Parlare di minimizzazione dei dati in un’azienda data driven, cioè “guidata” da quegli stessi dati sui quali si basano le proprie decisioni strategiche, potrebbe sembrare un controsenso: in realtà, i veri specialisti della data protection sanno benissimo che non è il numero delle informazioni personali possedute a fare diventare il dato strategico per l’azienda, piuttosto la qualità e l’esattezza dei dati.
Indice degli argomenti
La nuova cultura della minimizzazione dei dati
Nel prossimo futuro la cultura aziendale passerà dalla formazione, dalla sustainability e dalla data protection. Al tavolo delle decisioni, accanto ai vertici aziendali, siederanno il manager della sustainability, il data protection designer, il data scientist e il security officer.
Chi scrive ha abbandonato l’approccio burocratico della vecchia privacy, crede nelle task force di data protection innovation all’interno delle aziende: la data protection non deve essere considerata un ostacolo, anzi piuttosto diventerà un volano competitivo nell’era dei big data, dell’Internet of Things, dell’intelligenza artificiale, nonché delle decisioni basate unicamente su trattamenti automatizzati.
Minimizzazione dei dati e data driven sono dunque due facce della stessa medaglia. Immaginiamo le strategie del marketing o dell’HR: nell’era dei big data saranno sempre più data driven.
Oggi, dicevamo, errore comune è pensare che sia il numero delle informazioni possedute a far diventare il dato una strategia aziendale. In realtà, il dato può diventare volano economico solo se “necessario” al proprio scopo, se di qualità, se esatto, se raccolto in piena trasparenza e con tutte le informazioni verso l’interessato che è il soggetto con cui l’azienda instaurerà una relazione “personalizzata”.
Cosa si intende per minimizzazione dei dati
Si tratta di una novità del GDPR? Assolutamente no, la vera innovazione del GDPR è che le aziende devono essere pronte a dimostrare la propria “accountability” in merito ad una adeguata minimizzazione dei dati personali.
Il legislatore all’articolo 5 del GDPR prevede che: “i dati devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”, esplodendo tale nozione nei seguenti termini: adeguatezza, pertinenza, limitazione dei dati, proporzionalità, esattezza e limitazione della conservazione.
A chi scrive piace definire nel modo seguente i termini suindicati:
- i dati devono essere in relazione con le finalità per cui sono raccolti;
- i dati devono essere sufficienti e adeguati allo scopo del trattamento;
- i dati devono essere necessari, non eccedenti e proporzionali;
- i dati devono essere esatti;
- i dati devono essere conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati.
Il principio di responsabilizzazione di cui all’articolo 24 del GDPR richiede alle aziende di essere in grado di dimostrare di avere dei processi che siano adeguati ad assicurarsi di raccogliere e conservare solo i dati personali di cui l’azienda ha bisogno.
Le vere aziende data driven devono disporre di mezzi adeguati per consentire agli interessati ciò che il legislatore prevede a chiare lettere. In particolare, le persone hanno il diritto di completare tutti i dati incompleti che sono inadeguati per lo scopo perseguito, con il diritto di rettifica nonché chiedere all’azienda di cancellare tutti i dati che non sono necessari per lo scopo perseguito.
Una vera azienda data driven deve essere in grado di conoscere solo le informazioni personali esatte dell’interessato, solo le informazioni necessarie al perseguimento delle finalità per le quali l’interessato è stato informato.
A parere di chi scrive, un’azienda data driven deve essere in grado di rispondere all’interessato a seguito di richiesta di rettifica: “perché chiede di rettificarli, per quali motivi?”. L’azienda può porre questo quesito all’interessato solo se sicura di avere informazioni esatte e di qualità.
Le aziende oggi vivono le politiche di data retention come un ostacolo perché presentate male dai professionisti della data protection.
Immaginate un Data Protection Officer che presenta le politiche di data retention al marketing solo con riferimento ad un articolo di legge che prevede che i dati personali debbano essere conservati per un periodo prestabilito. Quale sarà la risposta del marketing al tavolo dei lavori?
L’azienda ha bisogno di politiche ben più ampie che possano diventare opportunità e apportare solo benefici al business: nel prossimo futuro l’azienda ha bisogno solo di dati di qualità, dati esatti per instaurare una relazione personalizzata con il cliente che ha dato fiducia all’azienda stessa.
