Skip to main content

Dati, dati, dati

Image
By
Ogni giorno persone, imprese, enti governativi, si districano tra crescenti moli di dati.
Tutti hanno bisogno dei dati di tutti, spesso “a priori”, “perché qualcosa ci si può sempre fare”.
In questo panorama, esistono però soggetti con strategie precise di data raising, concepite per avere un preciso termometro dei fenomeni e del sentire di alcune moltitudini, siano esse di “consumatori”, “elettori”, “assistiti” e quant’altro.

I dati, le analisi condotte su di essi, sono ormai intesi come elemento primario per generare “business” e ad essi viene ricondotto un notevole valore economico e sociale.
Oggi questo fenomeno, comunemente noto come big data, è ormai diventato strumento per un crescente numero di soggetti che, in forza di enormi quantità di dati, possono perseguire una qualche finalità con conseguenti e più o meno prevedibili, ricadute di natura legale.
All’atto pratico, la tutela di cui stiamo parlando è perseguibile in molti modi, alcuni apparenti, altri sostanziali ma è pur vero che chi persegue uno scopo dovrà minimizzare gli impatti “regolamentari” e “normativi” a favore della massimizzazione degli effetti del trattamento sulla propria attività (attenzione, non parliamo solamente di profitto).
Proprio dall’uso massivo dei dati e dalle analisi sempre più sofisticate degli stessi, emerge una  delle più “decise” minacce ai diritti riconosciuti all’individuo dall’articolo 8 della Carta dei diritti fondamentali dell’Unione Europea, cui corrisponde un fenomeno che possiamo definire di overcharging burocratico, che viene affrontato con formulette standard, financo con software e applicazioni che automatizzano ragionamenti tutt’altro che banali, e conducono a risultati di dubbia legittimità.
Come per ogni tema che abbia un qualche impatto legale, per capire la portata e l’impatto del fenomeno e poterlo affrontare nel modo migliore, occorre partire da una valutazione che analizzi: la legittimità dell’acquisizione delle informazioni, la coerenza tra le finalità per le quali sono state acquisite e le finalità per le quali verranno trattate, le misure di sicurezza applicate alle informazioni.
Occorre inoltre resistere alla tentazione di partire dalla fine ovvero dall’anonimizzazione dei dati.
A norma di diversi position papers l’anonimizzazione, come peraltro è logico che sia, è considerata un “trattamento ulteriore”, ciò significa che in presenza dei big data, procedere all’anonimizzazione è solo un passaggio di un processo molto più complesso.
L’attività di analisi deve consentire di valutare quali conseguenze può avere la “ricongiunzione” di database provenienti da fonti differenti. Si tenga infatti presente che nell’epoca del “riuso”, la possibilità di ottenere enormi quantità di informazioni, provenienti da molteplici sorgenti, è cresciuta esponenzialmente, a ciò si aggiunga che, spesso, i soggetti, magari pubbliche amministrazioni, che rilasciano “open-data” non hanno la possibilità o le competenze per preconizzare il possibile sfruttamento dei dati stessi in ottica di business.
Non dimentichiamo , infine, che il prodotto delle attività condotte sui big data può, a sua volta, generare servizi innovativi e meritevoli di essere protetti.

Dunque, quello dei big data è un fenomeno ingestibile?

No, come tutti i fenomeni i big data possono essere gestiti, forse il quadro normativo in cui sono maturati, non è metodologicamente pronto per tutelare le persone senza “compromettere gli usi e le applicazioni dei big data”, tuttavia si può contemperare l’ipertrofia burocratica con un approccio che tenga conto della necessaria efficacia dei processi coinvolti.
L’evidenza dell’esperienza ci dice che, ad oggi, si è ricorso ad un approccio in qualche modo “presuntivo” ossia si è cercato di dimostrare la sicurezza e la legittimità dei trattamenti operati, facendo sentire gli utenti “al sicuro”, al di là dell’effettività di questa sicurezza, prova ne è che, allorquando i meccanismi di tutela della riservatezza dei dati si sono “inceppati” oppure in sede ispettiva ad opera del Garante per la protezione dei dati personali, ci si è accorti che la “sicurezza” era largamente compromessa e le valutazioni di rischio, fuori fuoco, né emerso un quadro desolante di trascuratezza dei più elementari principi di data protection.
Viceversa, con un approccio razionale, orientato da quella privacy by design che è tanto ostentata negli ultimi tempi e seguendo alcune preziose indicazioni fornite in merito dalle best practices, si può ottenere l’abbattimento del rischio, in particolare, una volta appurata la legittima acquisizione delle informazioni e del relativo consenso e della coerenza con il principio di finalità, ci si dovrà porre l’interrogativo su come abbattere il rischio di riconoscimento dei singoli.
In questo senso un’analisi del contesto iniziale ripetuta sia con cadenza regolare sia in relazione con eventi e mutamenti che la possano influenzare, può consentire di prevenire fenomeni di controllo abusivo così come la reidentificazione degli interessati, ad esempio introducendo livelli crescenti di incertezza per cui un certo record possa essere attribuito a più persone, almeno 3 secondo i principi della deontologia statistica, oppure eliminando i requisiti che rendono atomistici i gruppi con caratteristiche comuni, o ancora affogando il profilo del singolo in un elevato numero di altri per i quali le caratteristiche dell’analisi non consentono di isolare un soggetto preciso. Quest’ultima attività può essere condotta lasciando integri i requisiti che fanno riferimento a una molteplicità di persone.
Sulla scorta di quanto sostenuto, si tenga, infine, presente che queste e altre misure possono consentire la convivenza dei big data con il vigente quadro di tutela della riservatezza ma l’approccio metodico è di gran lunga più efficace di molteplici misure adottate in modo disorganico.
Labels:

