/media/post/9z7dsvg/Privacy-UE.jpg
Ferpi > News > #GDPR: dalla sanzione ai big data

#GDPR: dalla sanzione ai big data

27/06/2018

Teresella Consonni

La nuova normativa europea, nelle intenzioni dei regolatori, dovrebbe essere percepita non solo come un obbligo giuridico ma anche come una modalità per differenziarsi nella competizione globale e da fare valere nel mercato come un requisito preferenziale per chi sia alla ricerca di fornitori e di collaborazioni affidabili. Teresella Consonni mostra come il GDPR possa essere inteso anche come un percorso per una nuova cultura del dato. 

 

Il Regolamento Ue 2016/679 General Data Protection Regulation  o GDPR resta uno dei temi centrali  in tutti gli ambiti lavorativi. Le implicazioni del nuovo regolamento Europeo sui dati e sulla privacy riguardano tutte le tipologie di attività, basti pensare  alla natura e alla portata della diffusione di Internet e alla sua invasività in tutti i momenti della vita, anche attraverso i social.

La  nuova normativa europea richiede di fatto  di progettare e pianificare in un modo differente, maggiormente rispettoso delle esigenze del singolo individuo,  tutte le attività che abbiano un impatto sulle persone, anche nella loro veste di clienti o di potenziali clienti. In fondo, l’impianto normativo europeo del Regolamento  riconduce  ai principi di centralità dell’individuo sui quali  si basano  le attività  di marketing,  mirate alle esigenze personali del cliente e alle modalità per soddisfarle in modo individuale e personalizzato.

Valori e diritti coinvolti  hanno  fatto adottare  ai legislatori europei un approccio preventivo di analisi del rischio, ed è specificato che l’analisi non deve limitarsi soltanto al possibile rischio per i singoli individui, ma si deve estendere agli impatti pregiudizievoli per la collettività, con riferimento agli aspetti legali, sociali ed etici dell’uso dei big data, con una attenzione  speciale  ai principi di uguaglianza e  di non discriminazione.

Come richiesto dal Regolamento,  è necessario  anticipare la soglia della tutela  del dato già  nella fase della progettazione dei sistemi  e dei processi  della organizzazione, sia all’ interno  sia delegati a fornitori  - secondo i criteri di privacy by design e privacy by default - nel rispetto dei principi di precauzione e  di prevenzione. GDPR è  oggi pienamente in vigore ed è necessario  avere  un nuovo approccio alla raccolta dei dati e al loro trattamento,  con attenzione ancora più riflessiva rispetto a quanto  prevedevano  in precedenza  le normative nazionali sulla privacy.

La nuova normativa europea, nelle intenzioni  dei regolatori, dovrebbe essere percepita non solo come un obbligo giuridico  ma anche come una modalità per differenziarsi  nella  competizione globale e  da fare valere nel mercato come un requisito preferenziale  per chi sia alla ricerca di fornitori e di collaborazioni affidabili. Una prospettiva, favorita dalla probabile  crescente domanda sociale di cittadini, in particolare  del web, destinati a diventare sempre più consapevoli del valore dei propri dati. La situazione in atto nel nostro mercato sull’adeguamento al GDPR mostra spesso  più che una consapevolezza nell’agire una sorta di attivismo per rispondere a segnali di allarmismo, specie a quelli relativi alle sanzioni finanziare che  possono arrivare  al 4 per cento del fatturato annuo o a 20 milioni di euro.  E il tema di come  ridurre il rischio di sanzioni è particolarmente importante, soprattutto per le piccole realtà economiche che, non va dimenticato, costituiscono il tessuto connettivo  del contesto imprenditoriale italiano. Le sanzioni previste dal Regolamento sono per una  piccola attività professionale  o per una Pmi  davvero molto significative. E’ fondamentale comprendere non solo come evitarle ma anche come far sì che determinati comportamenti possano, nel malaugurato  caso di una  sanzione,  magari mitigare la entità o  forse annullarla.

GDPR prevede che la materia penale sia disciplinata da ogni singolo Stato perciò  le sanzioni hanno natura amministrativa. Le sanzioni pecuniarie amministrative  in linea di principio devono essere armonizzate tra i vari Paesi e devono osservare criteri di effettività, proporzionalità e dissuasività. Inoltre, l’articolo del Regolamento è chiaro nel disporre che le sanzioni debbano essere applicate in funzione del singolo caso e tenendo conto della natura, della gravità, della durata della violazione, delle finalità del trattamento, del numero di interessati lesi e del livello del danno, oltre al carattere colposo o doloso della violazione.

Analizzare la probabilità delle sanzioni e valutare anche con riferimento a quello che è stato nel tempo l’orientamento sanzionatorio del Garante nei vent’anni precedenti alla introduzione del Regolamento possono  risultare utili per capire gli ambiti nei  quali si sono manifestate  maggiormente le criticità. L’attenzione all’informativa, sia  omessa sia  incompleta, come il trattamento illecito dei dati  e le misure di sicurezza adottate  si rivelano essere  tre ambiti di particolare delicatezza e che meritano la massima attenzione, anche a evitare sanzioni.