Presentate alle Aziende che vogliono diventare data driven una politica di crescita e di qualità: la risposta sarà diversa.
A parere di chi scrive: “è necessario identificare la quantità minima dei dati personali necessari per soddisfare il proprio scopo ed in particolare l’azienda deve conservare molte informazioni per essere data driven, ma non di più”.
Oltre ad avere una politica di data retention, bisogna avere una politica di qualità dei dati: è necessario rivedere periodicamente i dati personali e ciò è strettamente collegato al principio di “limitazione della conservazione” previsto all’articolo 5 del GDPR, che prevede:
“I dati devono essere conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati…”.
Per un’azienda che punta a diventare data driven i dati devono essere “esatti e, se necessario, aggiornati”; un’azienda data driven non deve pensare alla retention o alla rettifica quale obbligo di legge, ma quale misura di qualità oltre che diritto dell’interessato con cui si è instaurato un rapporto di fiducia.
Le regole di accountability
Ci si può chiedere, quindi, cosa succede ad una azienda data driven che dispone “di più informazioni”.
Dispone di informazioni “inadeguate” e quelle informazioni non portano l’azienda a raggiungere lo scopo perseguito, i dati personali di cui dispone quella azienda sono inadeguati e/o non sono sufficienti per lo scopo previsto.
Il diritto di rettifica di un interessato può ad esempio consentire ad un’azienda data driven, in alcune circostanze, di raccogliere dei dati personali in più rispetto a quelli inizialmente previsti in modo tale da disporre di informazioni “sufficienti” per lo scopo del trattamento. Ecco che, un diritto dell’interessato diventa anche la possibilità per l’azienda data driven di avere informazioni “sufficienti” e “adeguate”.
Non è la mole dei dati personali che fa diventare un’azienda data driven, piuttosto i grandi dati (“Big data”), esatti e di qualità.
Le decisioni strategiche nel prossimo futuro, a parere di chi scrive, dipenderanno non dalla quantità ma dalla qualità.
L’approccio quantitativo deve essere abbandonato dalle aziende che vogliono basare le proprie decisioni strategiche sui dati: si tratta di una sfida per le organizzazioni che vogliono avere un ruolo da protagonista nello scenario tecnologico del futuro.
Il corretto approccio by design e by default
Il solito approccio vetusto alla protezione dei dati tende semplicemente ad aggiungere la parola “privacy” ai concetti di by design e by default e a pensare a questi aspetti con riferimento alle solite valutazioni sull’impatto privacy: se presentata così agli uomini del business anche questa rivoluzione del legislatore diventa un ostacolo per la crescita perché la “privacy” viene vista come un adempimento noioso e inutile.
Per questo motivo è bene chiarire cosa rappresenti realmente la data protection by design e by default e chi saranno i data protection designer del futuro.
Il legislatore richiede di integrare le tutele nel trattamento dei dati fin dalla progettazione e la loro protezione per impostazione predefinita. In particolare, richiede di integrare le misure volte ad attuare in modo efficace i principi di protezione dei dati di cui all’articolo 5 del GDPR quali la minimizzazione dei dati e le garanzie necessarie al fine di soddisfare i requisiti del GDPR e tutelare i diritti degli interessati.
L’articolo 25 del GDPR può dunque essere visto sotto due diversi aspetti: sicurezza da integrare nel trattamento dei dati (riservatezza, integrità e disponibilità) e minimizzazione dei dati.
A parere di chi scrive la data protection design sarà il futuro e consentirà alla tecnologia di esplodere ma con tutele concrete integrate nel trattamento a tutela degli interessati. La data protection design eliminerà quel dibattito che oggi si presenta tra uomo e tecnologia, perché la data protection design nel futuro prenderà il nome di Human Centric Design.
In questo contesto è utile domandarsi cosa intenda il legislatore con il termine misure tecniche di salvaguardia utilizzato nell’articolo 25 del GDPR.
Nei fatti, viene richiesto al titolare e al responsabile del trattamento di integrare “mezzi” e/o “metodi” nel trattamento adeguati a raggiungere lo scopo previsto, idonei all’attuazione dei principi di protezione dei dati in maniera efficace e riducendo il rischio per i diritti e le libertà degli interessati.
