Big data e privacy: la protezione dei dati personali

Aggiornato il / Creato il / Di Gabriele Faggioli

Affrontare il fenomeno dei Big Data dal punto di vista giuridico significa approfondire le problematiche relative al trattamento dei dati personali, sempre più preziosi e sempre più a rischio. Il rapporto tra Big Data e privacy non è semplice e il GDPR (General Data Protection Regulation), in vigore dal 25 maggio 2018, ha modificato e reso ancor più complesso lo scenario a livello Europeo. Come approfondire il complicato rapporto tra Big Data e Privacy? Partiamo dalla definizione di Big Data secondo il Garante Europeo, per poi comprendere quali sono i problemi normativi legati alle proprietà dei Big Data e tracciare quindi delle possibili soluzioni. Nello specifico approfondiremo:

Big Data e Privacy secondo il Garante Europeo

Nel settembre 2014, il Gruppo di Lavoro “Article 29 Data Protection Working Party”, istituito dal Garante Europeo della Protezione dei Dati, definisce i Big Data come un termine generico che comprende un gran numero di operazioni di trattamento dei dati.

In concreto, la crescita di questo enorme patrimonio informativo può comportare dei rischi per la tutela e la riservatezza dei dati trattati. Dal punto di vista delle aziende, ciò implica che i benefici derivanti dall’utilizzo dei Big Data possono essere sfruttati solo a condizione che siano adeguatamente soddisfatte le aspettative degli utenti e che sia garantita loro la tutela della privacy.

Il Gruppo di Lavoro Article 29 si è poi espresso affermando che ai Big Data si applicano tutti i principi fondamentali ispiratori delle normative vigenti in materia di privacy, ma è chiaro che le caratteristiche intrinseche dei Big Data impongono l’adozione di differenti modalità di applicazione dei suddetti principi, al fine di renderli ancor più efficaci e adeguati. Ad esempio, la logica dei Big Data si fonda sull’accumulo massiccio di dati, mentre principi di finalità e conservazione dei dati per tempi definiti e strettamente necessari appaiono anacronistiche.

Cosa intendiamo per "dati personali"?

Ma quali sono i dati personali dei quali dobbiamo preoccuparci nella realizzazione di un progetto di Big Data? Prima di tutto, tracciare dei confini tra dati personali e non è meno banale di quanto si pensi. Per “dato personale” si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile (da qui in poi, «interessato»).

La Foundation for Accountability Information distingue quattro tipologie di dati personali:

  • Provided Data, forniti consapevolmente e volontariamente dagli individui (ad esempio la compilazione di un modulo online);
  • Observed Data, raccolti automaticamente (ad esempio dati raccolti tramite cookie o sistemi di videosorveglianza collegati al riconoscimento facciale);
  • Derived Data, prodotti da altri dati in modo relativamente semplice e diretto (ad esempio calcolando la redditività del cliente dal numero di visite a un negozio e agli oggetti acquistati);
  • Inferred Data, prodotti utilizzando un metodo analitico complesso per trovare le correlazioni tra i set di dati e utilizzarli per categorizzare o profilare le persone (ad esempio calcolare i punteggi di credito o predire lo stato di salute futuro di un soggetto). Si basano sulle probabilità e possono dunque essere meno "certi" dei dati derivati.

Sono tutti dati personali, e tutti devono essere trattati conformemente a normativa.

Vuoi essere sempre aggiornato sui temi dell’Osservatorio Big Data & Business Analytics?

Scopri gli abbonamenti

Big Data e Privacy: quali sono i principali problemi normativi?

Scarsa trasparenza in materia di trattamento dei dati

Una volta inseriti nei sistemi, i dati contenuti negli strumenti di storage dei Big Data vengono “persi di vista”. Questo comporta un elevato rischio per l’interessato, in quanto il titolare del trattamento potrebbe utilizzarli per finalità non perseguibili rispetto alle informative e ai consensi raccolti. Il tema delle informative e dei relativi moduli di raccolta di consenso è cruciale, questi devono essere adeguati alla luce dei principi normativi: una descrizione troppo vaga e generica delle finalità del trattamento determina la nullità del consenso. Inoltre, la numerosità delle fonti informative fa sì che le persone interessate abbiano grandi difficoltà nel comprendere come i dati vengono integrati tra loro e trattati.

