Profili legali del fenomeno Big Data

I parte: Una rivoluzione (anche) normativadi

Introduzione

Sotto un profilo giuridico, il tema Big Data risulta di elevata complessità anche per gli esperti del settore. Ciò non toglie che sia comunque possibile individuare in modo sufficientemente chiaro, da un lato, quali siano gli adempimenti — di natura legale, ma anche tecnologica e organizzativa — necessari per operare in conformità alla normativa applicabile e, dall’altro, i limiti entro i quali si possono effettuare operazioni con Big Data.

In questo primo articolo, pertanto, si cercherà di chiarire che cosa s’intenda con Big Data e quali siano le caratteristiche di questo fenomeno, per poi indicare le normative applicabili ai differenti tipi di dati oggetto di analisi: dati personali, dati delle persone giuridiche, dati anonimi, etc. Nei successivi articoli, invece, si descriveranno nel dettaglio le particolarità che, sotto un profilo normativo, caratterizzano i trattamenti effettuati con Big Data rispetto a quelli “comuni” e in quali obblighi e limiti si traducano per chi svolge le operazioni di trattamento.

 

Una rivoluzione (anche) normativa

Leggendo un qualsiasi sito di informazione, che tratti temi legati al mondo ICT o meno, è impossibile evitare di imbattersi almeno in un articolo, una notizia, un tweet, che non parli di Big Data in una qualsiasi delle sue declinazioni. Ne conosciamo vantaggi, possibili impieghi, fantastichiamo sul loro valore e sulle loro potenzialità. Se è forse ormai scontato affermare che, in campo tecnologico, si tratta di una vera e propria rivoluzione, non si può dire lo stesso sotto il profilo del diritto che, fino al 2013, ha ignorato la questione Big Data o, quantomeno, l’ha di fatto considerata riconducibile ai parametri dei classici trattamenti di dati personali. Per evidenziare, al contrario, perché il tema Big Data necessita di una approccio specifico, che tenga conto delle sue peculiarità, sembra opportuno partire da un semplice caso pratico.

Il “caso Target” e i predictive analytics

Ho iniziato a interessarmi di Big Data nel 2012 — quando già da anni in ambito ICT se ne parlava e le tecnologie applicate ai dati erano già da tempo diffuse — leggendo alcuni articoli sul “caso Target” [1]. Target, una delle più importanti catene al mondo nell’ambito della grande distribuzione organizzata, aveva iniziato sin dai primi anni 2000 a investire, come anche i suoi concorrenti, nel campo dei Big Data. Il dipartimento di predictive analytics di Target, composto da una dozzina di specialisti altamente qualificati, si distingueva in particolare per i risultati raggiunti nell’analisi dei dati di consumo dei propri utenti.

Aveva fatto scalpore, quantomeno tra i non addetti ai lavori, l’impiego da parte dell’azienda di algoritmi capaci di predire, con un elevatissimo grado di probabilità, la futura maternità delle clienti registrate: era sufficiente raccogliere i dati di acquisto di beni di uso comune, come integratori minerali (calcio, magnesio e zinco), shampoo neutri, asciugamani, saponi liquidi e batuffoli di cotone per poter prevedere il loro stato di gravidanza, a partire dal quarto mese, e stabilire, con strabiliante precisione, la data del parto. Con i dati ricavati sarebbe poi stato possibile indirizzare campagne di marketing mirate, anticipando la concorrenza di circa 5 mesi.

Un ribaltamento di prospettiva

Questo esempio, che mostra in modo limitato quali siano gli impieghi e le effettive potenzialità dei Big Data, probabilmente non rappresenta per i tecnici una particolare novità. Ma, per chi si accosta a questo fenomeno sotto un profilo legale, è un esempio illuminante, che dimostra come ci si trovi di fronte ad una piccola rivoluzione. La ragione è presto detta.

Normalmente, per valutare la conformità legale di un trattamento di dati, si cerca in primis di stabilire quali siano gli scopi perseguiti attraverso l’elaborazione dei dati (le cosiddette finalità del trattamento), quali siano i tipi di dati trattati (dati comuni, dati sensibili, dati giudiziari, di geolocalizzazione, etc.) e quali siano gli strumenti utilizzati per effettuare le operazioni sui dati (strumenti manuali o informatici). E questo per due motivi: primo, perché da questi elementi dipende la normativa applicabile e, secondo, perché è sempre necessario, prima dell’avvio di attività di elaborazione di dati, informare in piena trasparenza il soggetto a cui questi si riferiscono (il cosiddetto interessato) circa le caratteristiche del trattamento.

Il fenomeno Big Data scardina però qualsiasi modalità classica di approccio al problema: chi tratta Big Data, molto spesso, raccoglie enormi quantità di dati e li elabora senza sapere o poter sapere come poi utilizzerà le informazioni ricavate, non conoscendo a priori il risultato della loro analisi; alla luce dell’elaborazione potrebbe decidere di cedere a terzi i dati ottenuti, di incrociarli con altri dataset, di utilizzarli direttamente per attività di marketing, etc. Chi elabora grandi quantità di dati, molto spesso, come mostra il caso Target, raccoglie dati personali comuni ricavandone poi dati sensibili, anche senza che questo sia previsto, il cui trattamento si basa su presupposti normativi molto diversi; l’algoritmo con cui si elaborano i dati personali non è più paragonabile ad un qualsiasi strumento elettronico che consente di conservare o trasmettere i dati, ma è in grado di diventare fonte di “nuovi” dati personali non forniti e/o raccolti presso l’interessato, uno strumento che ci restituisce una quantità di dati personali superiore alla semplice somma di quelli già in nostro possesso.

 

Big Data, chi sono costoro?

