιο μακρά προθεσμία αποθήκευσης που είναι υποχρεωτική εκ του νόμου μειώνει ή αυξάνει αντίστοιχα και την ανάγκη για μεγαλύτερο αποθηκευτικό χώρο. Άρα τα specifications για το ΙΤ εργαλείο που πρέπει να προμηθευτεί η επιχείρηση θα πρέπει να είναι ανάλογα της ανωτέρω απαίτησης).
• Η δυνατότητα μιας επιχείρησης να διενεργεί ηλεκτρονικές πωλήσεις μπορεί να υπόκειται σε περιορισμούς, οι οποίοι θα πρέπει να υποβληθούν σε νομική ανάλυση ήδη κατά τον στρατηγικό σχεδιασμό. Λ.χ. στην περίπτωση που μια επιχείρηση είναι διανομέας – μέλος ενός δικτύου διανομής, ενδέχεται ο προμηθευτής του δικτύου να της έχει επιβάλει κάποιον περιορισμό ως προς τις online πωλήσεις της (π.χ. να επιτρέπει τη διενέργεια πωλήσεων μόνον μέσω της δικής του πλατφόρμας). Αντίστροφα, ένας κατασκευαστής που διατηρεί ένα δίκτυο μεταπωλητών και επιθυμεί να πωλεί (και) ο ίδιος τα προϊόντα του απευθείας, χωρίς τη μεσολάβηση των μεταπωλητών του, ενδέχεται να περιορίζεται σε αυτό λόγω των εμπορικών συμφωνιών του με τους υφιστάμενους μεταπωλητές του – π.χ. μπορεί να μην έχει το δικαίωμα να πωλήσει σε συγκεκριμένες χώρες λόγω του ότι έχει παραχωρήσει σε ορισμένους μεταπωλητές αποκλειστικότητα ως προς την πώληση προϊόντων στις συγκεκριμένες χώρες, η οποία θα διασαλευτεί εφόσον πωλεί και αυτός τα προϊόντα του στις χώρες αυτές. Θα πρέπει, λοιπόν, να σχεδιαστεί και νομικά το πώς μπορούν να αντιμετωπιστούν αυτοί οι νομικοί περιορισμοί ή να επιλυθούν τυχόν άλλα νομικά θέματα όπως π.χ. αθέμιτου ή ελεύθερου ανταγωνισμού.
• Η επιλογή του κατάλληλου τύπου/εργαλείου ηλεκτρονικής υπογραφής εξαρτάται από την αποδεικτική του δύναμη, δηλαδή τη νομική επάρκεια του εργαλείου ως προς την δυνατότητα του να αποδείξει ότι μια σύμβαση υπογράφηκε ή ότι ένα τιμολόγιο εκδόθηκε και έγινε αποδεκτό προσηκόντως, ώστε να ευσταθεί η δικαστική επιδίωξη των επιδιώξεων της επιχείρησης έναντι τρίτων (αντισυμβαλλόμενων, οφειλετών, κλπ). Πρέπει, δηλαδή, να εντοπιστεί ποια είναι η ηλεκτρονική υπογραφή που συνάδει με τον καλύτερο δυνατό τρόπο με την φύση της σύμβασης που υπογράφεται κάθε φορά (π.χ. σύμβαση εργασίας, σύμβαση αγοράς προϊόντων από τους προμηθευτές, σύμβαση πώλησης προϊόντων προς πελάτες κλπ). Αρκεί ένα ψηφιακό εργαλείο να καλύψει όλες τις ανωτέρω περιπτώσεις ή απαιτούνται περισσότερες επιλογές/δυνατότητες;

Αναλόγως, άρα και την διαδικασία που «ψηφιοποιείται» πρέπει να διερευνώνται και να σταθμίζονται πάντοτε ad hoc τυχόν οι νομικές παράμετροι, τα διαθέσιμα εχέγγυα, αλλά και τα ρίσκα που θα πρέπει να ληφθούν υπόψη από τους business owners με στόχο τον βέλτιστο δυνατό, ασφαλέστερο και cost efficient, «σχεδιασμό» της διαδικασίας, με την ταυτόχρονη επιλογή της κατάλληλης τεχνολογικής λύσης / εργαλείου ΙΤ που δύναται να ανταποκριθεί καλύτερα στις ανάγκες της επιχείρησης. Η επιλογή εργαλείων που δεν ανταποκρίνονται σε συγκεκριμένες νομικές παραμέτρους που διέπουν μια λειτουργία της επιχείρησης ή η επιλογή μιας νέας τεχνικής λύσης μη συμβατής με τις τεχνικές απαιτήσεις / διαδικασίες του υφιστάμενου συστήματός της, είναι πολύ πιθανό να οδηγήσουν σε περιττά έξοδα, καθώς η επιχείρηση θα αναγκαστεί αργά ή γρήγορα να τα εγκαταλείψει. Κάτι τέτοιο συνεπάγεται αφενός επιπλέον κόστος κατά την υλοποίηση των πρωτοβουλιών ψηφιακού μετασχηματισμού, και αφετέρου μεγάλες καθυστερήσεις ως προς την επίτευξη των στόχων της επιχείρησης.