Anonimizzare non basta

Anche informazioni apparentemente anonimizzate possono presentare delle problematiche. Attraverso la fusione di diverse banche dati, infatti, si può riuscire a "re-identificare" un interessato anche attraverso informazioni apparentemente anonime. In molti casi, dunque, l'anonimizzazione di singoli identificatori univoci non è sufficiente per escludere le re-identificazioni (un dato considerato «anonimo» può essere successivamente attribuito a una determinata persona). Inoltre, gli algoritmi che vengono applicati nell’analisi dei Big Data permettono di analizzare in modo autonomo e automatizzato banche dati di grandi dimensioni, anche nelle loro connessioni reciproche. Queste procedure di analisi generano nuove informazioni e spesso nuovi dati personali.

Per questi motivi è essenziale che chi intende avvalersi di Big Data consideri il tema della protezione dei dati sin dalla fase iniziale di un progetto attraverso la preventiva interazione di criteri in materia di protezione dei dati («Privacy by Design»).

Le possibili soluzioni: le linee guide a livello internazionale

A fronte di tale quadro complesso quali possono essere le soluzioni?

Le Autorità mondiali di protezione dei dati, al fine di tutelare i diritti degli interessati al trattamento, hanno ritenuto opportuno raccomandare alle aziende delle linee guida, riassunte nel seguente elenco:

  • trasparenza delle attività di raccolta dei dati, l'elaborazione, l'uso e la loro condivisione;
  • manifestazione espressa, prima del trattamento, da parte degli interessati del consenso all’utilizzo dei propri dati per fini di analisi o di profilazione;
  • adozione di misure idonee a tutelare i dati e a garantirne il controllo;
  • utilizzo, quando possibile, di dati anonimi;
  • limitazione delle finalità (utilizzo dei dati per scopi compatibili con le finalità note all’utente);
  • accesso ai dati raccolti dei legittimi titolari, nonché accesso, da parte dei medesimi, alle informazioni e decisioni che li riguardano;
  • tutela del diritto degli interessati di correggere/modificare i propri dati;
  • configurare le tecniche e le procedure relative ai Big Data affinché i relativi criteri vengano considerati sin dalla fase iniziale di un progetto e che la sicurezza dei dati sia garantita.

Le regole da rispettare in tema di privacy dati

Come tradurre tali linee guida in vere e proprie regole da rispettare?

  • Liceità, correttezza e trasparenza: i dati personali devono essere trattati in modo lecito, corretto e trasparente nei confronti dell'interessato. Occorre sempre valutare se l'utilizzo dei dati personali sia nelle ragionevoli aspettative delle persone, considerando anche come i metodi di raccolta e analisi dei Big Data rendano complesso essere trasparenti sul trattamento dei dati personali;
  • Consenso: il trattamento è lecito se l'interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità (salvo esclusioni). L’utilizzo dei Big Data deve sempre bilanciare gli interessi del titolare/responsabile con quelli degli interessati;
  • Limitazione della finalità: i dati personali devono essere raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modalità compatibili con tali finalità. Il principio di limitazione del trattamento non crea necessariamente una barriera, significa però che deve essere effettuata una valutazione della compatibilità con le finalità del trattamento. La correttezza del trattamento è un fattore chiave per determinare se quest’ultimo è incompatibile con la finalità prestabilite inizialmente;
  • Minimizzazione dei dati: i dati personali devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità. Occorre predeterminare il tempo di mantenimento dei dati (con il GDPR questa informazione sarà obbligatoria nelle informative) e prevedere sistemi di cancellazione;
  • Esattezza: I dati personali devono essere esatti e, se necessario, aggiornati. Devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati.

A margine di queste regole, va ricordato che ogni interessato può esercitare liberamente e in qualunque momento i propri diritti fra cui: accesso, rettifica, cancellazione, limitazione, notifica per rettifica, portabilità, opposizione, oblio.

Big Data e Privacy: Cosa è cambiato con il GDPR?

Con il General Data Protection Regulation (Regolamento Europeo n° 679/2016), l’approccio legislativo al tema è cambiato in modo sostanziale, in quanto non sono più previste misure minime di sicurezza e tutte le scelte vengono demandate al singolo titolare del trattamento.

