e-Gov

Data protection e big data: i profili giuridici del fenomeno

Logo Diritto Informatica

Ogni giorno, secondo una ricerca condotta da Forbes, produciamo complessivamente circa 2,5 quintilioni di byte di dati. Potrebbe sembrare un numero esorbitante se non tenessimo conto del fatto che qualsiasi nostra attività, se connessa alla rete, si trasforma in dati. Produciamo dati ogni volta che usiamo un sistema operativo, mandiamo un’e-mail, facciamo una ricerca su internet, usiamo un’applicazione di mobilità per raggiungere un determinato luogo, avviamo un download online, utilizziamo una carta di credito, fissiamo un cartellone pubblicitario dotato di sensori ottici o passiamo in una zona videosorvegliata.

Ma che fine fanno questi dati?

La parola magica è big data.

Ognuno di questi dati finisce in grandi banche dati, che, combinate tra di loro, vengono analizzate al fine di creare nuovi servizi, migliorare quelli già esistenti, rendendoli sempre più personalizzati, sicuri ed adeguati alle esigenze dei consumatori. È questa la definizione di Big Data.

Un esempio classico è la profilazione per finalità di marketing, che, mediante il tracking delle attività degli utenti online, crea dei profili con lo scopo di offrire loro pubblicità più vicine ai propri interessi.

Photo credit - depositphotos.com

Lo stesso accade anche con il machine learning, che usa i big data per insegnare ai computer ad interfacciarsi meglio con la realtà umana, esempi sono gli assistenti intelligenti, così come nell’industria automobilistica, che, invece, ricorre ai big data riguardanti la mobilità per rendere la circolazione più smart e perfezionare i veicoli a guida automatica. Altri campi di utilizzo sono il riconoscimento delle emozioni e la salute.

Dall’inglese “grande massa di dati”, i big data, secondo la risoluzione del marzo del 2017 del Parlamento Europeo, coincidono con il trattamento automatizzato di una grande quantità di dati provenienti da fonti diverse (sistemi operativi, social network, motori di ricerca, posta elettronica, sistemi di sensori). Nella nozione di trattamento si includono tutte le attività di raccolta, analisi ed accumulo.

Ma il quid pluris di questa nuova tecnologia sta proprio nelle sue enormi potenzialità. Una combinazione differente dei dati e l’impiego di un elaboratore basato su un diverso software o algoritmo possono produrre migliaia di risultati diversi, tanto da far assumere al trattamento una finalità differente. A ciò si aggiunge, non solo, che la raccolta dei dati è facile ed economica, ma anche che i dati non si esauriscono, per cui il processo di utilizzazione può ripetersi all’infinito e produrre a sua volta un’infinità di nuovi dati.

I profili giuridici del fenomeno

Se, da un lato, l’utente può trarre un beneficio dal trattamento tramite big data, dall’altro lato, il disvelamento dei propri dati comporta dei costi. Inevitabilmente questo trattamento produce un impatto sull’individuo ed i propri diritti, che, di conseguenza, meritano tutela. La normativa di riferimento per eccellenza in materia di data protection, in questo momento storico, è il Reg. UE 2016/679 (GDPR).

Infatti, seppure nella forma di banche dati, l’oggetto dei big data è pur sempre un dato. Il considerando 91 del Regolamento sancisce l’applicazione delle disposizioni del GDPR anche ai trattamenti su larga scala, definiti come trattamenti riguardanti una notevole quantità di dati personali a livello regionale, nazionale e sovranazionale che potrebbero incidere su un vasto numero di interessati e presentare potenzialmente, data la loro sensibilità, un rischio elevato per i diritti delle persone fisiche.

Il big data rientra quindi nella definizione di trattamento su larga scala e, pertanto, deve avvenire nel rispetto del GDPR. E infatti il GDPR si riferisce ai big data in molte disposizioni. Lo fa quando stabilisce, ad esempio, che la disciplina della data protection si applica al trattamento dei dati personali di interessati che si trovano nell’UE indipendentemente dalla collocazione del titolare o del responsabile del trattamento (art. 4 GDPR). Lo fa nell’art. 22, in cui si disciplina il trattamento dei dati tramite un processo decisionale automatizzato, compresa la profilazione, tenuto conto che il trattamento svolto nei big data è sempre automatizzato. E, ancora, lo fa quando prevede una privacy dei dati by default e by design, stabilendo l’obbligo per il titolare del trattamento di mettere in atto misure tecniche ed organizzative adeguate (pseudonimizzazione e minimizzazione) al fine di mitigare i rischi derivanti dal trattamento (art. 25 GDPR) sin dalla progettazione delle informazioni.

Da queste disposizioni, definite per i trattamenti su larga scala, è possibile dire che, in materia di big data, il GDPR cerca di bilanciare le potenzialità intrinseche di tali banche dati, consentendone la riutilizzabilità, con i diritti degli interessati alla protezione delle informazioni che li riguardano.

I problemi applicativi

Nonostante ciò, sono molte le difficoltà di applicazione delle disposizioni del Regolamento a questa tipologia di trattamento.

Alcune di esse fanno riferimento all’oggetto della tutela. Secondo l’art. 2 GDPR, l’ambito di applicazione materiale del Regolamento riguarda il trattamento di dati personali, che permettano l’identificazione dell’interessato. Nei big data il trattamento riguarda dati personali e dati non personali. Tuttavia, a causa dell’ingente quantità e della varietà di algoritmi che possono essere ad essi applicati, in alcuni casi, distinguere i dati personali da quelli non personali diventa estremamente difficile. La natura dei dati da analizzare, in effetti, sarà definibile solo a seguito dell’elaborazione, per cui un dato non personale potrà condurre ad un dato personale, ed un dato anonimo, invece, potrà, a seguito dell’analisi, condurre all’identificazione dell’interessato. La natura propria dei big data e questa difficoltà di distinzione dei dati personali dai dati non personali, in essi connaturata, genera ulteriori criticità, rendendo ardua l’applicazione di alcuni principi previsti nel GDPR eppure ritenuti essenziali per il raggiungimento dell’accountability del titolare del trattamento.

