LA GUIDA PRATICA

Ciclo di vita del dato: che cos’è e quali sono i vantaggi di una sua adozione

Per ciclo di vita del dato si intende quell’intervallo di tempo complessivo per cui un dato, digitale o analogico, esiste e può essere trattato. Adottare una corretta policy di data governance in azienda aiuta a comprendere il valore che questi stessi dati possono apportare all’azienda

17 Giu 2022
B
Simone Bonavita

Direttore ISLC - Information Society Law Center, Università degli Studi di Milano

C
Alessandro Cortina

Cybersecurity Consultant, Dottore Magistrale in Sicurezza Informatica e Perfezionato in Criminalità Informatica e Investigazioni Digitali

Seppur immateriali, anche i dati hanno un proprio un ciclo di vita suddiviso in varie fasi che ne caratterizzano lo stato corrente. Definire chi e come dovrebbe gestire i dati fase per fase tramite una policy di data governance è un’attività che tutte le società dovrebbero mettere in pratica in modo tale da rendersi effettivamente conto della mole di dati che giornalmente ci si ritrova a trattare e comprendere quale valore questi possono apportare alla società stessa.

Politica interna privacy: ecco come garantire sicurezza dei processi aziendali e competitività

Ciclo di vita del dato: che cos’è?

Per ciclo di vita del dato si suole intendere quell’intervallo di tempo complessivo per cui un dato, indipendente dalla sua natura digitale o analogica, esiste e può essere trattato.

WHITEPAPER
I documenti aziendali che condividi durante le video riunioni online sono davvero al sicuro?
Amministrazione/Finanza/Controllo
CIO

In altre parole, potremmo intendere per ciclo di vita del dato l’insieme delle fasi in cui un dato si può trovare durante la sua esistenza.

Data la natura estremamente eterogena dei dati, un primo aspetto che una buona policy di data governance dovrebbe fare sarebbe quella di classificare i dati in base alla loro natura in modo tale da poter definire dei corretti cicli di vita.

La classificazione di stampo informatico-giuridico più semplice e intuitiva (seppur con evidenti limiti) che si potrebbe realizzare è quella di dato personale e dato non personale:

  1. per dato personale possiamo considerare tutti quei dati identificati come tali dal Regolamento (UE) 2016/679 (c.d. GDPR) all’art. 4 punto 1, ossia: «qualsiasi informazione riguardante una persona fisica identificata o identificabile […]»;
  2. per dato non personale, invece, possiamo considerare tutti quei dati che non rientrano nella definizione di cui sopra, come anche affermato nel Regolamento (UE) 2018/1807 relativo a un quadro applicabile alla libera circolazione dei dati non personali nell’Unione europea all’art. 3, punto 1: «‘dati’: i dati diversi dai dati personali definiti all’articolo 4, punto 1, del regolamento (UE) 2016/679».

Data questa prima classificazione di massima è poi possibile applicare a tali dati dei cicli di vita ad hoc in quanto, se diverse fasi potrebbero essere in comune tra i due, soprattutto nelle fasi finali l’utilizzo di tali dati potrebbe variare.

Un esempio di ciclo di vita del dato

Un possibile ciclo di vita potrebbe essere il seguente (nelle fasi in comune):

  • Raccolta. Il ciclo di vita inizia con la raccolta delle informazioni. I dati possono entrare nel perimetro aziendale, tipicamente, in tre modi:
  1. Collezione di dati. La società in prima persona tramite apposite procedure e/o meccanismi raccoglie dati utili e di valore per il proprio business;
  2. Acquisizione di dati. Utilizzo di dati esistenti prodotti da organizzazioni terze;
  3. Captazione di segnali. recupero di dati tramite appositi dispositivi/sensori (tipicamente in contesti di sistemi di controllo).
  • Salvataggio. Una volta che i dati sono entrati all’interno del perimetro aziendali dovranno essere memorizzati in appositi luoghi fisici e/o virtuali in modo tale che poi possano essere utilizzati.
  • Utilizzo. In questa fase i dati vengono effettivamente utilizzati per alimentare i business process della società;
  • Analisi (opzionale). In questa fase si analizzano gli esiti dell’attività produttiva per determinare la qualità dei dati utilizzati. vi è quindi un confronto tra output desiderato e output effettivo per, eventualmente, pianificare migliorie e attività correttive che abbiano impatti sulle fasi precedenti.
  • Archiviazione. In questa fase i dati vengono memorizzati in attesa di essere dismessi e/o riutilizzati.