Ciascun titolare deve tener conto delle seguenti variabili: costo di attuazione, natura dell'oggetto, contesto, finalità del trattamento, rischio, gravità per i diritti e le libertà delle persone fisiche. Da una valutazione attenta di tutti questi aspetti, il titolare del trattamento deve mettere in atto misure tecniche e organizzative adeguate a garantire un livello di sicurezza coerente con il grado di rischio. La medesima valutazione e adozione la deve svolgere ciascun responsabile del trattamento.

Viene chiesto infine che vengano adottate procedure per provare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative, al fine di garantire la sicurezza del trattamento.

La raccolta dei Big Data pone evidenti problemi di privacy (questo è lampante) a cui il regolatore ha cercato di dar risposta. Il GDPR è un mezzo per aziende e per noi cittadini per trattare i dati personali con consapevolezza. Big Data e Privacy possono convivere, ma è d'obbligo rispettare la volontà esplicita del singolo consumatore.

L'European Data Strategy: la Strategia Europea per un mercato sicuro di dati 

Nel febbraio 2020, per supportare le pubbliche amministrazioni e le aziende nell’arricchire il patrimonio informativo a disposizione, la Commissione Europea ha presentato la Strategia Europea in materia di dati. Come scritto nel documento, “l'obiettivo è creare uno spazio unico europeo di dati – un autentico mercato unico di dati, aperto ai dati provenienti da tutto il mondo – nel quale sia i dati personali sia quelli non personali, compresi i dati commerciali sensibili, siano sicuri e le imprese abbiano facilmente accesso a una quantità pressoché infinita di dati industriali di elevata qualità, che stimolino la crescita e creino valore, riducendo nel contempo al minimo la nostra impronta ambientale.” Il primo Regolamento approvato dal Parlamento nell’aprile 2022 nel contesto dell’European Data Strategy è stato il Data Governance Act (DGA), in vigore dal 24 settembre 2023. Attraverso questo documento gli organi dell’UE si propongono di realizzare un quadro normativo che sia adeguato alle attuali necessità di accesso e condivisione dei dati. Il Data Governance Act, infatti, è volto sia a facilitare la condivisione dei dati sia ad accrescere la fiducia in tutti gli attori coinvolti. Parallelamente, vuole evitare pratiche lesive dei diritti del singolo individuo o non concorrenziali e derive discriminatori.

Nel febbraio 2022 è stato proposto il Data Act. Si tratta di un’ulteriore iniziativa legislativa il cui obiettivo è quello di andare oltre il Data Governance Act: se quest’ultimo vuole creare un contesto che favorisca la condivisione dei dati, il Data Act vuole favorire un accesso e uno riutilizzo equo dei dati, attraverso diritti e obblighi sulla condotta delle imprese e dei consumatori. A differenza del GDPR, il Data Act non riguarderà solo dati personali. La discussione sul Data Act è tuttora in corso.

Vuoi approfondire i rischi, le linee guida sulle sanzioni e le nuove prospettive riguardanti le certificazioni GDPR?

Scopri il Programma

Fonti normative

  • Direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995 relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.
  • Statement on Statement of the WP29 on the impact of the development of big data on the protection of individuals with regard to the processing of their personal data in the EU - Article 29 Data Protection Working Party, 2014
  • Resolution Big Data of the 36th International Conference of Data Protection and Privacy Commissioners of 2014
  • Working Paper on Big Data and Privacy Privacy principles under pressure in the age of Big Data analytics - International Working Group on Data Protection in Telecommunications, 2014
  • GDPS, Opinion 7/2015 - Meeting the challenges of big data. A call for transparency, user control, data protection by design and accountability, 2015
  • D.lgs. 196/2003Codice in materia di protezione dei dati personali
  • Linee guida in materia di trattamento di dati per profilazione on line” - Garante per la protezione dei dati personali – 19 marzo 2015.
  • Il 27 aprile 2016 è entrato in vigore il cosiddetto GDPR (Regolamento UE 2016/679 del Parlamento europeo e del Consiglio Europeo). Questo regolamento diventerà applicabile il 25 maggio 2018, abrogando la Direttiva 95/46/CE citata inizialmente.
  • Data Governance Act (DGA) – Regolamento approvato dal Parlamento Europeo in vigore dal 24 settembre 2023.
  • Data Act – iniziativa legislativa proposta dalla Commissione il 23 febbraio 2022 e oggetto di consultazioni fino all’11 maggio 2022.
  • Autore

Giurista, Responsabile Scientifico Osservatorio Information Security & Privacy Politecnico di Milano, Adjunct Professor MIP-Politecnico di Milano.