Lex101

E’ stato recentemente presentato un parere del Garante Europeo per la Protezione dei Dati Personali dal titolo “Meeting the Challenges of Big Data: A Call for Transparency, User Control, Data Protection by Design and Accountability”. Si tratta, secondo chi scrive, del documento più interessante su “Big Data e Privacy” finora pubblicato da un’istituzione europea. Senza particolari divagazioni in sterili petizioni di principio, il parere mette in luce gli aspetti più rilevanti e problematici della normativa continentale, cercando di indicare alle aziende, e a tutti i soggetti che effettuano trattamenti di grandi volumi di dati, come approcciare in concreto il tema Big Data in modo conforme alla normativa in vigore.

Il presupposto principale del parere, tutt’altro che scontato, è che, nella maggior parte dei casi, i Big Data sono costituiti da dati personali (così come definiti dalla Direttiva UE 46/95) anche qualora siano stati “anonimizzati” attraverso operazioni o tecniche specifiche. Da ciò discende la piena applicabilità della normativa in materia di Data Protection in termini di obblighi e responsabilità per titolari e responsabili del trattamento. Sulla base di questa “semplice” premessa il Garante suggerisce a tutti i soggetti che effettuano operazioni sui Big Data:

-          un approccio trasparente, che consenta agli interessati (ovvero ai soggetti a cui i dati si riferiscono) a) di conoscere a priori le logiche e le tecnologie applicate ai trattamenti sui dati b) di ottenere in forma intellegibile i dati che li riguardano e c) indicazioni sulla fonte da cui sono stati tratti. Tali informazioni dovranno essere inserite e rese conoscibili attraverso l’informativa privacy ex art. 13 D.lgs 196/2003;

-          di garantire agli interessati un maggiore controllo sui dati, prevedendo, ad esempio, la possibilità incondizionata di opposizione al trattamento (il cosiddetto “no-question asked opt-out”) diversamente da quanto attualmente previsto dalla normativa europea e italiana (si veda ad esempio l’art. 7, comma 4 del D.lgs 196/2003), assicurando la portabilità dei dati e la possibilità di cambiare operatore;

-          di sviluppare tecniche ingegneristiche e software privacy-friendly, concepiti sin dall’inizio per garantire agli interessati trasparenza e controllo sui dati;

-          di prevedere sistemi di vigilanza e meccanismi interni all’azienda che garantiscano la conformità alla normativa delle operazioni sui dati, anche in previsione di controlli da parte delle Autorità.

Anche se il parere è inteso principalmente per indicare ai titolari e responsabili del trattamento una serie di principi da rispettare (attuabili adattando e integrando le proprie privacy policy), è però evidente al Garante stesso che, sotto questo profilo, molto dovrà essere fatto dal Legislatore Europeo, chiamato a introdurre, con il nuovo Regolamento sulla Protezione dei Dati Personali, regole chiare sul tema Big Data che prevedano un adeguato bilanciamento tra le libertà dei singoli e la possibilità per le aziende di crescere e innovare con i dati raccolti on-line e off-line.  Il nuovo regolamento europeo sulla Privacy, lo si ricorda, dovrebbe venire promulgato nel 2016, per entrare in vigore due anni più tardi.

Andrea Palumbo