Big Data e legislazione vigente: prospettive nazionali e internazionali
di Lorenzo Nosari
“Big Data” è un termine generico utilizzato per qualificare la collezione dei set di dati dalle dimensioni così enormi e dalla struttura così complessa, che il loro trattamento, utilizzando i tradizionali strumenti di gestione dei dati come i sistemi di database relazionali, risulta problematico.
Detti dati provengono da più fonti: dal nostro utilizzo dei social network, dagli acquisti online, dallo streaming di contenuti multimediali e dai sensori dei dispositivi collegati alla rete, i quali costituiscono il cosiddetto Internet of Things.
I Big Data sono considerati conformi alle seguenti caratteristiche (spesso denominate “Quattro V”):
1. Volume di dati;
2. Varietà di dati (in termini di tipi e di struttura);
3. Veridicità dei dati, in quanto i dati sono, nel complesso, considerati accurati e affidabili;
4. Velocità elevata di analisi dei dati per ricavarne valore.
Ad oggi non esiste, però, una definizione rigorosa e universalmente accettata, a causa della complessità che risiede dietro l’utilizzo di tali dati.
Questo aspetto si traspone anche sul piano legislativo: le attuali norme nazionali e internazionali, che non menzionano in alcun modo i Big Data, sono applicabili anche a questo fenomeno oppure vi è la necessità di ripensare agli schemi legali utilizzati fino a ora e approntare un nuovo strumento di regolazione della disciplina?
Per cercare di rispondere a questa domanda, bisogna ricordarsi che ci si sta pur sempre riferendo a dei dati, così come hanno pensato anche le istituzioni europee e statali.
Le autorità nazionali per la protezione dei dati (“APD”) entità indipendenti create allo scopo di tutelare i diritti fondamentali e le libertà in relazione al trattamento dei dati personali nel rispetto della dignità umana, concordano che gli attuali principi sulla protezione dei dati, quali equità, proporzionalità, liceità e finalità, debbano essere mantenuti e posti alla base di questo nuovo strumento legislativo, che dovrebbe adattarsi alla prorompente portata dei Big Data.
Allo stesso tempo, le APD sottolineano anche i problemi che questo fenomeno pone per la protezione dei dati. Potrebbe essere difficile, ad esempio, fornire significative informazioni sulla privacy ai soggetti interessati, i cc.dd. data subjects, a causa della complessità dei procedimenti analitici coinvolti nello studio di questa immensa quantità di dati e finalizzati ad estrapolarne valore.
Un’altra questione riguarda l’impossibilità di identificare, fin dall’inizio, tutti gli scopi per i quali i dati saranno utilizzati. Questo punto è di fondamentale importanza, poiché potrebbe essere difficile ottenere un “valido consenso” da parte dei soggetti a cui i dati si riferiscono, soprattutto in circostanze nelle quali tali dati non siano direttamente forniti da loro, ma vengano raccolti dalla moltitudine di dispositivi tecnologici presenti oggigiorno. La particolarità dei Big Data è, infatti, quella di utilizzare qualsiasi forma di dato per scopi nuovi e inaspettati, i quali potrebbero però entrare in conflitto con il principio di limitazione delle finalità.
Il 25 maggio 2018 entrerà in vigore il Regolamento Generale sulla Protezione dei Dati, che sostituirà l’attuale quadro normativo, creato nel 1995 dall’UE con la direttiva 95/46, e si applicherà a tutte le organizzazioni del mondo che raccolgono e trattano i dati personali degli individui situati nell’UE. I Big Data, infatti, includono spesso dati personali e in molti casi non è possibile separare questi dati da quelli non personali, pertanto i rischi per la privacy derivati dall’utilizzo dei Big Data sono diversi:
1. il trattamento dei dati personali al di fuori degli scopi per cui sono stati raccolti;
2. l’uso di informazioni errate o non aggiornate;
3. le discriminazioni o i pregiudizi nei confronti di determinati individui o gruppi risultanti dall’applicazione di determinati algoritmi di profilazione;
4. l’elaborazione di dati personali in eccesso rispetto a quanto necessario per elaborarli.