In primis, viene coinvolto il principio di esattezza. La varietà e la quantità dei dati analizzati impediscono di verificare sin dall’origine l’esattezza degli stessi. In secondo luogo, vengono colpiti i principi di minimizzazione dei dati ed il principio di limitazione delle finalità. Il coinvolgimento di questi principi deriva proprio dall’impossibilità di stabilire dall’inizio le finalità della raccolta e dell’analisi delle informazioni a causa da un lato delle potenzialità intrinseche del dato e, dall’altro, dalla varietà delle elaborazioni che possono condurre a nuovi dati.

L’apparente inesauribilità dei dati, trattabili per qualsiasi finalità, fa sorgere criticità anche per il principio di limitazione della conservazione. Infine, merita attenzione anche il consensodell’interessato. Nei big data non sempre vi è un consenso informato dell’interessato. Ciò deriva proprio dal gap strutturale e conoscitivo tra l’utente ed il titolare del trattamento. L’interessato-utente non sempre ha tutte le informazioni per poter esprimere un consenso informato, ed, inoltre, anche nel caso in cui le avesse, non potrebbe comprenderle, poiché si fondano su algoritmi e software basati su un linguaggio complesso ai più incomprensibile.

Tutela penale dei big data

Il GDPR prevede che, in caso di violazione delle disposizioni in esso contenute, al titolare ed al responsabile del trattamento debbano essere applicate sanzioni amministrative. Ma quale è la tutela riconosciuta ai big data nell’ordinamento giuridico italiano, e, in particolare, nel diritto penale?

Ad oggi, per il diritto, i big data rappresentano una nuova categoria. Per riconoscere loro una tutela, il diritto civile ha fatto ricorso alle categorie di banche dati e di informazioni protette da segreto, mentre il diritto penale, in maniera più automatica, ha utilizzato le ipotesi di reato previste per i sistemi informatici.

Di fatto, il ricorso al sistema informatico fa sì che la tutela riconosciuta si rivolga, non ai dati in quanto tali, ma al “luogo” (sistema informatico) che li contiene. In tal modo, quindi, sarà punibile ogni condotta di accesso abusivo (art. 615-ter c.p.), di detenzione o diffusione abusiva di codici di accesso a sistemi informatici (art. 615-quater c.p.) e di diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare i sistemi informatici (art. 615- quinquies c.p.). Sarà punita, inoltre, ogni condotta di intercettazione, impedimento o interruzione illecita di comunicazioni informatiche in un sistema o tra più sistemi (art. 617-quater c.p.) e di installazione di apparecchiature atte a intercettare, impedire o interrompere le comunicazioni informatiche (art. 617-quinquies c.p.). E, più in generale, ogni condotta di danneggiamento, distruzione, cancellazione, soppressione e sottrazione (ex artt. 635-bis, 635-ter, 635-quater e 635-quinquies c.p.). e di qualsiasi alterazione (frode informatica ex art. 640-ter c.p.) di un sistema informatico. Non solo.

Photo credit - depositphotos.com

Anche in diritto penale, qualora ricorrano determinate condizioni, è possibile assicurare ai big data la protezione quali segreti. Per il Codice della proprietà industriale, all’art. 98, e la direttiva UE 943/2016, tutte le informazioni aziendali, le esperienze tecnico-industriali (know-how) e le informazioni commerciali di un’azienda (liste clienti, dati contrattuali, preferenze merceologiche) rientrano tra le informazioni tutelabili come segreti. Nei big data, generalmente, vengono trattate le informazioni commerciali di un’azienda. Pertanto, ogni qualvolta, in presenza di trattamenti di questo tipo, vi siano rivelazioni delle informazioni in essi contenute, si configurerà un delitto punito dal Codice penale agli artt. 621, 622, 623, garantendo ai big data una tutela da più versanti.

 In arrivo una nuova ed adeguata policy

Le considerazioni fin qui esposte mostrano come il ruolo assunto dai big data nel “funzionamento dei mercati, nel benessere dei consumatori, ma anche sotto il profilo sociale e democratico” è destinato a diventare sempre più rilevante e centrale. Tuttavia, la rilevanza e la centralità del fenomeno evidenziano, come sopra descritto, l’inadeguatezza del quadro normativo attuale, rendendo assolutamente necessario un intervento del legislatore. Anche l’Autorità Garante della Privacy, di concerto con l’Autorità Garante delle Comunicazioni e l’Autorità Garante della Concorrenza e del Mercato, si è fatta portatrice di questa esigenza.

Con il provvedimento del 2 luglio 2019, in effetti, è stata annunciata la fine dell’indagine conoscitiva ed interdisciplinare avviata nel maggio 2017 e l’arrivo di linee guida e raccomandazioni circa la policy nei big data.

Sono quindi in arrivo grandi novità per la protezione dei dati ed i big data.

Pluralismo informativo, promozione di un adeguato quadro normativo, riduzione delle asimmetrie informative tra utenti ed operatori e maggiore trasparenza saranno i pilastri della nuova policy nell’era dell’industria 4.0, dell’IoT e dell’AI fatta da 3,7 miliardi di utenti.