Big Data a valore aggiunto: quali rischi e come affrontarli?

21/02/2017

di roberto

Si è concluso da poco meno di un mese il Convegno organizzato in occasione della giornata Europea della protezione dei dati personali e l’intervento del Presidente dell’Autorità Garante Antonello Soro non ha lasciato dubbi circa i nuovi rischi che l’Era dei Big Data porta con sé.

“Big Data” è un termine utilizzato per identificare un’enorme collezione di dati in termine di volume e varietà tali da richiedere tecnologie e metodi specifici per l’estrazione di valore[1].

Big Data Se volgiamo lo sguardo alle tecnologie innovative ed interconnesse, favorite dall’espansione dell’Internet in mobilità, non possiamo sottrarci dal notare una certa dilatazione della raccolta dei dati che ci riguardano, con preoccupanti risultati in termini di controllo e di profilazione delle nostre informazioni.

Se da un lato tali interrogativi spaventano, dall’altro è altrettanto evidente che i player coinvolti non possono fare a meno di basare il loro business su attività di raccolta studio ed analisi di dati ed informazioni.

“L’obbiettivo al quale dovremmo tendere è la garanzia di uno stesso livello di tutela dei diritti online così come offline.” ricorda Antonello Soro nel suo intervento.

Gli operatori tecnologici interessati sono i più vari e differenziati per tipologia di core business: dai media, al settore dei trasporti, fino alla grande distribuzione organizzata, al ramo assicurativo e farmaceutico o ai centri e laboratori medici.

Affinché l’attività di tali soggetti risulti conforme ai diritti riconosciuti, essi dovranno necessariamente prendere consapevolezza della nuova normativa europea in materia di protezione dei dati personali, predisponendo le valutazioni e le procedure di sicurezza necessarie.

E per adeguarsi ai principi introdotti dal Regolamento europeo (GDPR), gli stakehoders avranno tempo fino al 25 maggio 2018, data di sostanziale applicazione della neonata normativa, che ha rivoluzionato il comparto sanzionatorio, arrivando a prevedere importi fino al 4% del fatturato totale mondiale annuo di gruppo relativo all’esercizio precedente.

Quali sono i passaggi necessari?

Gap Analysis

Big Data Il primo strumento utile a sensibilizzare i ruoli aziendali decisori in termini di investimenti di business è rappresentato dall’analisi degli strumenti ICT, in ottica Regolamento europeo.

Difatti, gli strumenti che comportano il trattamento dei dati personali (sistemi biometrici, di videosorveglianza, CRM, applicativi) o i trattamenti effettuati (campagne di DEM, profilazione) dovranno assicurare il rispetto dei principi di privacy by design e by default.

Ad oggi pochissimi operatori tecnologici hanno effettuato una valutazione di tal sorta, preoccupandosi, ad esempio, di impostare livelli differenziati di data retention, piuttosto tecniche di anonimizzazione e pseudonimizzazione dei dati personali raccolti.

I contratti

I gap evidenziati potranno essere risolti dalle aziende attraverso una predisposizione GDPR oriented dei contratti di affidamento servizi. Indubbiamente la contrattualistica sarà una delle tematiche prioritarie di intervento. Sarà assolutamente indefettibile predisporre modelli contrattuali che impongano elevati standard di sicurezza a presidio dei dati personali trattati da terze parti, a seguito di esternalizzazione di servizi, nonchè le responsabilità ripartite con i providers coinvolti. Basti pensare ad attività di manutenzione ed assistenza informatica in outsourcing, contratti di hosting o prestazione di servizi in modalità Software as a Service. Il trattamento dei dati di cui sono titolati le aziende da parte dei fornitori implica necessariamente di disciplinare gli aspetti tecnici e legali in ordine ai data breach, alle misure di sicurezza, alla filiera dei subfornitori che intervengono nella prestazione del servizio ed anche ai rapporti di con titolarità, alle eventuali garanzie assicurative richieste per la gestione della strumentazione informatica.

Sistema di gestione

A livello interno, il Regolamento europeo impone una gestione proceduralizzata dei flussi di dati personali da e verso i soggetti coinvolti. La Gap analysis permetterà anche sul fronte interno, di intervenire nella predisposizione delle procedure necessarie che coinvolgeranno molteplici direzioni aziendali: ICT in primis ma anche Marketing, HR, Legal e Acquisti.

Data security La scelta di condurre dei Privacy Impact Assessment, ossia valutazioni concrete di determinati trattamenti (ad esempio: profilazione, videosorveglianza), a definizione i rischi e le misure tecniche di sicurezza adottate in relazione a detti trattamenti, dei soggetti coinvolti nel trattamento. Queste valutazioni costituiscono di fatto la messa in pratica dei principi di privacy by design e by default suindicati.

