I dark data: nuove opportunità e nuovi rischi
Con l’espressione dark data, vale a dire dati oscuri, i tecnici fanno riferimento ai dati che un’azienda acquisisce, in fase di trattamento di dati personali, ma che non sono strettamente connessi alle finalità principali del trattamento.
Ecco un esempio:
- l’azienda sta conducendo una serie di interviste ai visitatori di un centro commerciale, per vedere che tipo di shampoo essi utilizzano. L’informazione primaria da acquisire è evidentemente il fatto che l’intervistato utilizzi o meno quella particolare tipologia di shampoo; come dato secondario si potrebbe anche chiedere quante volte egli utilizza lo shampoo.
In realtà sappiamo che, durante queste interviste, si acquisiscono informazioni in merito al sesso, l’età, anche allo stato patrimoniale dell’intervistato. Questi dati vengono acquisiti e non vengono poi utilizzati per tirare le conclusioni, che sono state commissionate dalla azienda committente, e restano archiviati nel data base aziendale.
Vediamo adesso quali sono i rischi legati ad una situazione, come quella illustrata.
Tanto per cominciare, ricordo ai lettori che l’articolo 25 del regolamento generale europeo prevede che i dati raccolti, per impostazione predefinita, siano i minimi necessari per raggiungere le finalità del trattamento, debitamente comunicate agli interessati coinvolti.
Se, durante la raccolta di dati, l’informativa offerta a fa riferimento esclusivamente al fatto che l’intervistato utilizzi o meno una determinata tipologia di shampoo, con eventuali ulteriori dati circa la frequenza di uso, gli altri dati che vengono raccolti presentano caratteristiche di eccesso, rispetto alle finalità minime desiderate.
Anche nell’ipotesi che nella informativa all’interessato vengano date notizie in merito ai dati aggiuntivi, sopra illustrati, rimane sempre in essere il contenzioso afferente al fatto che questi ulteriori dati non sono strettamente connessi alle finalità dichiarate.
In questo caso ci troviamo davanti a un rischio significativo, perché si potrebbe incorrere in una sanzione dell’autorità Garante, o perché non si è data un’informativa completa all’interessato, oppure perché ci si trova davanti a una violazione di un principio assai limitativo, come definito nella seconda parte dell’articolo 25. Malte rischi possono presentarsi per il titolare del trattamento, che operi secondo questo schema.
Ad esempio, i dati che egli ha raccolto, e che non prevede di utilizzare, potrebbero essere coinvolti in una violazione dei dati, con conseguenze che può essere difficile riuscire a prevedere.
Nel caso poi che l’interessato al trattamento eserciti il diritto di oblio, a lui riconosciuto dal regolamento, se il titolare non ha una chiara visione di dove si trovano sia i dati primari raccolti, sia i dati secondari, egli potrebbe essere messo nella condizione di non poter rispondere alla richiesta di cancellazione dei dati, in modo tempestivo e completo. Anche questa violazione potrebbe cadere sotto l’occhio dell’autorità Garante, ad esempio durante una periodica ispezione, producendo conseguenze affatto negative per il titolare, sul piano economico e sul piano di immagine.
Ecco perché una raccolta di dati, che ecceda quelli minimi necessari per soddisfare alle finalità dichiarate, in fase di raccolta, può costituire un problema effettivo o potenziale.
Adesso vediamo però l’altra faccia della medaglia.
Come accennato in precedenza, questi dati supplementari, a condizione ovviamente che siano stati legittimamente raccolti, possono consentire al titolare del trattamento di sviluppare nuove applicazioni, che potrebbero risultare oltremodo redditizie per l’azienda stessa.
Esistono oggi degli applicativi che permettano di identificare questi dati oscuri e realizzarne una mappa, in modo da consentire al titolare del trattamento di vedere se esistano opportunità specifiche di trattamento supplementare, con soddisfacenti ritorni economici.
Quando poi l’espressione “dato oscuro” è associata a big data o ad altri dati operativi, le opportunità di un utilizzo redditizio aumentano in maniera esponenziale.
Ad esempio, l’analisi dei registri di accesso al sito Web di un’azienda potrebbe offrire preziose indicazioni sulla tipologia degli interessati che accedono e consentire pertanto al titolare di adattare la pagina Web, o meglio suoi contenuti, in modo da soddisfare a vere o presunte specifiche esigenze dei navigatori.
Analogo ragionamento può farsi per i dati di posizionamento del navigatore, che potrebbero offrire preziose indicazioni sul profilo del navigatore e quindi sulle sue più probabili preferenze o più legittimi interessi.
Come si vede, il problema dei dati oscuri deve essere affrontato e non vissuto a posteriori.
D’altro canto, è ormai noto che l’approccio di molti titolari del trattamento è il seguente: “acchiappiamo più dati possibili e poi dopo vedremo cosa farne!”.
Ritengo che questo approccio sia sostanzialmente sbagliato, così come è sostanzialmente sbagliato acchiappare dei dati senza avere in anticipo un’idea, meno approssimata di come essi potrebbero essere utilizzati.
Ecco perché i dati oscuri possono rappresentare un’opportunità positiva per il titolare del trattamento, ma potrebbero anche costituire un insostenibile peso, se essi non vengono correttamente catalogati, anche per rispondere a possibili specifiche richieste di cancellazione da parte dell’interessato.