Di Dati Personali, se ne sta parlando molto in questo periodo, in occasione dell’imminente applicazione del nuovo Regolamento Europeo Generale sulla Protezione dei Dati (“General data Protection Regulation” o GDPR) che avverrà il 25 maggio prossimo.
Le persone sono sempre più attente all’uso che viene fatto dei propri dati. Le organizzazioni saranno ora tenute a dare chiara evidenza, all’autorità e alle persone a cui appartengono le informazioni che raccolgono ed utilizzano, di tutte le procedure tecnico organizzative che adottano per la gestione di questi dati.
Ma che cosa si intende per “dati personali”? Che tipo di dato rientra in tale classificazione?
Il regolamento definisce come dati personali “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;” (Art.4 – 1).
Lo sviluppo tecnologico ha inciso notevolmente sulle modalità di acquisizione dei dati e sulla granularità delle informazioni raccolte.
Pertanto, giustamente, il regolamento estende l’ambito dei “dati personali”.
Internet ha facilitato la raccolta di informazioni molto dettagliate su come si comportano le persone. Un’azione osservabile, trasformata poi in dato, non è limitata alle registrazioni, agli acquisti, agli archivi, ma include anche i micro passaggi che portano a tali azioni.
Sono “dati personali” quindi anche quelli derivati dal monitoraggio del comportamento degli individui da tracciamento su internet: l’indirizzo IP, per esempio, qualora possa essere ricondotto alla persona che sta utilizzando il dispositivo, così come la rilevazione della posizione di un dispositivo di proprietà della persona, sono considerati come suoi “dati personali”.
Nuove tecnologie e sensori rendono possibile l’osservazione granulare sia nel mondo fisico che in quello virtuale. Tutti i principali centri commerciali dispongono di telecamere a circuito chiuso e le immagini possono essere trasformate in dati. Le automobili sono dotate di sensori che misurano costantemente le metriche di funzionamento del veicolo. La combinazione di osservazione online e fisica ha facilitato l’espansione dei dati osservativi. Sebbene questi dati iniziano con azioni di individui, essi non sono partner attivi nella loro origine.
La persona dunque non può sapere quali informazioni personali siano raccolte da tecnologie così avanzate.
Ancora meno si può essere consci di quali siano le informazioni derivati da rielaborazioni statistiche predittive che, affiancando a dati profilati dati comportamentali generici, riescono a derivare una profilazione precisa della persona fisica per adottare decisioni che la riguardano o analizzarne o prevederne le preferenze, i comportamenti e le posizioni personali.
Sono “dati personali” quindi anche quelli raccolti automaticamente o risultanti da rielaborazioni successive.
Per capire meglio cosa sia da ritenersi un dato personale possiamo fare riferimento alla classificazione della Foundation for Accountability Information che differenzia le diverse tipologie di dati personali basasi sull’origine dell’informazione.
La Fondazione è una fondazione riconosciuta a livello globale, punto di riferimento anche per le autorità legislative per inquadrare e far progredire la legislazione e la pratica della protezione dei dati attraverso la governance delle informazioni basata sulle responsabilità, proteggendo i diritti delle persone alla privacy e all’autonomia.
La Foundation for Accountability Information distingue quattro tipologie principali di dati basandosi sulla loro origine:
- DATI FORNITI (PROVIDED DATA) – dati forniti direttamente dall’individuo:
- INNESCATI (INITIATED) – sono dati prodotti da individui che intraprendono un’azione che inizia una relazione come per esempio richiedere un prestito, registrarsi per votare, stipulare una licenza, o registrarsi su un sito Web.
- TRANSAZIONALI (TRANSACTIONAL) – sono dati che vengono creati quando un individuo è coinvolto in una transazione. Le transazioni possono includere l’acquisto di un prodotto con una carta di credito, il pagamento di una fattura, la risposta a una domanda o l’esecuzione di un test.
- POSTATI (POSTED) – sono dati che vengono creati quando gli individui si esprimono proattivamente in un post sui social network, generando informazioni che saranno viste o ascoltate da altri.
- DATI OSSERVATI (OBSERVED DATA) – dati che vengono osservati e registrati:
- INGAGGIATI (ENGAGED) – sono dati che provengono per esempio da cookie online, carte fedeltà, sensori su dispositivi personali ed altri casi in cui l’individuo viene informato dell’osservazione in un determinato momento.
- NON ANTICIPATI (NOT ANTICIPATED) – sono dati raccolti da sensori di cui le persone sono consapevoli dell’esistenza ma hanno percezione limitata del fatto che raccolgono dati che li riguardano. Ad esempio, una persona potrebbe essere consapevole del fatto che ci sono sensori nelle ruote dell’automobile e nella coppa dell’olio nel motore, ma potrebbe non essere consapevole del fatto che questi raccolgono dati sul suo comportamento nella manutenzione dell’auto.
