Big Data a valore aggiunto: quali rischi e come affrontarli?

21/02/2017
di roberto

Si è concluso da poco meno di un mese il Convegno organizzato in occasione della giornata Europea della protezione dei dati personali e l’intervento del Presidente dell’Autorità Garante Antonello Soro non ha lasciato dubbi circa i nuovi rischi che l’Era dei Big Data porta con sé.

Big Data” è un termine utilizzato per identificare un’enorme collezione di dati in termine di volume e varietà tali da richiedere tecnologie e metodi specifici per l’estrazione di valore[1].

Big DataSe volgiamo lo sguardo alle tecnologie innovative ed interconnesse, favorite dall’espansione dell’Internet in mobilità, non possiamo sottrarci dal notare una certa dilatazione della raccolta dei dati che ci riguardano, con preoccupanti risultati in termini di controllo e di profilazione delle nostre informazioni.

Se da un lato tali interrogativi spaventano, dall’altro è altrettanto evidente che i player coinvolti non possono fare a meno di basare il loro business su attività di raccolta studio ed analisi di dati ed informazioni.

“L’obbiettivo al quale dovremmo tendere è la garanzia di uno stesso livello di tutela dei diritti online così come offline.” ricorda Antonello Soro nel suo intervento.

Gli operatori tecnologici interessati sono i più vari e differenziati per tipologia di core business: dai media, al settore dei trasporti, fino alla grande distribuzione organizzata, al ramo assicurativo e farmaceutico o ai centri e laboratori medici.

Affinché l’attività di tali soggetti risulti conforme ai diritti riconosciuti, essi dovranno necessariamente prendere consapevolezza della nuova normativa europea in materia di protezione dei dati personali, predisponendo le valutazioni e le procedure di sicurezza necessarie.

E per adeguarsi ai principi introdotti dal Regolamento europeo (GDPR), gli stakehoders avranno tempo fino al 25 maggio 2018, data di sostanziale applicazione della neonata normativa, che ha rivoluzionato il comparto sanzionatorio, arrivando a prevedere importi fino al 4% del fatturato totale mondiale annuo di gruppo relativo all’esercizio precedente.

Quali sono i passaggi necessari?

Gap Analysis

Big DataIl primo strumento utile a sensibilizzare i ruoli aziendali decisori in termini di investimenti di business è rappresentato dall’analisi degli strumenti ICT, in ottica Regolamento europeo.

Difatti, gli strumenti che comportano il trattamento dei dati personali (sistemi biometrici, di videosorveglianza, CRM, applicativi) o i trattamenti effettuati (campagne di DEM, profilazione) dovranno assicurare il rispetto dei principi di privacy by design e by default.

Ad oggi pochissimi operatori tecnologici hanno effettuato una valutazione di tal sorta, preoccupandosi, ad esempio, di impostare livelli differenziati di data retention, piuttosto tecniche di anonimizzazione e pseudonimizzazione dei dati personali raccolti.

I contratti

I gap evidenziati potranno essere risolti dalle aziende attraverso una predisposizione GDPR oriented dei contratti di affidamento servizi. Indubbiamente la contrattualistica sarà una delle tematiche prioritarie di intervento. Sarà assolutamente indefettibile predisporre modelli contrattuali che impongano elevati standard di sicurezza a presidio dei dati personali trattati da terze parti, a seguito di esternalizzazione di servizi, nonchè le responsabilità ripartite con i providers coinvolti. Basti pensare ad attività di manutenzione ed assistenza informatica in outsourcing, contratti di hosting o prestazione di servizi in modalità Software as a Service. Il trattamento dei dati di cui sono titolati le aziende da parte dei fornitori implica necessariamente di disciplinare gli aspetti tecnici e legali in ordine ai data breach, alle misure di sicurezza, alla filiera dei subfornitori che intervengono nella prestazione del servizio ed anche ai rapporti di con titolarità, alle eventuali garanzie assicurative richieste per la gestione della strumentazione informatica.

Sistema di gestione

A livello interno, il Regolamento europeo impone una gestione proceduralizzata dei flussi di dati personali da e verso i soggetti coinvolti. La Gap analysis permetterà anche sul fronte interno, di intervenire nella predisposizione delle procedure necessarie che coinvolgeranno molteplici direzioni aziendali: ICT in primis ma anche Marketing, HR, Legal e Acquisti.

Data securityLa scelta di condurre dei Privacy Impact Assessment, ossia valutazioni concrete di determinati trattamenti (ad esempio: profilazione, videosorveglianza), a definizione i rischi e le misure tecniche di sicurezza adottate in relazione a detti trattamenti, dei soggetti coinvolti nel trattamento. Queste valutazioni costituiscono di fatto la messa in pratica dei principi di privacy by design e by default suindicati.

Anche la gestione dei breach ai sistemi di sicurezza dovrà essere oggetto di apposita procedura che individui le figure aziendali che saranno interessate a gestire le comunicazioni obbligatorie alle Autorità Garanti previste in tali casi, secondo le tempistiche già definite dal Regolamento europeo (72 ore!).

Non solo. Le procedure dovranno riguardare la scelta dei fornitori a rilevanza sul trattamento dei dati personali attraverso la predisposizione di step volti anche a documentare le scelte effettuate e le condizioni che le hanno determinate. A maggior ragione quando il trattamento comporti il trasferimento di dati personali verso territori extra UE (India, Cina, USA).

Infine, un ruolo importante nella partita di prevenzione dei rischi derivanti dal trattamento dei dati personali è giocata dal Data Protection Officer (DPO). Il DPO nominato, rispondendo direttamente all’alta dirigenza e dotato di proprie risorse umane ed economiche, coadiuverà gli operatori tecnologici nell’adozione degli adempimenti tecnici e documentali richiesti dal Regolamento, attuando funzioni di vigilanza e sull’applicazione delle politiche inerenti alla protezione dei dati personali.

[1] Fonte Wikipedia

Riproduzione riservata ©

ALTRE NEWS

Privacy sospesa? Vergognosi titoli da parte dei mass media

#Coronavirus #privacy. A seguito della comunicazione veicolata oggi da alcuni mass media rispetto ad una possibile sospensione della normativa privacy, l’Avv. Valentina Frediani interviene commentando… Leggi Tutto

Risk assessment in ambito informatico: cosa dice la normativa. Da SMAU Milano 2014

Si spengono i riflettori della 51° edizione di SMAU Milano, uno dei principali eventi del panorama nazionale dedicato alle tecnologie e all’innovazione. Anche quest’anno la… Leggi Tutto

Cloud e Regolamento Europeo
Regolamento Europeo e Cloud: nuove regole per la nuvola

Uno dei principali effetti determinati dalla globalizzazione riguarda la possibilità di trasferire enormi quantità di dati all’estero. L’abbattimento delle distanze geografiche e l’estensione di quelle… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Siamo felici di dare il nostro contributo in numerosi eventi che trattano di nuove tecnologie e business digitale sotto vari aspetti. Il nostro apporto si ispira ai temi di interesse legale che, sempre più spesso, coinvolgono l’intera organizzazione.

Inoltre, a cadenza mensile, organizziamo il Colin Focus Day, un incontro di approfondimento gratuito sempre molto apprezzato. A Milano, o in videoconferenza, il Colin Focus Day è occasione di confronto e networking su temi legali-informatici e business.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form