Quale può essere una misura concreta da integrare nel trattamento che consente all’azienda data driven di attuare una serie di principi previsti dal GDPR, come l’integrità, la riservatezza e la minimizzazione dei dati di cui stiamo parlando in questo articolo? Sicuramente l’adozione delle tecniche di pseudonimizzazione o di anonimizzazione.
Una delle cose fondamentali che il legislatore ha escluso sono una lista di misure necessarie da integrare nel trattamento: infatti, parla di “efficacia” di misure ed in particolare si richiede a titolari e responsabili di valutare fin dalla progettazione misure adeguate ad attuare efficacemente i principi e tutelare i diritti e le libertà fondamentali dell’interessato.
L’efficacia deve essere al centro di ogni tavolo di lavoro di data protection design di un progetto, di una applicazione, di un nuovo servizio.
Un’azienda data driven dovrà dimostrare di aver implementato in maniera efficace misure atte a rispettare i principi e garanzie adeguate di protezione dei diritti e delle libertà delle persone fisiche.
Perché, dunque, nell’articolo 25 il legislatore parla di “stato dell’arte” e cosa avrà voluto comunicare alle aziende data driven?
Ancora una volta, a parere di chi scrive il legislatore ha fatto riferimento al progresso tecnologico, lasciando al titolare le valutazioni sul contesto, sui progressi della tecnologia disponibile in quel momento. Il legislatore ha guardato al futuro, ma non poteva prevedere le tecnologie che saranno disponibili e per tale motivo ha lasciato aperta la strada ad altre leggi (la prossima sarà quella sull’intelligenza artificiale).
Minimizzazione dei dati e aziende sostenibili
Oggi le aziende iniziano ad aprire i tavoli di lavoro sulla sustainability quale nuovo obiettivo per il futuro.
Al tavolo dei lavori sono stati coinvolti tutti ma non lo specialista di data protection: grave errore in quanto nel futuro sostenibile delle aziende avranno un ruolo importante i dati personali trattati e la minimizzazione di tali dati.
L’obiettivo “sostenibile” ha in comune molti elementi con il GDPR quali: “trasparenza”; “fiducia” e “valore” ma nessuno parla della connessione della qualità dei dati e dell’esattezza dei dati con l’obiettivo sostenibile dell’azienda.
Nell’era dell’Internet of Things, ovvero delle soluzione relative alle smart home, agli elettrodomestici dotati di connettività, delle soluzioni smart utilities & energy, della guida autonoma, noi umani diventeremo informazioni che camminano, avremo la possibilità di essere sempre connessi, di scambiarci informazioni e di vedere oggetti che si scambiano informazioni nelle nostre case, nei nostri uffici, nelle nostre città.
Le aziende si troveranno a raccogliere sempre “più informazioni” nell’era dei Big Data. Ma come può un’azienda diventare “sustainability” e puntare, ad esempio, all’efficienza energetica se non ha tenuto conto, nella fase di progettazione delle tutele da integrare nel trattamento dei dati, di processi adeguati alla qualità e all’esattezza dei dati? Come potrà l’azienda trattare solo i dati necessari al perseguimento delle finalità?
Le aziende si troveranno a raccogliere nuovi dati e dovranno essere capaci di valutare se le finalità del trattamento sono compatibili con lo scopo precedente.
La minimizzazione dei dati e la sostenibilità potrebbero essere i nuovi obiettivi nelle strategie aziendali future?
A parere di chi scrive, sì.
Come posso allora diffondere nella mia azienda la cultura della sostenibilità se non diffondo la cultura del dato di qualità?
Nella riduzione dell’emissione, dello spreco, dell’inquinamento avranno anche un impatto i dati che non sono necessari, i dati inesatti e non proporzionali con lo scopo perseguito?
Le nuove tecnologie che verranno adottate dall’azienda per ridurre consumo elettrico, idrico, di ridimensione dei combustibili inquinanti dovranno avere delle tutele integrate nel trattamento dei dati?
Ai tavoli di lavoro le aziende che vorranno diventare data driven e data sostenibili dovranno coinvolgere anche persone specializzate in data protection.
Il futuro è vicino e l’Italia non può restare indietro, ha bisogno di competenze e non più di un approccio burocratico della data protection. Il nostro paese deve iniziare a parlare di etica, diritto e sostenibilità per le strategie del futuro.