-Articolo del Dr. Giuseppe Virgallita-  Il  proliferare di dati, spesso anche in maniera smodata, dovuto al crescente emergere di nuove tecnologie, metodologie ed opportunità di business, ci pone davanti al delicato problema della privacy. L’analisi e la gestione dei Big Data comporta, infatti, notevoli criticità dal punto di vista del trattamento dei dati personali e della tutela della riservatezza. Affrontare il fenomeno dei Big Data dal punto di vista giuridico significa approfondire le problematiche relative al trattamento dei dati personali, sempre più preziosi come “diamanti” e sempre più a rischio. Questo rapporto fra Big Data e privacy non è affatto semplice ed il Regolamento UE 2016/679 (GDPR), ufficialmente in vigore in Italia dal 25 maggio 2018, ha modificato e reso in parte ancor più complesso lo scenario a livello europeo.

Preliminarmente è necessario capire cosa si intenda con il termine Big Data. Secondo la definizione data dal Gruppo di Lavoro dell’Art. 29, definizione peraltro assai generica, i Big data altro non sono che “un insieme di un gran numero di operazioni di trattamento dati”. Nello specifico, la crescita a dismisura di questo enorme patrimonio informativo può comportare notevoli rischi per la tutela e la riservatezza dei dati trattati. Da un punto di vista prettamente aziendale, questo fenomeno implica che i benefici derivanti dall’utilizzo di questa “grande mole di dati” possa essere sfruttata solo a condizione che siano adeguatamente soddisfatte e rispettate le aspettative degli utenti e che sia garantita, in maniera del tutto efficiente, la tutela della privacy. Il Gruppo di Lavoro “Art. 29” ha affermato, altresì, che ai Big Data si applicano tutti i principi fondamentali ispiratori delle normative vigenti in materia di privacy, ma è di palmare evidenza che le caratteristiche intrinseche ed estrinseche dei Big Data richiedano l’adozione di differenti modalità di applicazione dei suddetti principi, al fine di renderli ancor più efficaci, efficienti e adeguati. La logica dei Big Data, ad esempio, si basa sull’accumulo massiccio di dati, mentre il principio di conservazione dei dati per tempi determinati, definiti e strettamente necessari, appare del tutto anacronistico con questa logica.

Fatte queste doverose premesse, occorre capire quali dati personali dobbiamo utilizzare per realizzare un “progetto” di Big Data. Innanzitutto, bisogna fornire una definizione di dato personale e in questo ci aiuta il Regolamento UE 2016/679 (GDPR) che definisce dato personale “qualsiasi informazione riguardante una persona fisica identificata o identificabile”.

Nello specifico, la Foundation for Accountability Information distingue quattro tipologie di dati personali:

• Provided Data, forniti consapevolmente e volontariamente dagli individui (ad esempio, la compilazione di un modulo/questionario on line);
• Observed Data, raccolti in maniera automatica (ad esempio, dati raccolti tramite cookie o sistemi di videosorveglianza collegati al riconoscimento facciale);
• Derived Data, prodotti o derivati da altri dati in modo del tutto semplice e diretto (ad esempio, calcolando la redditività del cliente dal numero di visite ad un negozio, oppure facendo riferimento specifico agli oggetti acquistati);
• Inferred Data, prodotti utilizzando un metodo logico-analitico complesso, al fine di riuscire a trovare tutte le correlazioni possibili fra i set di dati e utilizzarli per categorizzare o profilare le persone (ad esempio, calcolare i punteggi di credito o predire lo stato di salute futuro di un soggetto). Questa tipologia di dati si basa su calcolo statistico di probabilità e può essere meno “certa e sicura” rispetto ai dati derivati.

Tutte le tipologie di dati sopra descritte, rientrano tutte nel più ampio “genus” di dati personali e, pertanto, devono essere trattate nel pieno rispetto della normativa sulla privacy, ai sensi del Regolamento UE 2016/679 (GDPR).

Big Data e Privacy: principali problemi normativi

Una volta inseriti nei sistemi, i dati contenuti negli strumenti di storage dei Big Data vengono letteralmente “persi di vista” ed il loro tracciamento diventa assai problematico. Questo determina un rischio elevato per il soggetto interessato, in quanto il Titolare del trattamento potrebbe utilizzarli per scopi e finalità totalmente diverse rispetto a quelle previste nelle informative e nei consensi raccolti. In particolare, il tema della informativa privacy e degli annessi moduli di raccolta del consenso è di fondamentale importanza, perché questi documenti devono essere costantemente adeguati e conformi ai principi normativi di riferimento. Inoltre, un’informativa privacy troppo vaga o lacunosa delle generalità del trattamento, determina la nullità del consenso prestato. Infine, giova ricordare che il gran numero delle fonti informative fa sì che i soggetti interessati abbiano molte difficoltà nella comprensione di come i dati vengono trattati ed integrati fra loro.

