Big Data e Privacy

– Di Giuseppe Virgallita

Continua la serie su Big Data e privacy, nell’articolo precedente abbiamo dato un quadro storico dei Big Data e visto già la loro relazione con la privacy.

Continuiamo insieme l’approfondimento!

Il proliferare di dati, dovuto al crescente emergere di nuove tecnologie, metodologie ed opportunità di business, ci pone davanti al delicato problema della privacy.

L’analisi e la gestione dei Big Data comporta, infatti, notevoli criticità dal punto di vista del trattamento dei dati personali e della tutela della riservatezza. Dal punto di vista giuridico è necessario  approfondire le problematiche relative al trattamento dei dati personali, sempre più preziosi ma sempre più a rischio. Questo rapporto fra Big Data e privacy non è affatto semplice ed il Regolamento UE 2016/679 (GDPR), ufficialmente in vigore in Italia dal 25 maggio 2018, ha modificato e reso in parte ancor più complesso lo scenario a livello europeo.

Cosa sono i Big Data?

Secondo la definizione data dal Gruppo di Lavoro dell’Art. 29, i Big data sono “un insieme di un gran numero di operazioni di trattamento dati”. Nello specifico, la crescita a dismisura di questo enorme patrimonio informativo può comportare notevoli rischi per la tutela e la riservatezza dei dati trattati.

Da un punto di vista prettamente aziendale, questo fenomeno implica che i benefici derivanti dall’utilizzo di questa “grande mole di dati” possa essere sfruttata solo a condizione che siano adeguatamente soddisfatte e rispettate le aspettative degli utenti e che sia garantita, in maniera del tutto efficiente, la tutela della privacy. Il Gruppo di Lavoro “Art. 29” ha affermato, altresì, che ai Big Data si applicano tutti i principi fondamentali ispiratori delle normative vigenti in materia di privacy. è evidente inoltre che le caratteristiche intrinseche ed estrinseche dei Big Data richiedano l’adozione di differenti modalità di applicazione dei suddetti principi, al fine di renderli ancor più efficaci, efficienti e adeguati. La logica dei Big Data, ad esempio, si basa sull’accumulo massiccio di dati, mentre il principio di conservazione dei dati per tempi determinati, definiti e strettamente necessari, appare del tutto anacronistico con questa logica.

I dati personali utili a realizzare un progetto Big Data

A fornire una definizione di dato personale ci aiuta il Regolamento UE 2016/679 (GDPR) che definisce dato personale “qualsiasi informazione riguardante una persona fisica identificata o identificabile”.

Nello specifico, la Foundation for Accountability Information distingue quattro tipologie di dati personali:

• Provided Data: forniti consapevolmente e volontariamente dagli individui (ad esempio, la compilazione di un modulo/questionario on line);
• Observed Data: raccolti in maniera automatica (ad esempio, dati raccolti tramite cookie o sistemi di videosorveglianza collegati al riconoscimento facciale);
• Derived Data: prodotti o derivati da altri dati in modo del tutto semplice e diretto (ad esempio, calcolando la redditività del cliente dal numero di visite ad un negozio, oppure facendo riferimento specifico agli oggetti acquistati);
• Inferred Data: prodotti utilizzando un metodo logico-analitico complesso, al fine di riuscire a trovare tutte le correlazioni possibili fra i set di dati e utilizzarli per categorizzare o profilare le persone (ad esempio, calcolare i punteggi di credito o predire lo stato di salute futuro di un soggetto). Questa tipologia di dati si basa su calcolo statistico di probabilità e può essere meno “certa e sicura” rispetto ai dati derivati.

Le tipologie di dati descritte, rientrano tutte nel più ampio “genus” di dati personali e, pertanto, devono essere trattate nel pieno rispetto della normativa sulla privacy.

Big Data e Privacy: i principali problemi normativi

Una volta inseriti nei sistemi, i dati contenuti negli strumenti di storage dei Big Data vengono letteralmente “persi di vista”. Il rischio è che siano utilizzati per scopi e finalità diverse rispetto a quelle previste nelle informative e nei consensi raccolti.

Infatti, il tema della informativa privacy e degli annessi moduli di raccolta del consenso è di fondamentale importanza, perché questi documenti devono essere costantemente adeguati e conformi ai principi normativi di riferimento. Inoltre, un’informativa privacy troppo vaga o lacunosa delle generalità del trattamento, determina la nullità del consenso prestato. Infine, giova ricordare che il gran numero delle fonti informative fa sì che i soggetti interessati abbiano molte difficoltà nella comprensione di come i dati vengono trattati ed integrati fra loro.