Alcuni adempimenti  risultano  come una derivazione dal Codice della Privacy e sono  da rivisitare in funzione della introduzione del GDPR, come per esempio  nel caso della informativa e del consenso da richiedere al singolo soggetto. Basti pensare al flusso senza fine di richieste quotidiane  che pervengono via e-mail di consenso alla relazione da parte di soggetti spesso non noti  e di ogni Paese, o alle finestre che improvvisamente appaiono ogni dove con la richiesta di cliccare, in via preventiva, per avere accesso a una informazione o a un sito al quale si intende accedere: una frenetica moltiplicazione di gesti  quasi compulsivi  e lontani dalla visione ispiratrice di trasparenza e di chiarezza richiesta dal nuovo assetto normativo. Anche  per quanto riguarda l’adozione delle misure di sicurezza  il sistema in atto  è stato rivoluzionato  dalla idea di “accountability” del nuovo Regolamento:  una strategia operativa che  si focalizza sulla sostanza dell’adempimento e anche  sulla sua verificabilità esterna.

È possibile che la norma italiana che disciplinerà, presumibilmente entro il mese di Agosto, la transizione dal Codice Privacy al nuovo quadro normativo, indichi con maggiore attenzione anche gli importi sanzionatori per le Pmi. In caso di eventi irrisori e che non presentino rischi significativi per gli interessati, potrebbe forse  intervenire – in base alle previsioni degli esperti  in materia - una diffida  come alternativa alla sanzione pecuniaria in funzione di una valutazione del grado di cooperazione messo in atto dalla Pmi nell’applicare il GDPR attuando così una gradualità progressiva nel  quadro delle sanzioni.

Ecco perché  è necessario prestare  molta attenzione, anche nella  ottica di  evitare  pesanti sanzioni  economiche, alla violazione dei dati personali che il GDPR definisce chiaramente come una violazione di sicurezza che comporta, accidentalmente o in modo illecito,  distruzione, perdita,  modifica,  divulgazione non autorizzata o accesso ai dati personali trasmessi, conservati o comunque trattati.

L’articolo 4 del Regolamento fornisce la definizione del dato personale che deve guidare l’attività di adeguamento al nuovo assetto normativo: «dato personale» è  qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»). Si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come nome,  numero di identificazione, dati relativi alla ubicazione, identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

Dato personale è qualsiasi informazione (nome, codice fiscale, immagine, voce, impronta digitale, traffico telefonico) concernente una persona fisica identificata o identificabile, anche indirettamente, oppure informazioni riguardanti una persona la cui identità è nota o può comunque essere accertata mediante informazioni supplementari. Il dato personale è  perciò un concetto dinamico  da riferire sempre al contesto  in quanto nel tempo può cambiare e può mutare nel valore.

In pratica il dato personale rappresenta lo strumento tecnico-giuridico attraverso il quale i legislatori, nazionali e comunitari, tutelano l’insieme dei diritti collegati all’identità personale.

Una informazione isolata non è in grado di portare alla identificazione di una persona, ma la stessa informazione può essere incrociata e ricombinata con altri dati così  da pervenire a una individuazione  in grado di  trasformarla in dato personale. In particolare quando si è interconnessi e si naviga  online quasi  sempre per rendere tutto più veloce  e  semplice si clicca sulla voce “accetto” o  sul banner di informativa dei cookie per avere accesso a un contenuto o  per guardare un video, nella illusoria convinzione  di essere visitatori  in forma anonima, mentre in realtà  nostre tracce  ci seguono in permanenza come l’indirizzo digitale  (o indirizzo IP) di connessione.  Anche altre tracce, lasciate anche senza consapevolezza  nel web,  sono in grado di  creare una nostra identificazione e a iniziare a costruire un nostro profilo digitale. Infatti, una informazione non deve  individuare fisicamente una persona per essere considerata dato personale.

Le tecniche di tracciamento per identificare una persona attraverso sistemi di marketing automation tra i navigatori online, anche  se in una  prima fase non permettono  la individuazione fisica della persona,  tracciano il dispositivo digitale attraverso  il quale la persona naviga in rete.  Questi dati (cookie, fingerprint) sono considerati dati personali e  devono essere trattati secondo il nuovo Regolamento.

Chi gestisce business online e supporta  le vendite attraverso il tracciamento delle visite, dai colossi come Amazon a chiunque gestisca un e-commerce o  utilizzi tecniche di monitoraggio e di tracciamento dei percorsi di navigazione per conoscere interessi individuali e riproporre  contenuti capaci di suscitare interesse attraverso newsletter,  o messaggi promozionali  o annunci pubblicitari deve perciò  porre in atto misure necessarie per adeguarsi alla normativa europea che protegge il dato in modo globale.

