Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

GDPR, privacy e trend tecnologici

27 Novembre 2019 in GRC360

I trend tecnologici hanno implicazioni di privacy che alla luce del GDPR non si possono trascurare. Da chiarire subito che il regolamento europeo non incide direttamente sulle tecnologie in quanto tali, ma sui trattamenti dei dati che vengono effettuati attraverso di esse. Le tecnologie sono solo oggetti o strumenti virtuali, a essere rilevante per la normativa è, invece, l’uso dei dati che vengono gestiti o raccolti. Il trattamento deve seguire i principi del GDPR, per garantire la giusta sicurezza alle libertà e ai diritti degli interessati. Poiché le tecnologie sono sempre più diffuse in azienda, è utile approfondire come influiscono sull’ambito privacy e quali sono le accortezze da prendere per non correre rischi.

GDPR e innovazione, una situazione in divenire

La tematica del rapporto tra GDPR e nuove tecnologie è aperta e oggetto di dibattito. Sarà importante valutarne l’evoluzione nel tempo, per capire come normativa e innovazione coesisteranno. Non è irrealistico pensare che ci saranno passi avanti sia dal punto di vista delle regole sia da parte dei player, per aggiustare il tiro e garantire alti livelli di data protection senza per questo limitare l’impiego della tecnologia.

Va, infatti, sottolineato che i rischi per i dati sono presenti in tutti i trattamenti, non solo in quelli relativi alle innovazioni. Bisogna adottare in ogni caso le giuste misure per scongiurarli, tenendo a mente che il pericolo maggiore sta nel non percepire il rischio.

IoT, Big Data, AI e Data protection

Oggi nelle aziende, complice anche la spinta politica degli incentivi per dotarsi di strumenti tecnologici, si trattano sempre più dati attraverso l’uso di nuovi strumenti connessi e intelligenti.

Tra le tante tecnologie che le aziende stanno adottando per digitalizzarsi e migliorare le proprie performance, spicca l’IoT (Internet of Things) che mettendo in connessione strumenti e trasmettendo informazioni, ha impatti sul trattamento dei dati. La criticità non riguarda solo la collezione di dati ma anche la loro accessibilità da parte delle diverse figure professionali coinvolte nel funzionamento e utilizzo degli strumenti come per esempio, l’installatore o il proprietario.
Riguardo all’IoT, il Garante Privacy europeo (EDPS) ha di recente pubblicato un provvedimento in cui viene spiegato che chi lo adotta deve svolgere la valutazione di impatto (DPIA).

I Big Data invece rappresentano un terreno un po’ contradditorio riguardo alla privacy. Il GDPR, infatti, spiega che i trattamenti dei dati devono essere specifici e che la raccolta dei dati deve essere svolta secondo una finalità stabilita a monte. I Big Data vengono talvolta raccolti in gran numero senza uno scopo, per poi spesso venir venduti a terzi per finalità che non erano state dichiarate al momento della loro raccolta. Con l’introduzione del GDPR, non si può fare: la circolazione dei dati è libera, se ne possono raccogliere quanti se ne vuole, ma questi devono essere trattati solo per precise finalità dichiarate. Inoltre, se si cedono a terzi, chi li prende deve anch’egli gestirli in base a quelle stesse finalità. Dunque, questa modalità innovativa di trattamento dei dati personali sembra andare in contraddizione con il GDPR, sarà necessario allineare la tecnologia alla normativa.

Implicazioni privacy si hanno anche in relazione all’intelligenza artificiale, soprattutto riguardo ai trattamenti automatizzati gestiti da sistemi di AI. Nel mondo del lavoro questa tecnologia si sta diffondendo con velocità, ma non bisogna trascurare la data protection e occorre valutare se i trattamenti che si svolgono attraverso tali sistemi sono compliant.

GDPR e trend tecnologici, come non sbagliare: Privacy by design e DPIA

Considerati questi aspetti, si pongono dunque dilemmi organizzativi su come agire. Il GDPR rileva nella prevenzione la miglior arma. L’articolo 25 introduce il concetto di privacy by design, per il quale un trattamento dei dati prima ancora di essere concretamente effettuato deve essere pensato e progettato tenendo conto delle misure di data protection idonee. La privacy non si improvvisa, bisogna analizzare la situazione e capire quali sono le implicazioni di un certo trattamento per i dati degli interessati. Relativamente ai trend tecnologici del momento, bisogna tener conto se e come si trattano dati e valutare le più opportune misure per essere compliant.

In caso le nuove tecnologie comportino per i dati un elevato rischio, concetto disciplinato dal Considerando 75, si dovrà inoltre procedere a svolgere una DPIA – Data protection impact assessment. Il Garante della privacy per far chiarezza su quali trattamenti debbano essere sottoposti a DPIA ha provveduto a pubblicare un vademecum. In questo viene esplicitato come la DPIA sia richiesta per trattamenti di dati svolti per mezzo di tecnologia innovativa.
Il Garante cita per esempio l’IoT, l’intelligenza artificiale, i monitoraggi per via dei dispositivi wearable e il Wi-Fi tracking, oltre agli assistenti vocali. In questo modo, viene dunque riconosciuto senza dubbio l’alto rischio legato al trattamento dei dati svolto attraverso queste innovazioni, “ogniqualvolta ricorra anche almeno un altro dei criteri individuati nel WP 248, rev. 01”: ovvero l’utilizzo di tecnologie, anche innovative, non costituisce di per sé obbligo di DPIA, che scatta solo in abbinata ad uno degli altri criteri individuati dalle “Linee guida in materia di valutazione d’impatto sulla protezione dei dati” adottate nel 2017 dal WP29.
è necessario quindi formarsi e affidarsi a esperti per non essere impreparati.

Paolo Calvi – Data Protection Officer

New call-to-action
Share