2) Ως προς την υλοποίηση των απαραίτητων νομικών εγγράφων/πολιτικών που θα συνοδεύουν/θωρακίζουν την συγκεκριμένη διαδικασία

Αφού σταθμίσει η επιχείρηση τα ανωτέρω και λάβει τις ενημερωμένες αποφάσεις της, ο νομικός σύμβουλος καλείται να τις υλοποιήσει με τα απαραίτητα νομικά έγγραφα και διαδικασίες νομιμότητας που τυχόν απαιτούνται, όπως όλως ενδεικτικά:

ΠΑΡΑΔΕΙΓΜΑΤΑ:

• να συντάξει, να διαπραγματευτεί και να θέσει προς υπογραφή τις απαραίτητες συμβάσεις που θα περιλαμβάνουν και τις απαραίτητες συμβατικές ρήτρες που θα διασφαλίζουν την υλοποίηση της ψηφιακής διαδικασίας όπως εν τέλει έχει σχεδιαστεί (π.χ. προσθήκη όρων στις συμβάσεις εργασίας για την διενέργεια τηλεργασίας και την χρήση των τηλεπικοινωνιακών μέσων που παρέχει η επιχείρηση, αναθεώρηση των συμβάσεων franchise / διανομής / μεταπώλησης που να καθορίζουν τους όρους με τους οποίους μπορούν / επιτρέπεται να γίνεται η πώληση online, διαμόρφωση των όρων μιας πλατφόρμας διενέργειας παραγγελιών από προμηθευτές κλπ)
• να συντάξει τις πολιτικές χρήσης και προστασίας δεδομένων των νέων συστημάτων που εγκαθίστανται για να αναρτηθούν στα ηλεκτρονικά μέσα της επιχείρησης (εσωτερικά ή και προς τρίτους – π.χ. σύνταξη ενημερωτικών όρων ιστοσελίδας της επιχείρησης που παρουσιάζει γενικές πληροφορίες για αυτή ή/και ενημερώσεις προς τους επενδυτές / μετόχους της, σύνταξη των όρων εξ’ αποστάσεως πώλησης των προϊόντων ή των υπηρεσιών της, σύνταξη των όρων των loyalty προγραμμάτων της ή της συμμετοχής πελατών σε διαγωνισμούς και προνόμια, σύνταξη των όρων χρήσης μιας πλατφόρμας για τους εργαζόμενους της κλπ.)
• να συντάξει ή να συμμετέχει στην σύνταξη πολιτικών διαχείρισης περιστατικών ή/και υλοποίησης διαδικασιών που απαιτούνται από το νόμο, όπως π.χ. παροχή ενημερώσεων, λήψη αδειών από αρμόδιους φορείς, λήψη μέτρων και δημιουργία εσωτερικών διαδικασιών για την διερεύνηση καταγγελιών πελατών / καταναλωτών ή την διαχείριση αιτημάτων υποκειμένων προσωπικών δεδομένων, προετοιμασία για την αντιμετώπιση περιστατικών cybersecurity κλπ.

Συνεπώς, ο νομικός σύμβουλος πρέπει πλέον να είναι ενήμερος όχι μόνο ως προς τις ρυθμιστικές και νομικές απαιτήσεις που διέπουν τη λειτουργία της επιχείρησης λόγω του αντικειμένου της δραστηριότητάς της, αλλά και ως προς τις νομικές απαιτήσεις λόγω της δραστηριοποίησής της στο ψηφιακό περιβάλλον (είτε εάν η επιχείρηση έχει κάποια διαδικτυακή παρουσία, κάνει χρήση ψηφιακών εργαλείων / υπηρεσιών ή πωλεί ψηφιακά προϊόντα / υπηρεσίες.

