21/01/2020
Big data, privacy by design e misure di sicurezza

Il fenomeno “Big Data” è uno dei temi che, da qualche anno a questa parte, ha preso sempre più piede in considerazione dell’accesso e delle modalità di reperibilità dei dati: social network, IoT e intelligenza artificiale sono alcune delle metodologie che vengono utilizzate per poter estrapolare ed elaborare i dati.

Il trattare i dati, ove questi rientrino nella definizione di dati personali, vede obbligatoriamente la doverosa applicazione del GDPR, in particolare nel caso questi trattamenti siano ancora in fase di progettazione (o in fase di implementazione). Il GDPR, infatti, al suo art. 25 co. 1 disciplina la protezione dei dati fin dalla progettazione stabilendo quanto segue:

Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del
contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati

Il primo argomento che viene in luce è la valutazione di eventuali rischi per diritti e libertà di persone fisiche che, contrariamente a quanto si potrebbe pensare, è una valutazione del rischio preventiva e diversa dalla DPIA in quanto la prima valuta in complesso i rischi che possono derivare dal trattamento come intenso dal titolare del trattamento, mentre la seconda è da effettuare solo ove si rientri nei casi di cui all’art. 35 del GDPR.

Il secondo argomento, risulta l’obbligo di applicazione di misure tecniche e organizzative adeguate al trattamento, sin dalla sua progettazione, al fine di tutelare gli interessati. E’ interessante (si perdoni il gioco di parole) vedere come gli interessati ricevono tutela seguendo il medesimo schema di misure preposto dall’art. 32 del GDPR il quale recita:

Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle
finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio

aggiungendo poi alcune misure di sicurezza già definite dal comparto organico del GDPR quali la pseudonimizzazione, la business continuity e la disaster recovery e misure per il monitoraggio dell’adeguatezza della sicurezza impostata dal titolare del trattamento.

Fatte queste premesse normative, bisogna ora capire quali possono essere le misure applicabili da porre a protezione degli interessati. Tra queste, a parte il rispetto dei principi generali del GDPR (v. ad es. minimizzazione), potremmo citare l’anonimizzazione del dato, dove per tale si intende la situazione in cui il titolare passa da una situazione in cui è in grado di identificare una singola persona a non essere ulteriormente in grado di identificarla: questo può essere utile in caso di dati utilizzati solamente per finalità statistiche in cui non vi è effettivamente bisogno dell’identificazione della singola persona.

Qualora l’anonimizzazione non sia possibile, il titolare può propendere per la pseudonimizzazione come definita dall’art. 4 del GDPR:

il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile

In pratica, quindi, facendo un esempio, il titolare potrebbe decidere di separare i nomi dai cognomi creando due database separati di modo che senza l’associazione del nome al cognome la persona fisica non sia ulteriormente identificabile.

Altra misura sicuramente applicabile a questa tipologia di trattamenti può sicuramente essere la cifratura dei dati e dei database al fine di poter proteggere i dati da intrusioni esterne e da accessi non autorizzati da parte di risorse interne.

Le misure sopra analizzate sono solamente alcune di quelle applicabili ai trattamenti dati e sarà onere del titolare del trattamento, sulla base del principio di accountability, valutare quali siano le misure adeguate al trattamento che si sta realizzando.

SEI INTERESSATO AI NOSTRI SERVIZI?
Contattaci!
SCRIVICI E TI CONTATTEREMO NOI!