Ma a cosa ci si riferisce esattamente quando si parla di Big Data? Può sembrare una domanda scontata o superflua, ma è un aspetto di importanza basilare per riuscire a orientarci nel panorama normativo attuale. Occorre pertanto individuare un significato sufficientemente chiaro da attribuire o accostare a questa espressione.

Big Data: una definizione

Le definizioni di Big Data sono numerose quanto le loro possibili applicazioni, ma, per quanto possa sembrare strano, attualmente in Italia, a livello europeo vi è una definizione legislativa di Big Data, o di un’espressione equivalente. Il tema, però, è stato più volte oggetto di analisi e dibattito a Bruxelles e, in questa sede, sono state proposte alcune definizioni che, seppur prive di carattere vincolante, costituiscono un buon punto di riferimento per la nostra analisi.

La prima definizione di Big Data emersa in sede Europea è stata quella adottata dall’Article 29 Working Party (il cosiddetto WP29), gruppo con funzioni consultive, formato, per la maggior parte, da rappresentanti delle Autorità Garanti in materia di protezione dei dati personali. Secondo il WP29 l’espressione “Big Data” si riferisce “a gigantesche banche dati digitali conservate da aziende, governi e altre grandi organizzazioni che vengono analizzate in modo estensivo attraverso algoritmi elettronici” [2]. La definizione, ripresa più volte anche da altri organismi dell’Unione Europea, seppur generica e sotto certi aspetti insoddisfacente, ha il pregio di evidenziare gli elementi essenziali di questo nuovo strumento: parlando di Big Data ci si riferisce quindi a banche dati, contenenti grandi quantità di dati (di qualsiasi natura) trattati in modo estensivo tramite algoritmi di nuova generazione e procedure statistiche.

Sulla base di questi elementi è possibile iniziare a scorgere una traccia che ci possa portare a rispondere alle domande

  • a. se si tratta di un fenomeno che viene già disciplinato da una o più normative e
  • b. (in caso di risposta affermativa) cosa prevedono queste normative.

Quali normative?

Nonostante l’apparenza, in realtà, tra le due domande la prima è sicuramente quella più complessa. Questo perché con l’espressione Big Data ci si riferisce a trattamenti di dati di qualsiasi tipo: non solo a quelli personali, ossia riferibili ad una persona fisica identificata o identificabile, ma anche a quelli di persone giuridiche (società, associazioni, fondazioni, etc.), a dati anonimi (dati che in origine, o a seguito di trattamento, non possono essere associati ad un interessato identificato o identificabile) e ad altri tipi di dati (relativi ad eventi naturali, ad esempio).

Se è ormai circostanza nota a tutti il fatto che vi sia una normativa che disciplina i trattamenti di dati personali, il cosiddetto “Codice Privacy” (D.lgs 196/2003), con cui quindi necessariamente ci si dovrà confrontare quando si opera su questo tipo di dati, è lecito chiedersi quale normativa si applichi ai trattamenti con Big Data che contengono dati di altra natura. Partendo da questa, generica, considerazione possiamo iniziare a distinguere due ipotesi: una relativa ai trattamenti di dati personali e una relativa ai trattamenti di altri tipi di dati.

Big Data contenenti dati personali

Come già anticipato, nell’ipotesi in cui i nostri Big Data contengano dati personali, la normativa di riferimento sarà necessariamente quella prevista dal Codice Privacy. Questa però dovrà essere applicata con modalità e disposizioni specifiche indicate sia nei Provvedimenti del Garante, sia nei pareri dell’Article 29 Working Party, come si vedrà nel dettaglio nel prossimo articolo di questa serie.

Big Data contenenti altri tipi di dati

Qualora, invece, i nostri Big Data non contengano dati personali, ma altri tipi di dati, non si applicherà il Codice della Privacy e tutte le sue importanti limitazioni. E questo ce lo dice il Codice Privacy stesso, che restringe il suo ambito di applicazione al solo trattamento di dati personali.

Ciò non significa però che, quando si elaborano, ad esempio, dati di società, dati anonimi o qualsiasi altro tipo di dato, ci si trovi di fronte ad un vuoto legislativo in cui tutto è consentito. Si dovranno comunque rispettare le disposizioni generali in vigore nel nostro ordinamento, come quelle stabilite ad esempio dal Codice Civile e Penale, ma non solo. Un’attenzione particolare andrà riservata alle disposizioni previste dalla normativa in tema di diritto d’autore (si pensi all’ipotesi di Big Data contenenti informazioni, statistiche, etc. tratte da una ricerca scientifica) e alle disposizioni previste a tutela della costituzione di banche dati (anch’esse contenute nella legge sul diritto d’autore).

 

Conclusioni

Dopo aver chiarito, da un punto di vista legale, il significato di Big Data ed essere riusciti a individuare la normativa applicabile ai nostri trattamenti, nei prossimi articoli della serie si analizzeranno nel dettaglio gli adempimenti legali, tecnologici e organizzativi previsti dall’attuale disciplina.

 

Riferimenti

[1] Charles Duhigg, How Companies Learn Your Secrets, The New York Times Magazine

http://www.nytimes.com/2012/02/19/magazine/shopping-habits.html?pagewanted=1&_r=2&hp

 

[2] Article 29 Working Party, Opinion 03/2013 on purpose limitationpdf – WP 203

http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/index_en.htm

 

 

Condividi

Pubblicato nel numero
221 ottobre 2016
Andrea Palumbo è avvocato, si occupa di Diritto delle nuove tecnologie e Privacy, materia nella quale svolge anche attività di consulenza e formazione per aziende e pubbliche amministrazioni. Collabora inoltre, in qualità di Cultore della Materia, con la cattedra di Informatica Giuridica dell’Università di Milano – Bicocca.
Articoli nella stessa serie
Ti potrebbe interessare anche