Quale filo lega GDPR, Regolamento dell’Unione Europea in tema di dati personali e privacy, e Big Data, costituiti da grandi volumi di dati di natura diversa e non necessariamente personali, riferiti anche a gruppi e collettività?
Se è vero che il nocciolo, in entrambi i casi, è sempre il “dato”, è altrettanto vero che, per quanto riguarda i Big Data, siamo di fronte a un “nocciolo” complesso da trattare sotto il profilo della riservatezza e della privacy. E non solo per un fatto di quantità.
Indice dei contenuti
Big Data: i rischi per la tutela e la riservatezza
Per analizzarli, profilarli, individuare correlazioni tra loro ed estrarne valore – utile, ad esempio, a delineare gusti, preferenze e opinioni degli utenti – i Big Data vengono sottoposti a trattamenti automatizzati mediante algoritmi di Intelligenza Artificiale e altre tecniche evolute. E, una volta inseriti nei sistemi, diventano gocce nel mare.
Questo è il problema. Dati che vengono persi di vista dal titolare e dal responsabile del trattamento (rispettivamente, il titolare dell’azienda che raccoglie i dati – o chi per esso – e chi li gestisce) rappresentano un rischio enorme per la tutela della privacy degli utenti. Perché? Il titolare del trattamento potrebbe, non intenzionalmente, utilizzarli per finalità diverse rispetto a quanto esplicitato nelle informative sulla privacy fornite e ai consensi raccolti.
Anche quelle informazioni apparentemente anonime possono diventare un rischio: attraverso la fusione di banche dati diverse, infatti, si può arrivare a re-identificare un utente. Dunque, l’anonimizzazione non è di per sé sufficiente a garantire la riservatezza dei dati.
Per non parlare del fatto che gli algoritmi utilizzati nell’analisi dei Big Data sono in grado di individuare – in modo autonomo e automatizzato – le reciproche connessioni tra banche dati diverse, riuscendo, così, a generare nuove informazioni e nuovi dati personali.
Cosa prevede il GDPR per il corretto trattamento dei dati
Entrato in vigore il 25 maggio 2018, il GDPR – General Data Protection Regulation prevede che ogni trattamento dei dati avvenga nel rispetto di alcuni principi, tra i quali ricordiamo la liceità, la correttezza e la trasparenza del trattamento nei confronti dell’interessato; l’assicurare che eventuali trattamenti successivi non siano incompatibili con le finalità della raccolta dei dati; la conservazione dei dati per un tempo non superiore a quello necessario rispetto agli scopi per i quali è stato effettuato il trattamento.
Fulcro del principio di liceità, è il consenso al trattamento – esplicitamente espresso dall’interessato – che il titolare del trattamento deve sempre essere in grado di dimostrare e che risulta valido solo se, tra gli altri obblighi, all’interessato è stata resa una corretta informazione sul trattamento dei suoi dati personali
Dove, per “dati personali”, il GDPR intende qualsiasi informazione riguardante una persona fisica, identificata – o identificabile – attraverso nome, cognome, codice identificativo, dati relativi all’ubicazione, nonché relativi alle sue caratteristiche fisiche, fisiologiche, genetiche, psichiche, economiche, culturali o sociali.
Novità assoluta del Regolamento, il fatto di non considerare la normativa privacy pura teoria, ma nell’affidare a figure specifiche all’interno dell’azienda (titolare e responsabile del trattamento dei dati) il compito della concreta messa in pratica di quanto prescrive: tutte le decisioni in merito vengono demandate a loro, ai quali spetta la definizione di misure tecniche e organizzative atte a garantire un adeguato livello di sicurezza dei dati, sempre coerente con il grado di rischio rilevato.
GDPR e Big Data: due mondi solo apparentemente distanti
Di fronte alla linearità del GDPR e al suo occuparsi soltanto di dati personali, la quantità e la varietà proprie dei Big Data che, oltre che col singolo utente, hanno a che fare con gruppi e collettività, appaiono poco compatibili col Regolamento europeo.
Caposaldo del GDPR è l’informativa sulla privacy da sottoporre all’interessato, in cui vengono chiaramente comunicate le finalità dell’utilizzo dei dati prima ancora che questo abbia concretamente inizio.
Nell’ambito dei Big Data, invece, i dati vengono spesso trattati con scopi definiti solo in termini generali e le finalità non vengono, in realtà, individuate all’inizio.
Anche lo schema classico in base al quale il dato viene ottenuto direttamente dall’interessato dopo il suo consenso al trattamento, va a scontrarsi con il fenomeno dell’acquisizione massiva di dati personali tramite le app e il loro sistema di permessi.
Eppure, proprio il GDPR rappresenta uno strumento capace di indicare la direzione anche al settore dei Big Data. Infatti, pur non trattando direttamente di tale materia, rappresenta, ad oggi, il corpo di norme più completo e moderno in fatto di riservatezza dei dati e, attento alla difesa del diritto alla privacy di ciascuno e alla tutela delle informazioni che lo riguardano, è in grado di arginare gli abusi anche nel settore dei Big Data.
Resta, comunque, chiaro che la natura e le peculiarità proprie dei Big Data impongono l’adozione di differenti modalità di applicazione dei principi contenuti nel Regolamento UE. Vediamo quali.
Alcune regole per Big Data privacy compliant
Centrali, per la privacy dei Big Data, sono i temi dell’informativa da sottoporre agli interessati e i moduli di raccolta dei consensi, che devono essere in linea con i principi normativi: una descrizione non precisa, non corretta oppure generica delle finalità del trattamento dati invalida il consenso. E la molteplicità delle fonti informative fa sì che le persone interessate incontrino non poche difficoltà nel comprendere come i dati vengono integrati tra loro e come vengono trattati.
Importante, sempre per quanto riguarda i Big Data, è che si crei il giusto equilibrio tra gli obiettivi del titolare e del responsabile del trattamento dei dati e gli obiettivi degli interessati.
Per questi motivi, è fondamentale che chi intende avvalersi di Big Data consideri il tema della protezione dei dati molto prima di avviare la fase di raccolta delle informazioni.
A questo punto, subentra il concetto di Privacy by design, che richiama l’attenzione dei titolari del trattamento sull’esigenza che la protezione dei dati personali venga garantita fin dalla fase di progettazione della raccolta.
Questo significa che il titolare non sarà in regola con la normativa privacy se applicherà misure di protezione standard a tipologie diverse di trattamento. Ma, al contrario, dovrà sempre eseguire un’analisi specifica del singolo contesto di riferimento, tenendo conto delle modalità di impiego dei dati raccolti, delle finalità per cui verranno utilizzati in azienda, delle tecnologie impiegate e dei vari soggetti coinvolti nel loro trattamento.
