A un anno dall’entrata in vigore del Regolamento Generale sulla Protezione dei Dati, più noto come GDPR, come è cambiato il rapporto delle aziende con la Business Intelligence? È ancora possibile analizzare i dati dei nostri clienti anche quando hanno prestato consenso per finalità diverse dalle analisi?
Sommario
GDPR: dove eravamo rimasti
Come evidenziato dal regolamento europeo 2016/679, che un anno fa ha portato enti di vario tipo in tutta Europa a rivedere il proprio sistema di sicurezza dei dati, la portata della condivisione e della raccolta dei dati personali è aumentata in modo significativo, poiché le persone fisiche divulgano con maggiore frequenza i propri dati personali su scala mondiale. Ne deriva il bisogno da parte delle persone, tutelato proprio dal suddetto regolamento, di avere il pieno controllo sui propri dati.
È chiaro che le aziende, entro il 25 maggio 2018, abbiano implementato tutte le attività necessarie a rispondere ai doveri introdotti nel nostro sistema legislativo dal GDPR. Si è trattato, tra le altre cose, di rivedere i form di prestazione del consenso al trattamento dati, di introdurre policy interne e più in generale di investimenti in tecnologie specifiche.
Tema sicuramente interessante a questo punto è capire come il GDPR abbia influito su tutti i processi di Business Intelligence e Data Mining all’interno delle aziende, chiedendosi se oggi è ancora possibile svolgere analisi su clienti anche quando questi prestano consenso espresso per finalità direttamente legate all’acquisto di un prodotto o di un servizio.
Il trattamento dei dati personali: l’articolo 5 GDPR
L’articolo 5 del GDPR prevede che i dati personali, intendendo con questo termine qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»), debbano essere raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo compatibile con tali scopi. Di conseguenza, un e-commerce può utilizzare i dati anagrafici (nome, cognome, indirizzo di residenza) forniti da un cliente al fine di spedirgli il prodotto desiderato, ma non può inviare materiale informativo presso la sua residenza senza il suo esplicito consenso. In questo esempio, l’azienda conserva il dato del cliente (a meno di sua esplicita richiesta di eliminare quel dato), ma può disporne solo per le finalità da lui esplicitamente espresse in fase di registrazione al sito o durante l’ordine.
Come ci si comporta dunque in fase di analisi?
Una prima risposta a questa domanda è contenuta nel punto b) dell’articolo 5 e poi approfondita nell’articolo 89 paragrafo 1 del GDPR, secondo cui il trattamento dei dati personali a fini statistici non è considerato incompatibile con le finalità dichiarate inizialmente dalla persona fisica, fini statistici che dovrebbero produrre come output uno o più valori aggregati.
Cosa c’è di nuovo nello scenario della Business Intelligence dopo il GDPR?
In realtà, il trattare i dati in maniera aggregata non esenta il responsabile del trattamento dall’applicare i principi di protezione dei dati introdotti con il GDPR. Anzi, all’interno del testo viene esplicitamente dichiarato che qualora i dati personali siano trattati per finalità statistiche, il regolamento dovrebbe applicarsi anche a tale trattamento.
È richiesto in prima battuta che la persona fisica venga resa non identificabille: per stabilire l’identificabilità di una persona è opportuno considerare tutti i mezzi di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente. Per accertare la ragionevole probabilità di utilizzo dei mezzi al fine di identificare la persona fisica, si dovrebbe prendere in considerazione l’insieme dei fattori obiettivi, tra cui i costi e il tempo necessario per l’identificazione, includendo nelle proprie considerazioni anche le tecnologie disponibili al momento del trattamento o generate da sviluppi futuri.
L’accesso a grandissime moli di dati provenienti da diverse fonti, e di conseguenza la disponibilità da parte di un numero crescente di aziende in maniera non sempre consapevole di big data, rende però sempre più complicato garantire la totale non identificabilità della persona fisica: è possibile che, incrociando dati aziendali correttamente anonimizzati con dati di traffico o di comportamento provenienti da fonti esterne, una persona dapprima anonima diventi identificabile.
Aumenta così il lavoro da parte del Data Scientist, che deve assicurarsi durante tutto il processo di analisi del dato che il trattamento in corso non leda il diritto alla privacy garantito dal GDPR. Diventa dunque essenziale che chi intenda avvalersi dei Big Data consideri il tema della protezione dei dati sin dalla fase iniziale di un progetto, avvalendosi dei criteri in materia di protezione dei dati («Privacy by Design»).
Resta inoltre l’obbligo di utilizzare solo i dati strettamente necessari ai fini dell’analisi.
Comments are closed.