Comments

Post a Comment

Popular posts from this blog

Il Garante si pronuncia su telecomunicazioni e profilazione

By
Dall’attività ispettiva dell’Autorità sono emerse attività di profilazione prive dei presupposti di legge. Nulla di nuovo sotto il cielo, noi consumatori abbiamo sempre saputo che determinate telefonate, magari accompagnate da improvvise interruzioni della comunicazione nel momento in cui chiedevamo l’origine dei dati trattati dall’operatore, sottendevano che i nostri dati subissero trattamenti – non consentiti – anche molto tempo dopo aver cambiato operatore tlc. In parte noi consumatori dobbiamo assumerci le nostre responsabilità, diciamo la verità è piuttosto raro che un utente eserciti i diritti previsti dall’art. 7, comma 3, lettere b) e c) del codice privacy, ossia: - la richiesta di “cancellazione o trasformazione in forma anonima dei dati trattati in violazione di legge”; - l'attestazione che l’operazione di “cancellazione o trasformazione in forma anonima” sia stata portata a conoscenza, anche per quanto riguarda il contenuto, “di coloro ai quali i dati sono stati comunica...
Post a Comment
continua a leggere

La privacy è un costo! Occulto?

By
Sulla risposta che molti addetti ai lavori conoscono bene quando devono convincere riluttanti Responsabili aziendali a mettersi in regola si è interrogato, sul numero di luglio della newsletter Crypto-Gram (la versione italiana curata dall'azienda Communication Valley è disponibile qui ), uno dei guru mondiali dell'IT Security: Bruce Sheiner. Sheiner parte da una constatazione che chi fa questo mestiere per professione non può che condividere: le aziende spendono i propri soldi mal volentieri per adeguarsi alla privacy (sia essa obbligo di legge o esigenza aziendale connessa con altre esigenze) semplicemente perché è costoso e una buona fetta di tale spesa viene assorbita dai meccanismi di conformità e non serve al miglioramento effettivo della privacy di nessuno . Sheiner spiega in modo convincente le ragioni che sottendono a questo modo di vedere la privacy: le entità a cui affidiamo i nostri dati spesso non hanno grandi incentivi per rispettarla. Un esempio su tutti...
Post a Comment
continua a leggere

Il Provvedimento del Garante per la tutela dei dati personali sugli Amministratori di Sistema

By
Il 27 novembre 2008, il Garante ha adottato un provvedimento volto a colmare un vuoto lasciato nel 2003 dal legislatore quando, in sede di stesura del decreto legislativo sulla tutela dei dati personali, non ritenne necessario introdurre un’apposita regolamentazione per la figura dell’amministratore di sistema. Il provvedimento invita i titolari dei trattamenti a porsi nelle condizioni per controllare gli amministratori di sistema che, troppo spesso, interpretano, all’interno delle realtà aziendali, il ruolo di “deus ex machina”. Attraverso il provvedimento vengono prescritte alcune misure di sicurezza da adottare entro il 30 giugno 2009 . Due eventi, in particolare, rendono il provvedimento attualissimo: -           l’apertura di una consultazione pubblica (che si è chiuso il 31 maggio 2009) - con questa disposizione l’Autorità intende raccogliere impressioni, suggerimenti, critiche, attinenti il provvedimento, in modo da valutare l’opportunità di integrarlo o modificarlo; -  ...
Post a Comment
continua a leggere