Big Data a valore aggiunto: quali rischi e come affrontarli?
Si è concluso da poco meno di un mese il Convegno organizzato in occasione della giornata Europea della protezione dei dati personali e l’intervento del Presidente dell’Autorità Garante Antonello Soro non ha lasciato dubbi circa i nuovi rischi che l’Era dei Big Data porta con sé.
“Big Data” è un termine utilizzato per identificare un’enorme collezione di dati in termine di volume e varietà tali da richiedere tecnologie e metodi specifici per l’estrazione di valore[1].
Se volgiamo lo sguardo alle tecnologie innovative ed interconnesse, favorite dall’espansione dell’Internet in mobilità, non possiamo sottrarci dal notare una certa dilatazione della raccolta dei dati che ci riguardano, con preoccupanti risultati in termini di controllo e di profilazione delle nostre informazioni.
Se da un lato tali interrogativi spaventano, dall’altro è altrettanto evidente che i player coinvolti non possono fare a meno di basare il loro business su attività di raccolta studio ed analisi di dati ed informazioni.
“L’obbiettivo al quale dovremmo tendere è la garanzia di uno stesso livello di tutela dei diritti online così come offline.” ricorda Antonello Soro nel suo intervento.
Gli operatori tecnologici interessati sono i più vari e differenziati per tipologia di core business: dai media, al settore dei trasporti, fino alla grande distribuzione organizzata, al ramo assicurativo e farmaceutico o ai centri e laboratori medici.
Affinché l’attività di tali soggetti risulti conforme ai diritti riconosciuti, essi dovranno necessariamente prendere consapevolezza della nuova normativa europea in materia di protezione dei dati personali, predisponendo le valutazioni e le procedure di sicurezza necessarie.
E per adeguarsi ai principi introdotti dal Regolamento europeo (GDPR), gli stakehoders avranno tempo fino al 25 maggio 2018, data di sostanziale applicazione della neonata normativa, che ha rivoluzionato il comparto sanzionatorio, arrivando a prevedere importi fino al 4% del fatturato totale mondiale annuo di gruppo relativo all’esercizio precedente.
Quali sono i passaggi necessari?
Gap Analysis
Il primo strumento utile a sensibilizzare i ruoli aziendali decisori in termini di investimenti di business è rappresentato dall’analisi degli strumenti ICT, in ottica Regolamento europeo.
Difatti, gli strumenti che comportano il trattamento dei dati personali (sistemi biometrici, di videosorveglianza, CRM, applicativi) o i trattamenti effettuati (campagne di DEM, profilazione) dovranno assicurare il rispetto dei principi di privacy by design e by default.
Ad oggi pochissimi operatori tecnologici hanno effettuato una valutazione di tal sorta, preoccupandosi, ad esempio, di impostare livelli differenziati di data retention, piuttosto tecniche di anonimizzazione e pseudonimizzazione dei dati personali raccolti.
I contratti
I gap evidenziati potranno essere risolti dalle aziende attraverso una predisposizione GDPR oriented dei contratti di affidamento servizi. Indubbiamente la contrattualistica sarà una delle tematiche prioritarie di intervento. Sarà assolutamente indefettibile predisporre modelli contrattuali che impongano elevati standard di sicurezza a presidio dei dati personali trattati da terze parti, a seguito di esternalizzazione di servizi, nonchè le responsabilità ripartite con i providers coinvolti. Basti pensare ad attività di manutenzione ed assistenza informatica in outsourcing, contratti di hosting o prestazione di servizi in modalità Software as a Service. Il trattamento dei dati di cui sono titolati le aziende da parte dei fornitori implica necessariamente di disciplinare gli aspetti tecnici e legali in ordine ai data breach, alle misure di sicurezza, alla filiera dei subfornitori che intervengono nella prestazione del servizio ed anche ai rapporti di con titolarità, alle eventuali garanzie assicurative richieste per la gestione della strumentazione informatica.
Sistema di gestione
A livello interno, il Regolamento europeo impone una gestione proceduralizzata dei flussi di dati personali da e verso i soggetti coinvolti. La Gap analysis permetterà anche sul fronte interno, di intervenire nella predisposizione delle procedure necessarie che coinvolgeranno molteplici direzioni aziendali: ICT in primis ma anche Marketing, HR, Legal e Acquisti.
La scelta di condurre dei Privacy Impact Assessment, ossia valutazioni concrete di determinati trattamenti (ad esempio: profilazione, videosorveglianza), a definizione i rischi e le misure tecniche di sicurezza adottate in relazione a detti trattamenti, dei soggetti coinvolti nel trattamento. Queste valutazioni costituiscono di fatto la messa in pratica dei principi di privacy by design e by default suindicati.
Anche la gestione dei breach ai sistemi di sicurezza dovrà essere oggetto di apposita procedura che individui le figure aziendali che saranno interessate a gestire le comunicazioni obbligatorie alle Autorità Garanti previste in tali casi, secondo le tempistiche già definite dal Regolamento europeo (72 ore!).
Non solo. Le procedure dovranno riguardare la scelta dei fornitori a rilevanza sul trattamento dei dati personali attraverso la predisposizione di step volti anche a documentare le scelte effettuate e le condizioni che le hanno determinate. A maggior ragione quando il trattamento comporti il trasferimento di dati personali verso territori extra UE (India, Cina, USA).
Infine, un ruolo importante nella partita di prevenzione dei rischi derivanti dal trattamento dei dati personali è giocata dal Data Protection Officer (DPO). Il DPO nominato, rispondendo direttamente all’alta dirigenza e dotato di proprie risorse umane ed economiche, coadiuverà gli operatori tecnologici nell’adozione degli adempimenti tecnici e documentali richiesti dal Regolamento, attuando funzioni di vigilanza e sull’applicazione delle politiche inerenti alla protezione dei dati personali.
[1] Fonte Wikipedia