Società digitale,  sviluppo tecnologico e progresso scientifico  hanno creato un mercato  sempre più interconnesso,  che si fonda  sulla condivisione e cogestione d’informazioni   in una circolazione globale permanente e anche invasiva per le persone, spesso inconsapevoli protagoniste di processi di cui non hanno cognizione.La possibilità di raccolta di una quantità d’informazioni sempre più grande e variegata, infatti,  mette in atto un ampliamento notevole delle tipologie di dati personali che possono essere oggetto di trattamento. E’ in questo scenario che il Regolamento Ue 2016/679 General Data Protection Regulation vincola  gli Stati membri a partire  dal 25 maggio 2018  e  li disciplina nella materia relativa alla protezione e al trattamento dei dati personali, creando un nuovo quadro di riferimento univoco, che diventa un vincolo anche per i grandi soggetti che operano nel web e in particolare attraverso i social in un mercato globale sempre più interconnesso e alla ricerca di dati personali con cui alimentare le  proprie politiche  commerciali espansive.

Il precedente impianto normativo di riferimento  costituito  dalla Direttiva 95/46/CE consentiva  una frammentazione giuridica a livello europeo e non  poneva vincoli adeguati all’odierno uso, anche indiscriminato, dei dati personali. Un  uso reso possibile dallo sviluppo progressivo delle tecnologie per l’analisi dei dati e dalla entrata sempre più diffusa  nel web di tecniche di Intelligenza Artificiale - AI. Oggi  si hanno a disposizione modalità di classificazione dei dati molto articolate, attraverso  dispositivi apparentemente neutri che si fondano su modalità di funzionamento di algoritmi non dichiarati e con scarsa o nulla trasparenza informativa, come messo in luce da vari scandali recenti che hanno comportato audizioni  in sede Ue.  Profilazione e processi decisionali automatizzati  possono essere  strumenti utilizzati in modo legittimo e con attenzione al diritto della singola persona o  in modo tale da avere un impatto negativo sui diritti delle persone  e i legislatori europei, proprio attraverso il GDPR,  pongono al centro  i concetti di “consapevolezza”e di “conoscibilità”: elementi vitali per permettere un controllo da parte della persona interessata sull’uso dei suoi dati personali e sulla  possibilità di scelta sul trattamento.

Un  caso emblematico della mutazione in corso e  della forte accelerazione  nel trattamento dei dati  a livelli  probabilmente non immaginabili nel comune sentire è quello  riferito al robot adottato da Ikea negli Stati Uniti, introdotto da poco anche in Paesi dell’est europeo. Un programma di intelligenza artificiale  effettua un primo colloquio conoscitivo per la selezione che precede la valutazione per l’assunzione di nuovi dipendenti. Le  risposte dei candidati  sono processate in forma predittiva  così  da profilare carattere, attitudini, opinioni e tendenza al conflitto: presente e futuro di  operai, impiegati, collaboratori alle vendite, manager possono essere decisi  attraverso la combinazione e l’analisi di enormi volumi di dati, forniti direttamente attraverso un questionario ad hoc  oppure provenienti indirettamente da internet,  tramite social network,  via smartphone.

Una modalità innovativa, molto più economica  e, almeno in teoria, forse adatta a ridurre al minimo  variabili soggettive e pregiudizi nei rapporti di lavoro ma che,  nella riflessione,  può comportare  rischi di discriminazione raffinati e  difficili da cogliere di fronte alla apparente tecnicità di algoritmi: ma fatti da chi, con quali indicatori e dove si trova la trasparenza informativa?…Un eccesso di automatizzazione anche predittiva  può  caratterizzare alcune pratiche operative e  interessare non soltanto la fase di analisi dei dati ma anche la fase decisionale e gestionale in misura crescente. Le informazioni potrebbero essere usate per capire  se un  possibile dipendente può adattarsi al clima della organizzazione, per selezionare solo lavoratori  in grado  di fornire  più elevati standard di  redditività  o,  addirittura, escludere candidati differenti o portatori di diversità all’interno della struttura organizzativa.Il tutto potrebbe avvenire  tramite  strumentazioni tecnologiche apparentemente neutrali e  basate  su modalità di funzionamento di algoritmi segreti, attuando scelte che, magari,   non sono eticamente neutrali.

La responsabilizzazione delle organizzazioni e dei singoli soggetti  richiesta dalla introduzione del GDPR  può facilitare il processo di applicazione della  nuova  normativa: uno strumento  che  è utile a prevenire  violazioni e a garantire  tutela dei  diritti dei cittadini in un quadro di rifermento in costante mutazione. Il nuovo quadro giuridico europeo in materia di protezione dati dovrebbe  essere considerato da tutti una  concreta  opportunità da cogliere  per governare,  in un migliore equilibrio,  le innovazioni tecnologiche che  stanno profondamente modificando il nostro modo di vivere, di lavorare e  la nostra società, oggi e ancora più nel futuro. Una sfida aperta per tutti  e in modo particolare per chiunque si occupi di comunicazione, a ogni livello di responsabilità.

 

redazione di Teresella Consonni

https://it.linkedin.com/pub/teresella-consonni

Oltre alle fonti citate le informazioni fanno riferimento a molte partecipazioni  di persona a incontri informativi, seminari e workshop sulla tematica e a molteplici newletter e siti sia italiani sia stranieri di consultazione quotidiana. 

 

COMMENTI

Eventi