Skip to main content

Dati, dati, dati

Ogni giorno persone, imprese, enti governativi, si districano tra crescenti moli di dati.
Tutti hanno bisogno dei dati di tutti, spesso “a priori”, “perché qualcosa ci si può sempre fare”.
In questo panorama, esistono però soggetti con strategie precise di data raising, concepite per avere un preciso termometro dei fenomeni e del sentire di alcune moltitudini, siano esse di “consumatori”, “elettori”, “assistiti” e quant’altro.

I dati, le analisi condotte su di essi, sono ormai intesi come elemento primario per generare “business” e ad essi viene ricondotto un notevole valore economico e sociale.
Oggi questo fenomeno, comunemente noto come big data, è ormai diventato strumento per un crescente numero di soggetti che, in forza di enormi quantità di dati, possono perseguire una qualche finalità con conseguenti e più o meno prevedibili, ricadute di natura legale.
All’atto pratico, la tutela di cui stiamo parlando è perseguibile in molti modi, alcuni apparenti, altri sostanziali ma è pur vero che chi persegue uno scopo dovrà minimizzare gli impatti “regolamentari” e “normativi” a favore della massimizzazione degli effetti del trattamento sulla propria attività (attenzione, non parliamo solamente di profitto).
Proprio dall’uso massivo dei dati e dalle analisi sempre più sofisticate degli stessi, emerge una  delle più “decise” minacce ai diritti riconosciuti all’individuo dall’articolo 8 della Carta dei diritti fondamentali dell’Unione Europea, cui corrisponde un fenomeno che possiamo definire di overcharging burocratico, che viene affrontato con formulette standard, financo con software e applicazioni che automatizzano ragionamenti tutt’altro che banali, e conducono a risultati di dubbia legittimità.
Come per ogni tema che abbia un qualche impatto legale, per capire la portata e l’impatto del fenomeno e poterlo affrontare nel modo migliore, occorre partire da una valutazione che analizzi: la legittimità dell’acquisizione delle informazioni, la coerenza tra le finalità per le quali sono state acquisite e le finalità per le quali verranno trattate, le misure di sicurezza applicate alle informazioni.
Occorre inoltre resistere alla tentazione di partire dalla fine ovvero dall’anonimizzazione dei dati.
A norma di diversi position papers l’anonimizzazione, come peraltro è logico che sia, è considerata un “trattamento ulteriore”, ciò significa che in presenza dei big data, procedere all’anonimizzazione è solo un passaggio di un processo molto più complesso.
L’attività di analisi deve consentire di valutare quali conseguenze può avere la “ricongiunzione” di database provenienti da fonti differenti. Si tenga infatti presente che nell’epoca del “riuso”, la possibilità di ottenere enormi quantità di informazioni, provenienti da molteplici sorgenti, è cresciuta esponenzialmente, a ciò si aggiunga che, spesso, i soggetti, magari pubbliche amministrazioni, che rilasciano “open-data” non hanno la possibilità o le competenze per preconizzare il possibile sfruttamento dei dati stessi in ottica di business.
Non dimentichiamo , infine, che il prodotto delle attività condotte sui big data può, a sua volta, generare servizi innovativi e meritevoli di essere protetti.

Dunque, quello dei big data è un fenomeno ingestibile?

