Skip to main content

Dati, dati, dati

Image
By
Ogni giorno persone, imprese, enti governativi, si districano tra crescenti moli di dati.
Tutti hanno bisogno dei dati di tutti, spesso “a priori”, “perché qualcosa ci si può sempre fare”.
In questo panorama, esistono però soggetti con strategie precise di data raising, concepite per avere un preciso termometro dei fenomeni e del sentire di alcune moltitudini, siano esse di “consumatori”, “elettori”, “assistiti” e quant’altro.

I dati, le analisi condotte su di essi, sono ormai intesi come elemento primario per generare “business” e ad essi viene ricondotto un notevole valore economico e sociale.
Oggi questo fenomeno, comunemente noto come big data, è ormai diventato strumento per un crescente numero di soggetti che, in forza di enormi quantità di dati, possono perseguire una qualche finalità con conseguenti e più o meno prevedibili, ricadute di natura legale.
All’atto pratico, la tutela di cui stiamo parlando è perseguibile in molti modi, alcuni apparenti, altri sostanziali ma è pur vero che chi persegue uno scopo dovrà minimizzare gli impatti “regolamentari” e “normativi” a favore della massimizzazione degli effetti del trattamento sulla propria attività (attenzione, non parliamo solamente di profitto).
Proprio dall’uso massivo dei dati e dalle analisi sempre più sofisticate degli stessi, emerge una  delle più “decise” minacce ai diritti riconosciuti all’individuo dall’articolo 8 della Carta dei diritti fondamentali dell’Unione Europea, cui corrisponde un fenomeno che possiamo definire di overcharging burocratico, che viene affrontato con formulette standard, financo con software e applicazioni che automatizzano ragionamenti tutt’altro che banali, e conducono a risultati di dubbia legittimità.
Come per ogni tema che abbia un qualche impatto legale, per capire la portata e l’impatto del fenomeno e poterlo affrontare nel modo migliore, occorre partire da una valutazione che analizzi: la legittimità dell’acquisizione delle informazioni, la coerenza tra le finalità per le quali sono state acquisite e le finalità per le quali verranno trattate, le misure di sicurezza applicate alle informazioni.
Occorre inoltre resistere alla tentazione di partire dalla fine ovvero dall’anonimizzazione dei dati.
A norma di diversi position papers l’anonimizzazione, come peraltro è logico che sia, è considerata un “trattamento ulteriore”, ciò significa che in presenza dei big data, procedere all’anonimizzazione è solo un passaggio di un processo molto più complesso.
L’attività di analisi deve consentire di valutare quali conseguenze può avere la “ricongiunzione” di database provenienti da fonti differenti. Si tenga infatti presente che nell’epoca del “riuso”, la possibilità di ottenere enormi quantità di informazioni, provenienti da molteplici sorgenti, è cresciuta esponenzialmente, a ciò si aggiunga che, spesso, i soggetti, magari pubbliche amministrazioni, che rilasciano “open-data” non hanno la possibilità o le competenze per preconizzare il possibile sfruttamento dei dati stessi in ottica di business.
Non dimentichiamo , infine, che il prodotto delle attività condotte sui big data può, a sua volta, generare servizi innovativi e meritevoli di essere protetti.

Dunque, quello dei big data è un fenomeno ingestibile?

No, come tutti i fenomeni i big data possono essere gestiti, forse il quadro normativo in cui sono maturati, non è metodologicamente pronto per tutelare le persone senza “compromettere gli usi e le applicazioni dei big data”, tuttavia si può contemperare l’ipertrofia burocratica con un approccio che tenga conto della necessaria efficacia dei processi coinvolti.
L’evidenza dell’esperienza ci dice che, ad oggi, si è ricorso ad un approccio in qualche modo “presuntivo” ossia si è cercato di dimostrare la sicurezza e la legittimità dei trattamenti operati, facendo sentire gli utenti “al sicuro”, al di là dell’effettività di questa sicurezza, prova ne è che, allorquando i meccanismi di tutela della riservatezza dei dati si sono “inceppati” oppure in sede ispettiva ad opera del Garante per la protezione dei dati personali, ci si è accorti che la “sicurezza” era largamente compromessa e le valutazioni di rischio, fuori fuoco, né emerso un quadro desolante di trascuratezza dei più elementari principi di data protection.
Viceversa, con un approccio razionale, orientato da quella privacy by design che è tanto ostentata negli ultimi tempi e seguendo alcune preziose indicazioni fornite in merito dalle best practices, si può ottenere l’abbattimento del rischio, in particolare, una volta appurata la legittima acquisizione delle informazioni e del relativo consenso e della coerenza con il principio di finalità, ci si dovrà porre l’interrogativo su come abbattere il rischio di riconoscimento dei singoli.
In questo senso un’analisi del contesto iniziale ripetuta sia con cadenza regolare sia in relazione con eventi e mutamenti che la possano influenzare, può consentire di prevenire fenomeni di controllo abusivo così come la reidentificazione degli interessati, ad esempio introducendo livelli crescenti di incertezza per cui un certo record possa essere attribuito a più persone, almeno 3 secondo i principi della deontologia statistica, oppure eliminando i requisiti che rendono atomistici i gruppi con caratteristiche comuni, o ancora affogando il profilo del singolo in un elevato numero di altri per i quali le caratteristiche dell’analisi non consentono di isolare un soggetto preciso. Quest’ultima attività può essere condotta lasciando integri i requisiti che fanno riferimento a una molteplicità di persone.
Sulla scorta di quanto sostenuto, si tenga, infine, presente che queste e altre misure possono consentire la convivenza dei big data con il vigente quadro di tutela della riservatezza ma l’approccio metodico è di gran lunga più efficace di molteplici misure adottate in modo disorganico.
Labels:

Comments

Post a Comment

Popular posts from this blog

Trattamento dati personali in un'epidemia, indicazioni per i datori di lavoro

By
Quello che segue è un estratto della dichiarazione del CEPD del 19 marzo 2020. Comitato europeo per la protezione dei dati - EDPB Estratto della “Dichiarazione sul trattamento dei dati personali nel contesto dell’epidemia di COVID-19” Adottata il 19 marzo 2020 [...] 1.2 Nel contesto lavorativo , il trattamento dei dati personali può essere necessario per adempiere un obbligo legale al quale è soggetto il datore di lavoro, per esempio in materia di salute e sicurezza sul luogo di lavoro o per il perseguimento di un interesse pubblico come il controllo delle malattie e altre minacce di natura sanitaria. Il RGPD prevede anche deroghe al divieto di trattamento di talune categorie particolari di dati personali, come i dati sanitari, se ciò è necessario per motivi di interesse pubblico rilevante nel settore della sanità pubblica (articolo 9.2, lettera i), sulla base del diritto dell'Unione o nazionale, o laddove vi sia la necessità di proteggere gli interessi vitali del...
Post a Comment
continua a leggere

Samsung, LG, Apple ... per molti di noi basta Zopo ...

By
Spesso ci si lascia trascinare dalle campagne di marketing, lasciando che queste offuschino la nostra capacità di giudizio. Questo gioca 2 volte a nostro sfavore: 1) a causa della sindrome da Geek, ci facciamo andare bene caratteristiche che non sono realmente innovative; 2) spendiamo i nostri soldi in modo non sempre coerente con le nostre esigenze. Un giro su questo sito ( www.zopomobile.it ) e sui diversi modelli proposti, può farci risparmiare un po' di soldi con, tutto sommato, poche rinunce. Direte voi: ma la qualità e l'innovazione delle Big non sono paragonabili . Allora io vi rispondo: ma il baraccone che sta mettendo su Samsung per poi cercare di venderci il Galaxy S4 con un processore 4 core quando qualcuno, nel mondo, allo stesso prezzo, avrà la versione octa core, non è indegno? Oppure i "re-styling" di Apple che aggiunge un centimetro di lunghezza all' iPhone 4s e lo rivende come "nuovo" ... valgono i 700 eu...
Post a Comment
continua a leggere

Telemarketing, call center e regole disattese

By
Oggi mi sono imbattuto in questa notizia . I Call center potranno, se passa questo emendamento, contare su un'ulteriore proroga (si veda il comma 6) del famigerato decreto (poi convertito in legge) che a febbraio 2009 concesse l'uso dei dati personali per attività di teleselling fino al dicembre 2009 introducendo questo articolo: "1-bis. I dati personali presenti nelle banche dati costituite sulla base di elenchi telefonici pubblici formati prima del 1º agosto 2005, sono lecitamente utilizzabili per fini promozionali sino al 31 dicembre 2009, anche in deroga agli articoli 13 e 23 del decreto legislativo 30 giugno 2003, n. 196, dai soli titolari del trattamento che hanno provveduto a costituire dette banche dati prima del 1º agosto 2005". Eppure nel marzo del 2009 il Garante, proprio per far fronte a quella cha aveva definito come una “selvaggia aggressione”, aveva promulgato un ulteriore provvedimento sfruttando i poteri riconosciuti alle autorità amministrative...
Post a Comment
continua a leggere