Ogni
giorno persone, imprese, enti governativi, si districano tra crescenti moli di
dati.
Tutti
hanno bisogno dei dati di tutti, spesso “a priori”, “perché qualcosa ci si può
sempre fare”.
In
questo panorama, esistono però soggetti con strategie precise di data raising, concepite per avere un
preciso termometro dei fenomeni e del sentire di alcune moltitudini, siano esse
di “consumatori”, “elettori”, “assistiti” e quant’altro.
I
dati, le analisi condotte su di essi, sono ormai intesi come elemento primario
per generare “business” e ad essi viene ricondotto un notevole valore economico
e sociale.
Oggi
questo fenomeno, comunemente noto come big
data, è ormai diventato strumento per un crescente numero di soggetti che,
in forza di enormi quantità di dati, possono perseguire una qualche finalità con
conseguenti e più o meno prevedibili, ricadute di natura legale.
All’atto
pratico, la tutela di cui stiamo parlando è perseguibile in molti modi, alcuni
apparenti, altri sostanziali ma è pur vero che chi persegue uno scopo dovrà
minimizzare gli impatti “regolamentari” e “normativi” a favore della
massimizzazione degli effetti del trattamento sulla propria attività
(attenzione, non parliamo solamente di profitto).
Proprio
dall’uso massivo dei dati e dalle analisi sempre più sofisticate degli stessi,
emerge una delle più “decise” minacce ai
diritti riconosciuti all’individuo dall’articolo 8 della Carta dei diritti
fondamentali dell’Unione Europea, cui corrisponde un fenomeno che possiamo
definire di overcharging burocratico,
che viene affrontato con formulette standard, financo con software e
applicazioni che automatizzano ragionamenti tutt’altro che banali, e conducono a
risultati di dubbia legittimità.
Come
per ogni tema che abbia un qualche impatto legale, per capire la portata e
l’impatto del fenomeno e poterlo affrontare nel modo migliore, occorre partire
da una valutazione che analizzi: la legittimità dell’acquisizione delle
informazioni, la coerenza tra le finalità per le quali sono state acquisite e
le finalità per le quali verranno trattate, le misure di sicurezza applicate
alle informazioni.
Occorre
inoltre resistere alla tentazione di partire dalla fine ovvero
dall’anonimizzazione dei dati.
A
norma di diversi position papers l’anonimizzazione, come peraltro è logico che
sia, è considerata un “trattamento ulteriore”, ciò significa che in presenza
dei big data, procedere all’anonimizzazione è solo un passaggio di un processo
molto più complesso.
L’attività
di analisi deve consentire di valutare quali conseguenze può avere la
“ricongiunzione” di database provenienti da fonti differenti. Si tenga infatti
presente che nell’epoca del “riuso”, la possibilità di ottenere enormi quantità
di informazioni, provenienti da molteplici sorgenti, è cresciuta
esponenzialmente, a ciò si aggiunga che, spesso, i soggetti, magari pubbliche
amministrazioni, che rilasciano “open-data” non hanno la possibilità o le
competenze per preconizzare il possibile sfruttamento dei dati stessi in ottica
di business.
Non
dimentichiamo , infine, che il prodotto delle attività condotte sui big data
può, a sua volta, generare servizi innovativi e meritevoli di essere protetti.
Dunque,
quello dei big data è un fenomeno ingestibile?
No,
come tutti i fenomeni i big data
possono essere gestiti, forse il quadro normativo in cui sono maturati, non è
metodologicamente pronto per tutelare le persone senza “compromettere gli usi e
le applicazioni dei big data”, tuttavia si può contemperare l’ipertrofia
burocratica con un approccio che tenga conto della necessaria efficacia dei
processi coinvolti.
L’evidenza
dell’esperienza ci dice che, ad oggi, si è ricorso ad un approccio in qualche
modo “presuntivo” ossia si è cercato di dimostrare la sicurezza e la
legittimità dei trattamenti operati, facendo sentire gli utenti “al sicuro”, al
di là dell’effettività di questa sicurezza, prova ne è che, allorquando i meccanismi
di tutela della riservatezza dei dati si sono “inceppati” oppure in sede
ispettiva ad opera del Garante per la protezione dei dati personali, ci si è
accorti che la “sicurezza” era largamente compromessa e le valutazioni di
rischio, fuori fuoco, né emerso un quadro desolante di trascuratezza dei più
elementari principi di data protection.
Viceversa,
con un approccio razionale, orientato da quella privacy by design che è tanto ostentata negli ultimi tempi e
seguendo alcune preziose indicazioni fornite in merito dalle best practices, si può ottenere
l’abbattimento del rischio, in particolare, una volta appurata la legittima
acquisizione delle informazioni e del relativo consenso e della coerenza con il
principio di finalità, ci si dovrà porre l’interrogativo su come abbattere il
rischio di riconoscimento dei singoli.
In
questo senso un’analisi del contesto iniziale ripetuta sia con cadenza regolare
sia in relazione con eventi e mutamenti che la possano influenzare, può
consentire di prevenire fenomeni di controllo abusivo così come la
reidentificazione degli interessati, ad esempio introducendo livelli crescenti
di incertezza per cui un certo record possa essere attribuito a più persone,
almeno 3 secondo i principi della deontologia statistica, oppure eliminando i
requisiti che rendono atomistici i gruppi con caratteristiche comuni, o ancora affogando
il profilo del singolo in un elevato numero di altri per i quali le
caratteristiche dell’analisi non consentono di isolare un soggetto preciso.
Quest’ultima attività può essere condotta lasciando integri i requisiti che
fanno riferimento a una molteplicità di persone.
Sulla scorta di quanto sostenuto, si tenga, infine,
presente che queste e altre misure possono consentire la convivenza dei big data con il vigente quadro di tutela
della riservatezza ma l’approccio metodico è di gran lunga più efficace di
molteplici misure adottate in modo disorganico.
Comments
Post a Comment