L'ANALISI

Big data, il Gdpr non è sufficiente: l’uso delle informazioni si perde nel mare magnum

Occorre indagare se e quali strumenti il diritto offra per governare il fenomeno e se vi sia necessità di nuovi strumenti giuridici. L’analisi dell’avvocato Andrea Fedi

Pubblicato il 20 Mar 2019

Andrea Fedi

Partner Legance Avvocati Associati

big-data-170524125926

Viviamo in un mondo datificato. Tutto ciò che facciamo lascia dietro di sé una scia di dati. Quando utilizziamo la carta di credito o le tessere fedeltà, mettiamo like, fruiamo di mappe e navigatori, effettuiamo chiamate, mandiamo messaggi o navighiamo su internet, scarichiamo un’applicazione o diamo consensi privacy, mettiamo in circolo dati. Di più, tutti i nostri dispositivi e tutti gli apparecchi della domotica (internet of things) dialogano tra loro e si scambiano dati, dai quali si può facilmente desumere dove viviamo, quando usciamo di casa e quando vi rientriamo, che tragitto percorriamo, quali sono le nostre preferenze per la professione o il tempo libero.

E ancora, le smart cities registrano immense quantità di dati, basti pensare agli accessi alle Ztl, al numero di chi fruisce dei mezzi pubblici, alla quantità e qualità di rifiuti prodotti nelle diverse zone cittadine, etc. Tutti questi dati non sono necessariamente “personali” (riferiti a individui identificati o identificabili, come stabilito nel Gdpr 679/2016/EU); si può trattare anche di dati anonimi, o aggregati, o riferiti solo a gruppi o collettività.

Ebbene, tutta quest’incredibile varietà di dati può essere raccolta, immagazzinata, verificata, aggregata in grandi raccolte digitali e analizzata in tempo reale attraverso algoritmi e intelligenze artificiali (inclusi meccanismi di machine learning), per estrarne deduzioni e disvelarne le correlazioni, che consentono una conoscenza predittiva dei nostri gusti, orientamenti e preferenze, come consumatori, lavoratori, cittadini (profilazione e clusterizzazione). Big Data, appunto.

BIG DATA, PRO E CONTRO DI UNA RIVOLUZIONE

È evidente che questo consente un incredibile salto in avanti. Da una parte, i Big Data possono migliorare le attività di polizia, di prevenzione, di tassazione, di gestione dei consumi energetici, di reazione a eventi straordinari (terremoti, alluvioni, …). Non solo, l’analisi dei Big Data consente in generale di raggiungere il miglior incontro tra domanda e offerta: di lavoro, di servizi, di prodotti, di efficienza. Dall’altra parte, nondimeno, l’analisi computazionale di quantità molto estese di dati eterogenei (si parla di paradigma delle cinque “V”: volume, velocity, variety, veracity, value) rende agevole l’individuazione dei modi e tempi più adatti per influenzare decisioni economiche e politiche dei singoli.

Se le incredibili possibilità positive offerte dai Big Data sono evidenti, lo sono dunque altresì i pericoli. Occorre dunque indagare se e quali strumenti il diritto appresti per governare il fenomeno e se vi sia necessità di nuovi strumenti giuridici.

PRIVACY, NORMATIVA INADEGUATA ALLA DATA SCIENCE

Sotto quest’aspetto, la normativa privacy, appare il sistema che naturalmente deve fare i conti con la sfida dei Big Data. Sennonché, la disciplina privacy non sembra pensata per la data science.

Innanzitutto, non si può non rimarcare che il Gdpr si riferisce solo ai dati personali, laddove invece i Big Data non sono necessariamente dati personali e la capacità predittiva che deriva dalla loro analisi può essere connessa anche a dati riferiti a gruppi. Peraltro, pure i dati anonimi o anonimizzati (di per sé estranei al campo d’applicazione della normativa privacy) non reggono rispetto alla potenza dell’accumulo e del raffronto propria della data analytics, così che, di fatto, anche i dati anonimi o anonimizzati possono essere penetrati e interpretati per ricavarne nuovamente informazioni personali.

Non si può nemmeno non osservare che la disciplina privacy pare pensata per operare in un sistema semplice e tendenzialmente binario, nel quale un soggetto (titolare) raccoglie i dati di una persona fisica (interessato) e li tratta o li fa trattare da suoi ausiliari (responsabili). In questo sistema, il titolare conosce perfettamente le finalità del trattamento ed è perciò in grado d’informare sin dall’inizio l’interessato (il quale è in grado di compiutamente consentire od obiettare).