Di seguito, in aggiunta, abbiamo le possibili fasi specifiche per i due cicli di vita:

  • Ciclo di vita dei dati personali:
  1. Cancellazione o Anonimizzazione. In questa fase il periodo di conservazione è ormai scaduto e quindi: o si cancella il dato personale, oppure lo si rende anonimo. Deve essere evitato, in questa fase, ricorso alla pseudonimizzazione, che porterebbe, come noto, a generare dati destinati ad essere trattati al pari dei personali.
  • Ciclo di vita dei dati non personali:
  1. Filtraggio dei dati. In seguito agli esiti dei risultati della fase 4, i dati vengono filtrati e modificati in modo da rispecchiare gli output desiderati.
  2. Riutilizzo dei dati. I dati, se ancora utili, vengono riutilizzati insieme a nuovi dati raccolti, oppure vengono utilizzati per strutturare i nuovi modelli di raccolta.

Chi si deve occupare dei dati

Una volta che i dati sono classificati nelle varie tipologie, il prossimo passo che dovrebbe svolgere una società è quello di chiarire quali siano i soggetti responsabili della corretta gestione dei dati in ogni fase del ciclo di vita.

Formalizzare questi aspetti in una policy e nelle relative procedure interne porterebbe diversi benefici, tra cui:

  1. chiarezza dei compiti. Mettere nero su bianco chi deve fare che cosa e quando permette di evitare situazioni di mancato coordinamento tra le varie unità organizzative favorendo così il coordinamento e l’integrazione all’interno dell’organizzazione;
  2. responsabilizzazione del personale. Sapere che una determinata attività ricade su uno specifico gruppo di persone dovrebbe responsabilizzare tali persone nel realizzare tali attività evitando possibili situazioni in cui un determinato lavoro non viene svolto e si parte alla ricerca del c.d. “capro espiatorio”;
  3. trasferimento della conoscenza. Riportare su carta (o su schermo) quelle che sono le varie attività che devono essere svolte permette all’organizzazione di rendere più tangibile quello che è il proprio know-how aziendale permettendone così una più facile trasmissione tra il personale. I dipendenti, infatti, non avranno solamente lo scambio informale di informazioni come metodo per formarsi circa le attività operative interne, ma avranno altresì dei documenti ufficiali in cui viene spiegato cosa e come le attività debbono essere realizzate.

Procedere in maniera importante a formalizzare processi aziendali a questo livello può, tuttavia, comportare effetti anche negativi.

Spesso la relativa definizione richiede tempo e l’impiego di risorse umane che le società, in particolare le più piccole, non sono in grado di soddisfare totalmente e/o parzialmente. In aggiunta, non vi è solo lo sforzo iniziale di creare il set documentale ma vi sarebbe poi anche quello di mantenere tali documenti aggiornati in modo tale da evitare che risultino obsoleti e rappresentati una realtà non più effettiva.

È bene ricordare inoltre che quando si procede a formalizzare i processi interni e a produrre documentazione di questo tipo, l’organizzazione tende ad assumere una natura “burocratica”, ossia una struttura organizzativa tendenzialmente basata su procedure ben definite che portano le persone ad adottare dei comportamenti standard.

La standardizzazione dei processi ha come vantaggio quello di rendere gli stessi più efficienti in quanto avendo un comportamento codificato si evitano periodi di non produttività dovuti a momenti di incertezza su come dover procedere; di contro, però, si rende l’organizzazione meno propensa a una rapida reazione da sollecitazioni ed eventi inaspettati proveniente dall’ambiente circostante.

Come molto spesso accade, dunque, ci si ritrova davanti a un trade-off in cui bisogna cercare il giusto bilancio tra la formalizzazione dei processi per avere un quadro organizzativo più chiaro e definito, e il mantenimento di una struttura abbastanza flessibile, e non ingessata in numerose procedure burocratiche, capace di rispondere tempestivamente ai cambiamenti e alle sollecitazioni dell’ambiente esterno.

Conclusioni

Adottare una policy di data governance in cui vengono identificati i vari cicli di vita dei dati, in base alla loro natura, può essere uno strumento attraverso cui una società si può effettivamente rendere conto di quali sono i flussi di dati all’interno delle varie unità organizzative potendo intraprendere, così, delle azioni correttive e/o migliorative per rendere i processi più efficiente.

Un progetto di questo tipo, tuttavia, potrebbe richiedere energie e risorse che piccole realtà potrebbero non avere o potrebbero non permettersi, ma anche l’obiettivo di iniziare con delle piccole analisi come, banalmente, con il censimento delle tipologie funzionali di dati trattati e i relativi uffici che li utilizzano permetterebbe di creare una tassonomia dei dati aziendali su cui poi poter fondare tutta una serie di ulteriori interventi volti a formalizzare e standardizzare i processi aziendali che possono portare a un beneficio in termini di efficienza e trasferimento delle consegne, stando però sempre attenti a non “burocratizzare” troppo l’organizzazione.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5