Anche la gestione dei breach ai sistemi di sicurezza dovrà essere oggetto di apposita procedura che individui le figure aziendali che saranno interessate a gestire le comunicazioni obbligatorie alle Autorità Garanti previste in tali casi, secondo le tempistiche già definite dal Regolamento europeo (72 ore!).

Non solo. Le procedure dovranno riguardare la scelta dei fornitori a rilevanza sul trattamento dei dati personali attraverso la predisposizione di step volti anche a documentare le scelte effettuate e le condizioni che le hanno determinate. A maggior ragione quando il trattamento comporti il trasferimento di dati personali verso territori extra UE (India, Cina, USA).

Infine, un ruolo importante nella partita di prevenzione dei rischi derivanti dal trattamento dei dati personali è giocata dal Data Protection Officer (DPO). Il DPO nominato, rispondendo direttamente all’alta dirigenza e dotato di proprie risorse umane ed economiche, coadiuverà gli operatori tecnologici nell’adozione degli adempimenti tecnici e documentali richiesti dal Regolamento, attuando funzioni di vigilanza e sull’applicazione delle politiche inerenti alla protezione dei dati personali.

[1] Fonte Wikipedia

Cookie	Durata	Descrizione
cookielawinfo-checkbox-advertisement	1 year	Impostato dal plugin GDPR Cookie Consent, questo cookie viene utilizzato per registrare il consenso dell'utente per i cookie nella categoria "Pubblicitari".
cookielawinfo-checkbox-analytics	11 months	Questo cookie è impostato dal plug-in GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie nella categoria "Analytics".
cookielawinfo-checkbox-functional	11 months	Il cookie è impostato dal consenso cookie GDPR per registrare il consenso dell'utente per i cookie nella categoria "Funzionali".
cookielawinfo-checkbox-necessary	11 months	Questo cookie è impostato dal plug-in GDPR Cookie Consent. I cookie vengono utilizzati per memorizzare il consenso dell'utente per i cookie nella categoria "Necessari".
cookielawinfo-checkbox-others	11 months	Questo cookie è impostato dal plug-in GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie nella categoria "Altri".
cookielawinfo-checkbox-performance	11 months	Questo cookie è impostato dal plug-in GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie nella categoria "Prestazioni".
viewed_cookie_policy	11 months	Il cookie è impostato dal plug-in GDPR Cookie Consent e viene utilizzato per memorizzare se l'utente ha acconsentito o meno all'uso dei cookie. Non memorizza alcun dato personale.

Cookie	Durata	Descrizione
_ga	2 years	Il cookie _ga, installato da Google Analytics, calcola i dati di visitatori, sessioni e campagne e tiene anche traccia dell'utilizzo del sito per il report di analisi del sito. Il cookie memorizza le informazioni in modo anonimo e assegna un numero generato casualmente per riconoscere i visitatori unici.
_gat_gtag_UA_54760939_1	1 minute	Questo cookie è impostato da Google e viene utilizzato per distinguere gli utenti.
_gid	1 day	Installato da Google Analytics, il cookie _gid memorizza informazioni su come i visitatori utilizzano un sito web, creando anche un report analitico delle prestazioni del sito web. Alcuni dei dati raccolti includono il numero di visitatori, la loro fonte e le pagine che visitano in modo anonimo.
CONSENT	16 years 3 months 22 days 9 hours 29 minutes	Questi cookie vengono impostati tramite video youtube incorporati. Registrano dati statistici anonimi su ad esempio quante volte viene visualizzato il video e quali impostazioni vengono utilizzate per la riproduzione. Nessun dato sensibile viene raccolto a meno che non accedi al tuo account google, in tal caso le tue scelte sono legate al tuo account, ad esempio se fai clic su "mi piace" su un video.

Cookie	Durata	Descrizione
IDE	1 year 24 days	I cookie di Google DoubleClick IDE vengono utilizzati per memorizzare informazioni su come l'utente utilizza il sito Web per presentargli annunci pertinenti e in base al profilo dell'utente.
test_cookie	15 minutes	Il test_cookie è impostato da doubleclick.net e viene utilizzato per determinare se il browser dell'utente supporta i cookie.
VISITOR_INFO1_LIVE	5 months 27 days	Un cookie impostato da YouTube per misurare la larghezza di banda che determina se l'utente ottiene la nuova o la vecchia interfaccia del lettore.
YSC	session	Il cookie YSC è impostato da Youtube e viene utilizzato per tenere traccia delle visualizzazioni dei video incorporati nelle pagine di Youtube.
yt-remote-connected-devices	never	Questi cookie vengono impostati tramite video youtube incorporati.
yt-remote-device-id	never	Questi cookie vengono impostati tramite video youtube incorporati.