Nel mondo dei Big Data, viceversa, i dati risalgono per una lunga catena, solo in esito alla quale sono aggregati ed esaminati da un titolare “a monte” che può non coincidere affatto con colui il quale li ha per primo raccolti. Non solo. Prima che i dati siano immessi nel sistema di analisi, al fine di produrre output e insight, non è neppur certo quali correlazioni l’analisi dei Big Data disvelerà e come e per quali fini tali correlazioni potranno essere utilizzate.

I PRINCIPI DEL GDPR INADATTI AI BIG DATA

Ciò comporta che vari principi del Gdpr non riescono a funzionare con riferimento ai Big Data. L’interessato i cui dati confluiscono nel mare dei Big Data non riesce a comprendere ex ante quali diversi usi dei suoi dati saranno fatti, né, spesso, li conoscono i partecipanti della catena di trattamenti automatizzati tipica di contesti di Big Data e, sempre di più, di intelligenza artificiale, con l’ulteriore conseguenza che gli individui, i cui dati diventano combustibile di analisi sempre più complesse, non sanno nemmeno chi  è o chi sono i loro interlocutori sul lato attivo dei trattamenti. E questo pregiudica anche la possibilità di un consenso libero, specifico e informato.

Il portato ultimo è, d’altro canto, che l’interessato, nei fatti, non è messo in condizione di efficacemente utilizzare i rimedi che gli sono offerti dal Gdpr (accesso, rettifica, cancellazione, oblio, limitazione, etc.), perché l’interessato non sa quando e come i suoi dati vengono catturati e come, e da chi, saranno utilizzati e a quali scopi.

Allo stesso modo, i canoni di minimizzazione e di purpose limitation, così come il test di compatibilità che consente il secondary use, o lo stesso balancing test che deve essere condotto per avvalersi del “legittimo interesse”, non collimano con la tecnologia dei Big Data che, naturaliter, si basa sulla maggior possibile aggregazione di dati (volume) e sul loro uso per scoprire correlazioni nascoste (hidden patterns), solo a partire dall’individuazione delle quali e, quindi, ex post, potrà emergere la vera finalità del trattamento.

APPRODI OPPOSTI E INSODDISFACENTI

Insomma, ci sembra di essere sospinti verso due approdi opposti e altrettanto insoddisfacenti. O si da dei principi privacy del Gdpr una lettura restrittiva, tale per cui tali principi sono formalisticamente ritenuti soddisfatti anche se di fatto sono “svuotati”, consentendo il fenomeno dei Big Data ma azzerando le tutele dell’interessato (ad esempio, indicando semplicisticamente nell’informativa privacy che i dati possono essere soggetti a data mining e analytics e, sulla base di tale generica indicazione, ritenere soddisfatto l’obbligo d’informativa).

O si da dei principi privacy una lettura rigorosa, ma al prezzo di assistere a un evidente clash tra Big Data e Gdpr. Lo scarto si coglie ad esempio laddove il Gdpr impone d’informare ab origine l’interessato sull’esistenza di processi decisionali automatizzati e sulle logiche sottostanti all’algoritmo. Se tale informazione deve essere data tramite informativa privacy, allora colui il quale sottopone ad analisi i Big Data dovrebbe inviare costantemente centinaia di migliaia d’informative quanti sono i dati utilizzati e i tipi d’analisi cui sono sottoposti.

Per la stessa ragione, sembrano inadeguati i potenziali rimedi di stampo civilistico, quali sono i rimedi contro gli artifici che inducono in errore (dolo, determinante o incidente), o contro l’assenza di vero consenso (invalidità per mancanza di un elemento essenziale del contratto), o contro le cause che perturbano la libertà (risarcimento per lesione del diritto di credito). Tali percorsi argomentativi sembrano inadatti, anche perché in larga parte potrebbero operare solo nel campo dei rapporti patrimoniali (e non in quello dei rapporti sociali).

E allora, dal punto di vista del diritto, forse vale la pena puntare su rimedi di tipo diverso. Alcuni possono e devono essere chiariti dal legislatore e dalle autorità indipendenti come garante privacy o agenzia per le comunicazioni, sfruttando gli spazi e le deleghe che il Gdpr stesso consente (ad esempio, modalità speciali d’informativa consentite per la data science). Altri esistono già, come il controllo che può essere esercitato dall’autorità antitrust su pratiche commerciali ingannevoli o aggressive, posizioni dominanti, segregazione dei mercati, o il controllo affidato al garante privacy di cui agli artt. 57 e 58 Gdpr.

New call-to-action

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati

Articolo 1 di 4