Considerando quindi che l’accuratezza e l’attendibilità di un insieme enorme di dati potrebbero non essere esatti ma piuttosto approssimativi, i Big Data stessi sono contrari a un principio fondamentale del GDPR, ossia che ogni organizzazione o ente deve rispettare il principio di accuratezza dei dati personali, in proprio possesso, relativi ad un particolare soggetto.
IL GDPR, inoltre, all’articolo 22 proibisce l’elaborazione automatica dei dati, inclusa la profilazione, laddove tale trattamento abbia un effetto giuridico sull’interessato o influisca in modo analogo e in maniera significativa su di lui. A tale riguardo la profilazione è definita come: “qualsiasi forma di trattamento automatizzato di dati personali consistente nell’uso di dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti le prestazioni di quella persona sul lavoro, situazione economica, salute, preferenze personali, interessi, affidabilità, comportamento, posizione o movimenti”.
Le organizzazioni hanno già accumulato una grande quantità di dati, perciò il GDPR si applicherà non solo ai set di dati creati in futuro, ma anche a quelli già esistenti, nella misura in cui tali set siano oggetto di elaborazione successivamente all’entrata in vigore del Regolamento Europeo. Si dimostrerà quindi, senza dubbio, problematico ottenere il consenso esplicito dagli interessati, che viene richiesto per determinati usi di un set di dati
già esistente e già in uso.
È però positivo constatare che ci siano già alcuni elementi di un passaggio all’autoregolamentazione da parte di alcune aziende private, le quali stanno pian piano sviluppando quello che può essere definito come un approccio etico ai Big Data basato sulla comprensione della prospettiva del cliente, per non perdere in primis la sua fiducia, rendendo più trasparenti le procedure di elaborazione dei dati.
Dall’altro lato dell’Atlantico, negli Stati Uniti, la sensibilità al problema in esame è completamente diversa.
Intanto, sul piano legislativo non esiste un’unica legge federale che disciplini la raccolta, l’uso e la condivisione di informazioni personali ma è presente un approccio settoriale, caratterizzato da vari strumenti normativi applicabili a determinati ambiti diversi tra loro. Per citare i più importanti, Health Insurance Portability and Accountability Act in campo sanitario, Children’s Online Privacy Protection Act per il trattamento dei dati personali di soggetti con età inferiore a 13 anni, Federal Trade Commission Act per la protezione dei consumatori, Fair Credit Reporting Act per la tutela delle informazioni contenute nei rapporti di credito.
Questa struttura, non avendo portata generale, lascia però senza tutela alcuni ambiti fondamentali.
La maggior parte dei siti web, dei servizi online e delle applicazioni mobile hanno infatti predisposto una propria politica sulla privacy. L’implementazione e l’attuazione di tale misura potrebbe quindi non essere solo una buona pratica commerciale, ma anche essere richiesta da una legge o da servizi di terzi che raccolgono informazioni attraverso un sito web.
Allo stesso modo, i termini di servizio, TOS, devono essere rivalutati periodicamente per determinare se riflettono accuratamente le pratiche commerciali, in particolare per quanto riguarda la raccolta, l’utilizzo e la condivisione di informazioni personali.
Un utente può accettare i TOS e l’informativa sulla privacy cliccando o spuntando un’apposita o semplicemente continuando a utilizzare il servizio. Il primo tipo di accettazione è definito accordo di clickwrap ed è generalmente più applicato del secondo, definito accordo di browsewrap.
Per tornare quindi al quesito iniziale, possiamo dire che la risposta sta esattamente nel mezzo. La portata globale dei Big Data rende infatti necessaria la creazione di un collegamento tra le diverse legislazioni che esistono nel mondo. Vi sono già delle basi e da queste bisognerebbe partire per costruire un sistema “universale” di regolamentazione normativa, che limiti il più possibile i pericoli insiti nello sfruttamento di questa immensa quantità di dati ma che, allo stesso tempo, ne valorizzi l’utilizzo nel miglior modo possibile.
In Europa si auspica che questo strumento innovativo possa rivelarsi il Regolamento Generale sulla Protezione dei Dati.
Autore: