IoT, big data e privacy: come sposare GDPR e tecnologia
27 Novembre 2019 in Governance Risk & Compliance As a Service - GRC360
I trend tecnologici hanno implicazioni di privacy che alla luce del GDPR non si possono trascurare. Da chiarire subito che il regolamento europeo non incide direttamente sulle tecnologie in quanto tali, ma sui trattamenti dei dati che vengono effettuati attraverso di esse. Le tecnologie sono solo oggetti o strumenti virtuali, a essere rilevante per la normativa è, invece, l’uso dei dati che vengono gestiti o raccolti. Il trattamento deve seguire i principi del GDPR, per garantire la giusta sicurezza alle libertà e ai diritti degli interessati. Poiché le tecnologie sono sempre più diffuse in azienda, è utile approfondire come influiscono sull’ambito privacy e quali sono le accortezze da prendere per non correre rischi.
GDPR, big data e IoT: tra privacy e innovazione
La tematica del rapporto tra GDPR e nuove tecnologie è aperta e oggetto di dibattito. Sarà importante valutarne l’evoluzione nel tempo, per capire come normativa e innovazione coesisteranno. Non è irrealistico pensare che ci saranno passi avanti sia dal punto di vista delle regole sia da parte dei player, per aggiustare il tiro e garantire alti livelli di data protection senza per questo limitare l’impiego della tecnologia.
Va, infatti, sottolineato che i rischi per i dati sono presenti in tutti i trattamenti, non solo in quelli relativi alle innovazioni. Bisogna adottare in ogni caso le giuste misure per scongiurarli, tenendo a mente che il pericolo maggiore sta nel non percepire il rischio.
IoT, Big Data, AI e Data protection
Oggi nelle aziende, complice anche la spinta politica degli incentivi per dotarsi di strumenti tecnologici, si trattano sempre più dati attraverso l’uso di nuovi strumenti connessi e intelligenti.
GDPR e IoT
Tra le tante tecnologie che le aziende stanno adottando per digitalizzarsi e migliorare le proprie performance, spicca l’IoT (Internet of Things) che mettendo in connessione strumenti e trasmettendo informazioni, ha impatti sul trattamento dei dati. La criticità non riguarda solo la collezione di dati ma anche la loro accessibilità da parte delle diverse figure professionali coinvolte nel funzionamento e utilizzo degli strumenti come per esempio, l’installatore o il proprietario.
Riguardo all’IoT, il Garante Privacy europeo (EDPS) ha di recente pubblicato un provvedimento in cui viene spiegato che chi lo adotta deve svolgere la valutazione di impatto (DPIA).
I Big Data e il GDPR
I Big Data invece rappresentano un terreno un po’ contradditorio riguardo alla privacy. Il GDPR, infatti, spiega che i trattamenti dei dati devono essere specifici e che la raccolta dei dati deve essere svolta secondo una finalità stabilita a monte. I Big Data vengono talvolta raccolti in gran numero senza uno scopo, per poi spesso venir venduti a terzi per finalità che non erano state dichiarate al momento della loro raccolta. Con l’introduzione del GDPR, non si può fare: la circolazione dei dati è libera, se ne possono raccogliere quanti se ne vuole, ma questi devono essere trattati solo per precise finalità dichiarate. Inoltre, se si cedono a terzi, chi li prende deve anch’egli gestirli in base a quelle stesse finalità. Dunque, questa modalità innovativa di trattamento dei dati personali sembra andare in contraddizione con il GDPR, sarà necessario allineare la tecnologia alla normativa.
Implicazioni privacy si hanno anche in relazione all’intelligenza artificiale, soprattutto riguardo ai trattamenti automatizzati gestiti da sistemi di AI. Nel mondo del lavoro questa tecnologia si sta diffondendo con velocità, ma non bisogna trascurare la data protection e occorre valutare se i trattamenti che si svolgono attraverso tali sistemi sono compliant.
Come privacy by design e DPIA interagiscono con GPDR, IoT e big data
Considerati questi aspetti, si pongono dunque dilemmi organizzativi su come agire. Il GDPR rileva nella prevenzione la miglior arma. L’articolo 25 introduce il concetto di privacy by design, per il quale un trattamento dei dati prima ancora di essere concretamente effettuato deve essere pensato e progettato tenendo conto delle misure di data protection idonee. La privacy non si improvvisa, bisogna analizzare la situazione e capire quali sono le implicazioni di un certo trattamento per i dati degli interessati. Relativamente ai trend tecnologici del momento, bisogna tener conto se e come si trattano dati e valutare le più opportune misure per essere compliant.
In caso le nuove tecnologie comportino per i dati un elevato rischio, concetto disciplinato dal Considerando 75, si dovrà inoltre procedere a svolgere una DPIA – Data protection impact assessment. Il Garante della privacy per far chiarezza su quali trattamenti debbano essere sottoposti a DPIA ha provveduto a pubblicare