3) Ως προς την  αντιμετώπιση κρίσεων /επίλυσης διαφορών

Στο ψηφιακό περιβάλλον παρουσιάζονται πολλοί πιθανοί κίνδυνοι, τόσο ως προς την ίδια την επιχείρηση όσο και ως προς τους τρίτους που εμπιστεύονται τα προϊόντα και τις υπηρεσίες της ή συνεργάζονται άλλως μαζί της.

ΠΑΡΑΔΕΙΓΜΑΤΑ:

• Σημαντικότερος κίνδυνος όλων είναι αυτός που επηρεάζει το λεγόμενο “cybersecurity”. Ο όρος αυτός συνοψίζει ουσιαστικά την ασφάλεια ενός συστήματος από κάθε επιβλαβή πράξη ή παράλειψη που μπορεί να επηρεάσει την ομαλή λειτουργία της «ψηφιακής» διαδικασίας ως έχει σχεδιαστεί. Η επέλευση ενός τέτοιου κινδύνου, απαιτεί και την διαχείριση της κρίσης ή ακόμη και την επίλυση μιας «διαφοράς», είτε με κάποιον τρίτο που θα εγείρει αξιώσεις είτε με μια αρμόδια αρχή που θα αποφασίσει να αποδώσει ευθύνες και να επιβάλει πρόστιμο στην επιχείρηση.
• Ταυτόχρονα, υφίστανται και άλλες πολλές περιπτώσεις πιθανής διαχείρισης ενός νομικού ζητήματος/κρίσεως, όπως ένα περιστατικό ασφαλείας στα προσωπικά δεδομένα ή μια καταγγελία ενός καταναλωτή στο πλαίσιο online αγορών ή η καταγγελία για χρήση περιεχομένου που προσβάλλει την πνευματική ιδιοκτησία τρίτου κλπ.

Οι νέες νομοθετικές εξελίξεις στην Ευρώπη και στην Ελλάδα προβλέπουν, εξάλλου, ούτως ή άλλως, την υιοθέτηση εσωτερικών ελεγκτικών μηχανισμών από τις επιχειρήσεις, αναλόγως και της φύσης των δραστηριοτήτων τους και της κατηγορίας στην οποίαν δραστηριοποιούνται όπως λ.χ. ο ορισμός DPO (Data Protection Officer) για τα προσωπικά δεδομένα, ο ορισμός εσωτερικής ομάδας και διαδικασίας διαχείρισης καταγγελιών και ο ορισμός Διαμεσολαβητών, όπως προβλέπεται από τους Κανονισμούς Platform to Business (P2B, 2019/1150/EU) και Digital Services Act (DSA, 2022/2065/EU), ο ορισμός εσωτερικής ομάδας κυβερνοασφάλειας (Οδηγία NIS 2 – Network and Information Systems Directive 2022/2555/EU) καθώς και πολλές άλλες.

Οι ως άνω ομάδες/πρόσωπα είθισται να συνεπικουρούνται και από τους νομικούς συμβούλους των επιχειρήσεων στην διαχείριση των κρίσεων, οι οποίοι θα πρέπει να συμβουλεύσουν για τον βέλτιστο τρόπο νομικής διαχείρισης εκάστοτε κρίσης ή συλλογής στοιχείων για την αντιμετώπισης της, καθώς και (εφόσον απαιτηθεί) να παρασταθούν ενώπιον των αρμόδιων αρχών για να υπερασπιστούν την επιχείρηση και τις διαδικασίες της.

Η διαχείριση όλων των ανωτέρω «πυλώνων» απαιτεί σε αρκετές περιπτώσεις την ύπαρξη εξειδικευμένης γνώσης ως προς την ειδικότερη νομοθεσία που διέπει το ψηφιακό περιβάλλον, αλλά και την κατανόηση του τρόπου λειτουργίας των εκάστοτε τεχνολογικών εφαρμογών που προτείνονται από την «business» ομάδα της επιχείρησης για την ψηφιοποίηση των διαδικασιών˙ έτσι καθίσταται δυνατή η στάθμιση του κινδύνου και η υλοποίηση των απαραίτητων ενεργειών για την θωράκιση του οργανισμού. Άρα, απαιτείται ταχύτητα, που συνάδει με την νέα ψηφιακή εποχή, και ασφάλεια, που συνάδει με την ανάγκη των επιχειρήσεων να κρατούν χαμηλά το ρίσκο τους – απαιτήσεις που θα πρέπει να καλύπονται από τους νομικούς συμβούλους που συνδράμουν την επιχείρηση στην μετάβασή της.

Μίνα Ζούλοβιτς

ICT & Data Privacy Law ExpertΕταίρος Δικηγορική Εταιρεία Ζούλοβιτς-Κοντογεώργου