Anche le informazioni anonimizzate possono, talvolta, presentare notevoli problematiche. Tramite la fusione di diverse banche dati, infatti, si può riuscire a “re-identificare” un soggetto interessato anche attraverso informazioni all’apparenza anonime. Sovente, dunque, l’anonimizzazione dei singoli dati identificatori univoci non è sufficiente per impedire ed escludere la re-identificazione. Infine, gli algoritmi che vengono applicati nello studio e nell’analisi dei Big Data permettono di analizzare in modo autonomo ed automatizzato banche dati di notevoli dimensioni, anche nelle loro connessioni reciproche. Queste procedure di analisi generano nuove informazioni e assai di frequente nuovi dati personali. Per questi motivi, è essenziale che chi intende operare sui e/o con i Big Data, consideri il tema della protezione dei dati personali sin dalla fase iniziale di un progetto, attraverso la preventiva interazione di criteri in materia di tutela, garanzia, custodia e protezione dei dati (Privacy by Design).

Dinanzi ad un quadro così complesso, le Autorità mondiali di protezione dei dati, al fine di tutelare il più possibile i diritti dei soggetti interessati al trattamento, hanno ritenuto opportuno raccomandare alle aziende delle linee guide, delle cc.dd. “best practices”, riassunte nel seguente elenco:

• trasparenza delle attività di raccolta dati, elaborazione, uso e la loro condivisione;
• consenso espresso degli interessati all’utilizzo dei propri dati per scopi di analisi o di profilazione;
• adozione di misure idonee a tutelare i dati ed a garantirne il controllo;
• utilizzo, quando possibile, di dati anonimi;
• limitazione delle finalità;
• accesso ai dati raccolti dei legittimi titolari;
• tutela del diritto degli interessati di correggere/modificare i propri dati;
• configurare le tecniche e le procedure relative ai Big Data, affinchè i relativi criteri vengano considerati sin dalla fase iniziale di un progetto e che la sicurezza dei dati sia garantita.

Una volta tracciate le linee guida, occorre tradurle in regole rigide da rispettare che possono essere così sintetizzate:

• liceità, correttezza e trasparenza: i dati personali devono essere trattati in modo del tutto lecito, corretto e trasparente nei confronti del soggetto interessato. Occorre sempre valutare se l’utilizzo dei dati personali sia nelle ragionevoli aspettative delle persone, considerando anche i metodi di raccolta e di analisi dei Big Data rendano complesso essere trasparenti sul trattamento dei dati personali;
• consenso: il trattamento è lecito solo se l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità. L’utilizzo dei Biga Data deve essere sempre bilanciato agli interessi del Titolare/Responsabile con quello degli interessati;
• limitazioni di finalità: i dati personali devono essere raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modalità compatibili con tali finalità;
• minimizzazione dei dati: i dati personali devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità. Occorre, perciò, predeterminare il tempo di mantenimento dei dati e prevedere sistemi di cancellazione;
• esattezza: i dati personali devono essere esatti e, qualora sia necessario, devono essere aggiornati.

A margine delle suddette regole, va ricordato che ogni soggetto interessato può esercitare in ogni momento e liberamente i propri diritti, fra i quali la cancellazione, l’accesso, la rettifica, la limitazione, l’opposizione, l’oblio.

Big Data e GDPR

Con l’avvento del Regolamento UE 2016/679 (GDPR) è cambiato totalmente l’approccio legislativo in materia di privacy, in quanto non sono più previste le “famose” misure minime di sicurezza ed ogni scelta viene demandata al singolo soggetto Titolare del trattamento. Ciascun Titolare, infatti, deve tener conto di molte varabili quali il costo di attuazione, contesto e la natura dell’oggetto, finalità del trattamento, rischi e gravità per i diritti e le libertà delle persone fisiche. Da una precisa ed attenta valutazione di tutti questi aspetti, il Titolare del trattamento deve mettere in atto misure tecniche ed organizzative idonee a garantire un livello di sicurezza coerente con il grado del rischio. Viene richiesto, altresì, che vengano adottate procedure per provare, verificare e valutare regolarmente l’efficacia delle misure tecniche-organizzative, al precipuo scopo di garantire la riservatezza e la sicurezza del trattamento.

Concludendo questa breve disamina sul rapporto fra Big Data e Privacy, notiamo subito che la raccolta dei Big Data pone evidenti problemi di sicurezza e riservatezza, a cui il GDPR ha cercato di dare una soluzione. Per molte aziende il GDPR viene visto come un ostacolo da aggirare in tutti modi, ma nel medio periodo si prospetta la grande opportunità, sia per le stesse aziende che per i comuni cittadini, di imparare a gestire ed a trattare i dati personali con maggior consapevolezza. I Big Data possono benissimo convivere con la Privacy, ma è di importanza fondamentale rispettare l’esplicita volontà del singolo fruitore/consumatore.

Fonte: Blog, osservatori.net digital innovationcb

Dr. Giuseppe Virgallita, abilitato all’esercizio della professione forense presso la Corte D’Appello di Roma, DPO UNI 11697:2017 Certified, docente/formatore in materia di salute, igiene e sicurezza sul lavoro (D. Lgs. n. 81/2008 e s.m.i.), si occupa di affari legali, compliance aziendale, qualità, sicurezza ed ambiente in una nota società