No, come tutti i fenomeni i big data possono essere gestiti, forse il quadro normativo in cui sono maturati, non è metodologicamente pronto per tutelare le persone senza “compromettere gli usi e le applicazioni dei big data”, tuttavia si può contemperare l’ipertrofia burocratica con un approccio che tenga conto della necessaria efficacia dei processi coinvolti.
L’evidenza dell’esperienza ci dice che, ad oggi, si è ricorso ad un approccio in qualche modo “presuntivo” ossia si è cercato di dimostrare la sicurezza e la legittimità dei trattamenti operati, facendo sentire gli utenti “al sicuro”, al di là dell’effettività di questa sicurezza, prova ne è che, allorquando i meccanismi di tutela della riservatezza dei dati si sono “inceppati” oppure in sede ispettiva ad opera del Garante per la protezione dei dati personali, ci si è accorti che la “sicurezza” era largamente compromessa e le valutazioni di rischio, fuori fuoco, né emerso un quadro desolante di trascuratezza dei più elementari principi di data protection.
Viceversa, con un approccio razionale, orientato da quella privacy by design che è tanto ostentata negli ultimi tempi e seguendo alcune preziose indicazioni fornite in merito dalle best practices, si può ottenere l’abbattimento del rischio, in particolare, una volta appurata la legittima acquisizione delle informazioni e del relativo consenso e della coerenza con il principio di finalità, ci si dovrà porre l’interrogativo su come abbattere il rischio di riconoscimento dei singoli.
In questo senso un’analisi del contesto iniziale ripetuta sia con cadenza regolare sia in relazione con eventi e mutamenti che la possano influenzare, può consentire di prevenire fenomeni di controllo abusivo così come la reidentificazione degli interessati, ad esempio introducendo livelli crescenti di incertezza per cui un certo record possa essere attribuito a più persone, almeno 3 secondo i principi della deontologia statistica, oppure eliminando i requisiti che rendono atomistici i gruppi con caratteristiche comuni, o ancora affogando il profilo del singolo in un elevato numero di altri per i quali le caratteristiche dell’analisi non consentono di isolare un soggetto preciso. Quest’ultima attività può essere condotta lasciando integri i requisiti che fanno riferimento a una molteplicità di persone.
Sulla scorta di quanto sostenuto, si tenga, infine, presente che queste e altre misure possono consentire la convivenza dei big data con il vigente quadro di tutela della riservatezza ma l’approccio metodico è di gran lunga più efficace di molteplici misure adottate in modo disorganico.

Comments

Popular posts from this blog

Il provvedimento sugli amministratori di sistema - testo "vigente"

Di seguito le parti del provvedimento che hanno subito modifiche. Legenda: - in rosso barrato le parti sostituite o eliminate; - in verde le parti aggiunte; - in blu le note e le parti "illustrative". Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema - 27 novembre 2008 (G.U. n. 300 del 24 dicembre 2008)

Samsung, LG, Apple ... per molti di noi basta Zopo ...

Spesso ci si lascia trascinare dalle campagne di marketing, lasciando che queste offuschino la nostra capacità di giudizio. Questo gioca 2 volte a nostro sfavore: 1) a causa della sindrome da Geek, ci facciamo andare bene caratteristiche che non sono realmente innovative; 2) spendiamo i nostri soldi in modo non sempre coerente con le nostre esigenze. Un giro su questo sito ( www.zopomobile.it ) e sui diversi modelli proposti, può farci risparmiare un po' di soldi con, tutto sommato, poche rinunce. Direte voi: ma la qualità e l'innovazione delle Big non sono paragonabili . Allora io vi rispondo: ma il baraccone che sta mettendo su Samsung per poi cercare di venderci il Galaxy S4 con un processore 4 core quando qualcuno, nel mondo, allo stesso prezzo, avrà la versione octa core, non è indegno? Oppure i "re-styling" di Apple che aggiunge un centimetro di lunghezza all' iPhone 4s e lo rivende come "nuovo" ... valgono i 700 eu

Novità: a proposito di 231 e reati privacy ...

Scorrendo un Disegno di legge discusso ieri in Commissione alla Camera, mi sono soffermato nella lettura di questa proposta emendativa:  " Al comma 2 sopprimere le parole:  e di cui alla Parte III, Titolo III, Capo II del decreto legislativo 30 giugno 2003, n. 196 ". ops sono appena scomparsi i "reati privacy" introdotti con decreto legge 14 agosto 2013, n. 93? Ovviamente da giuristi dobbiamo attendere che la legge di conversione segua il suo iter parlamentare e venga emanata, tuttavia non è novità di poco rilievo.   Rimaniamo in attesa di sviluppi ...