La principale fonte in materia di dati personali è costituita dal regolamento europeo 2016/679 del 27 aprile 2016, che ha raggiunto la piena applicazione il 25 maggio scorso. Tale regolamento ha abrogato la direttiva 95/46, del 24 ottobre 1995. Uno dei motivi che ha reso necessaria la riforma è stato l’evoluzione dei cosiddetti Big Data: l’espressione si riferisce all’analisi di grandi quantità di dati provenienti da fonti eterogenee (Internet, social networking, sensor networks, etc.).
I Big Data
I Big Data si caratterizzano per la notevole estensione, l’estrema rapidità e la varietà della forma e del contenuto. Le tecnologie associate mirano ad estrapolare da questa immensa mole di materiale le informazioni d’interesse per chi esegue l’operazione, che può essere un’impresa, un istituto di ricerca, un’organizzazione governativa. Il fenomeno dei Big Data è stato inserito dal legislatore del 2016 nella definizione stessa di “trattamento”, che l’articolo 4 del RGPD descrive come “qualsiasi operazione o insieme di operazioni (…) applicate a dati personali o insiemi di dati (…)”.
Il rinvio ai dati considerati in gruppo mancava nella direttiva, e ciò è significativo: è stato il progresso tecnologico dell’ultimo trentennio, infatti, che ha costretto i data analysts a confrontarsi con la gestione di un numero esponenziale d’informazioni.
Quali sono però gli usi pratici dei Big Data? Uno di essi è la predizione delle preferenze elettorali. D. W. Nickerson, ricercatore all’University of Notre Dame, e T. Rogers, della Harvard Kennedy School of Government, hanno pubblicato nel 2013 uno studio sull’uso dei dati personali finalizzato a migliorare l’efficacia delle campagne politiche. Alla domanda “where does campaign data come from?”, lo studio risponde indicando una serie d’informazioni personali, alcune delle quali già in possesso dello Stato (genere, dati anagrafici, dati di contatto, dati sul livello di partecipazione elettorale, etc.). Per quei cittadini che avevano fornito l’indirizzo di posta elettronica così da ricevere aggiornamenti sull’evolversi delle campagne, i dati provenivano anche da ogni gesto compiuto via email.
Le insidie
La cronaca più recente ha rivelato le insidie di simili operazioni: si pensi a Cambridge Analytica, una società d’analisi con idee politiche filo-conservatrici, entrata nel mirino della stampa internazionale per via del suo legame con Facebook. Tale legame passa attraverso Aleksandr Kogan, il creatore un’app (“thisisyourdigitallife”) finalizzata ad indovinare il profilo psicologico degli utenti partendo dalle attività online. L’app è stata indebitamente connessa a Facebook, allo scopo di tracciare ed esaminare i commenti rilasciati dagli utilizzatori o i loro “Likes”.
Benché il social network non consenta la condivisione dei dati in esso contenuti con società terze, gli elementi finora raccolti dimostrano che i vertici dell’azienda scoprirono la falla già nel 2015, senza però adottare alcuna politica informativa o protettiva in risposta. Si sospetta che le informazioni così ottenute siano state usate per fare propaganda contro Hillary Clinton, favorendo la corsa presidenziale di Donald Trump.
L’accountability
In conclusione, i dati di natura strettamente personale possono essere manipolati all’insaputa degli interessati. La normativa europea appena entrata in vigore va letta come una risposta a questo problema, fornita attraverso una serie di strumenti: in primo luogo, ciascun soggetto preposto a trattare i dati è reso accountable per le proprie azioni. L’accountability impone, in parallelo, una rendicontazione dettagliata dell’attività svolta, offrendo agli utenti uno strumento efficace in caso di contestazioni future. In secondo luogo, gli interessati devono essere informati, in maniera chiara ed esaustiva, delle misure protettive dei dati e di cosa succede quando informazioni che li riguardano sono trattate nell’ambito di servizi erogati online.
Le organizzazioni coinvolte saranno obbligate a pubblicare note divulgative sul trattamento, indicando chi vi procede in concreto, sotto la responsabilità di chi ciò avviene, e per quali finalità. Infine, un ulteriore strumento di tutela è la cd. privacy by design (o protezione dei dati fin dalla progettazione), che obbliga gli architetti dell’analisi dei Big Data ad integrare nel loro piano aziendale le migliori tecniche protettive presenti sul mercato.