- PASSIVI (PASSIVE) – sono dati raccolti da un’osservazione di cui l’individuo è completamente ignaro. Si pensi per esempio alla videoregistrazione CCTV nei luoghi pubblici se combinata con il riconoscimento facciale.
- DATI DERIVATI (DERIVED DATA) – dati che vengono derivati in modo abbastanza meccanico da altri dati che diventano un nuovo elemento di dati relativo all’individuo:
- COMPUTAZIONALI (COMPUTATIONAL) – sono dati calcolati con un processo aritmetico eseguito su elementi numerici esistenti. Ad esempio, un creditore potrebbe creare dati computazionali calcolando il rapporto tra debito ipotecario e debito totale del consumatore, un venditore online potrebbe calcolare la spesa media per visita o un commerciante potrebbe calcolare la percentuale di articoli restituiti rispetto a quelli acquistati. Ognuno di questi nuovi dati computazionali prodotti costituisce un’informazione che potrebbe essere utilizzata dall’organizzazione per comprendere meglio il comportamento e prendere decisioni relative all’individuo. In genere, la persona non è consapevole della creazione di questi dati.
- NOTAZIONALI (NOTATIONAL) – sono dati derivati dalla classificazione degli individui come facenti parte di un gruppo, basandosi sulle caratteristiche comuni mostrate dai membri del gruppo. Ad esempio, un venditore potrebbe notare che i suoi clienti hanno sei attributi comuni e cercare gli stessi attributi in un gruppo di potenziali clienti.
- DATI INFERITI (INFERRED DATA) – dati che vengono dedotti da un processo analitico basato sulla probabilità. Derivano da un’ulteriore analisi con aggregazione di informazioni che arrivano da contesti diversi. La persona solitamente non è consapevole della creazione di dati che la riguardano che sono il prodotto delle inferenze che provengono da questo tipo di analisi:
- STATISTICI (STATISTICAL) – sono dati dedotti da una rielaborazione statistica. Ad esempio i punteggi di rischio di credito, la maggior parte dei punteggi di frodi, i punteggi di risposta e i punteggi di redditività.
- AVANZATI (ADVANCED) – sono dati generati da processi analitici avanzati come quelli che si trovano nei big data. Questi dati sono generati da analisi correlativa su insiemi di dati più grandi e diversi. Ad esempio in campo medico, i Big Data stanno iniziando a generare intuizioni sulla probabilità di futuri risultati di salute.
Qualunque sia l’origine dunque del dato, se questo è riconducibile direttamente all’individuo è da ritenersi ai sensi di legge come “dato personale”.
Anche se i dati sono sottoposti a deidentificazione, cifratura o pseudonimizzazione, ma possono essere utilizzati per reidentificare la persona, vengono considerati come “dati personali”.
Dati invece resi anonimi in modo tale che in nessun modo possano essere ricondotti ad una persona fisica, non sono considerati “dati personali”.
Nel rispetto della privacy degli individui il regolamento richiede alle organizzazioni di adottare tutte le misure di sicurezza necessarie per evitare che la riservatezza dei dati privati venga violata.
Fatta luce sulla reale ampiezza dell’ambito che coinvolge la raccolta e la rielaborazione dei dati personali, risulta chiaro che un efficace sistema di sicurezza informatica (oltre che procedurale-organizzativa) dovrà essere tema di forte attenzione da parte di aziende ed organizzazioni pubbliche.
Ma non solo! Perché se la sicurezza informatica è naturale perimetro delle direzioni IT, spesso però le competenze di quest’ultime sono verticalizzate sul core business aziendale o strettamente vincolate a skills tecnologici operativi. L’adozione di un sistema tecnologico non risolve il tema della protezione, che abbiamo visto essere molto più ampio, ma fornisce solo strumenti in grado di mettere in atto le misure di mitigazione necessarie.
Quali strumenti adottare e quando attivarli non può essere una decisione relegata al solo dipartimento IT.
La classificazione dei dati e la valutazione dell’efficacia delle possibili misure richiede l’accesso a competenze specifiche di analisi, in grado di concentrare gli sforzi nella giusta direzione.
Al tema dell’adeguamento di processi e procedure aziendali alle norme di protezione, si affianca, con eguale importanza il tema della corretta analisi del patrimonio costituito dai dati aziendali per cogliere l’opportunità di catturare da queste un grande valore per il business.
Come ZeraTech può aiutarti:
Affianchiamo alle consolidate competenze nel disegno di sistemi informativi complessi con l’adozione di nuovi skills in ambito della Data Analysis. Con un approccio end-to-end supportiamo le organizzazioni nell’identificazione e classificazione dei dati e delle loro sorgenti. Sosteniamo e guidiamo le direzioni IT nel difficile compito di abilitare le dovute protezioni dei dati ed al contempo supportiamo le line of business nell’analisi e nella definizione del valore strategico dei dati che l’azienda possiede.