E per quel che riguarda le informazioni anonimizzate

Anche le informazioni anonimizzate possono, talvolta, presentare notevoli problematiche. Tramite la fusione di diverse banche dati, infatti, si può riuscire a “re-identificare” un soggetto interessato anche attraverso informazioni all’apparenza anonime. Sovente, dunque, l’anonimizzazione dei singoli dati identificatori univoci non è sufficiente per impedire ed escludere la re-identificazione. Infine, gli algoritmi che vengono applicati nello studio e nell’analisi dei Big Data permettono di analizzare in modo automatizzato banche dati di notevoli dimensioni. Queste procedure di analisi generano nuove informazioni e assai di frequente nuovi dati personali. Per questi motivi, è essenziale che chi intende operare sui e/o con i Big Data, consideri il tema della protezione dei dati personali sin dalla fase iniziale di un progetto, attraverso la preventiva interazione di criteri in materia di tutela, garanzia, custodia e protezione dei dati.

Dinanzi ad un quadro così complesso, le Autorità di protezione dei dati, al fine di tutelare il più possibile i diritti dei soggetti interessati al trattamento, hanno ritenuto opportuno raccomandare alle aziende delle linee guide, riassunte nel seguente elenco:

• Trasparenza delle attività di raccolta dati, elaborazione, uso e la loro condivisione.
• Consenso espresso degli interessati all’utilizzo dei propri dati per scopi di analisi o di profilazione.
• Adozione di misure idonee a tutelare i dati ed a garantirne il controllo.
• Utilizzo, quando possibile, di dati anonimi.
• Limitazione delle finalità.
• Accesso ai dati raccolti dei legittimi titolari.
• Tutela del diritto degli interessati di correggere/modificare i propri dati
• Configurare le tecniche e le procedure relative ai Big Data

Le regole, un decalogo:

• Liceità, correttezza e trasparenza: i dati personali devono essere trattati in modo del tutto lecito, corretto e trasparente nei confronti del soggetto interessato. Occorre sempre valutare se l’utilizzo dei dati personali sia nelle ragionevoli aspettative delle persone, considerando anche i metodi di raccolta e di analisi dei Big Data.
• Consenso: il trattamento è lecito solo se l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità. L’utilizzo dei Biga Data deve essere sempre bilanciato agli interessi del Titolare/Responsabile con quello degli interessati.
• Limitazioni di finalità: i dati personali devono essere raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modalità compatibili con tali finalità.
• Minimizzazione dei dati: i dati personali devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità. Occorre, perciò, predeterminare il tempo di mantenimento dei dati e prevedere sistemi di cancellazione.
• Esattezza: i dati personali devono essere esatti e, qualora sia necessario, devono essere aggiornati.

A margine delle suddette regole, va ricordato che ogni interessato può esercitare in ogni momento e liberamente i propri diritti, fra i quali la cancellazione, l’accesso, la rettifica, la limitazione, l’opposizione, l’oblio.

Big Data e GDPR

Con l’avvento del Regolamento UE 2016/679 (GDPR) è cambiato totalmente l’approccio legislativo in materia di privacy. Non sono più previste infatti le “famose” misure minime di sicurezza ed ogni scelta viene demandata al singolo soggetto Titolare del trattamento.

Ciascun Titolare deve tener conto del costo di attuazione, contesto e la natura dell’oggetto, finalità del trattamento, rischi e gravità per i diritti e le libertà delle persone fisiche. Questi aspetti fanno sì che sia necessario attuare misure tecniche ed organizzative idonee a garantire un livello di sicurezza coerente con il grado del rischio. Inoltre, devono essere adottate procedure per provare, verificare e valutare regolarmente l’efficacia delle misure tecniche-organizzative, per garantire la riservatezza e la sicurezza del trattamento.

Concludendo, la raccolta dei Big Data pone problemi di sicurezza e riservatezza, a cui il GDPR ha cercato di dare una soluzione. Il GDPR, nel medio periodo, prospetta una grande opportunità, sia per le stesse aziende che per i comuni cittadini. Permette infatti di imparare a gestire ed a trattare i dati personali con maggior consapevolezza.

I Big Data possono benissimo convivere con la Privacy, ma è di importanza fondamentale rispettare l’esplicita volontà del singolo fruitore/consumatore.