Big data e privacy, intervista all’avvocato Zallone
Ultimo aggiornamento 8 Aprile 2019
Si chiamano “Big” ma l’aggettivo non spiega in modo esaustivo il potenziale di questi “data” o, meglio, andrebbe specificato ulteriormente.
In generale, appellandoci a una definizione classica, quelle delle 4 V, possiamo dire che tutti i dati che soddisfano caratteristiche quali varietà, volume, velocità e veridicità, possono essere definiti Big data.
I settori di applicazione sono sostanzialmente infiniti: medicina, scienza, ecologia, trasporti, meccanica, web marketing e molti altri ancora.
Nel caso specifico del web marketing si pensi a quanto è rilevante, per qualsiasi tipo di strategia (SEO, Social, Advertising) riuscire a conoscere realmente i propri utenti per proporre loro prodotti e servizi disegnati sulle loro stesse esigenze, o addirittura poter prevederle, anticiparle.
L’altra faccia della medaglia solleva però una spinosa questione, ovvero la questione della privacy dei dati e del loro utilizzo.
In occasione del Convegno Iside, dove siamo intervenuti parlando di big data e banche, abbiamo avuto l’opportunità di conoscere l’Avvocato Zallone, già Docente di Diritto dell’informatica e di Internet, Facoltà di Giurisprudenza presso l’Università Luigi Bocconi e fondatore dello Studio Zallone, uno studio specializzato in tutti gli aspetti relativi a informatica e nuove tecnologie.
A lui abbiamo posto alcune domande che riportiamo di seguito in questa intervista.
I big data, afferma il Garante, possono essere utilizzati ai fini statistici ma, insiste, “con delle garanzie”. Quali sono le principali garanzie delle quali parla?
Tutti i garanti sono preoccupati per il fenomeno dei “big data”, d’altra parte è il loro mestiere, per cui è semplicemente logico e umano che questo avvenga. Parlando di garanzie, i garanti non si riferiscono ai formalismi che conosciamo (l’informativa, il consenso, ecc), ma ad aspetti più sostanziali.
Prima di tutto: cercare di stabilire un equilibrio tra il trattamento dei dati e i vantaggi che ne possono derivare agli utenti (i cui dati sono trattati).
Secondo: valutare i casi in cui sia necessario mantenere l’identificazione degli utenti. Questo aspetto andrebbe affrontato insieme all’altro fattore: il tempo. E’ importante valutare quale sia un limite di tempo per la conservazione dei dati valutando al tempo stesso se, in tutto questo periodo, sia sempre necessario avere i dati identificativi o se, invece, i dati non possano essere raccolti in clusters e anonimizzati.
Ricordo che i big data sono già stati utilizzati, anche in Europa, in campo medico, dove cioè si trattano dati sensibili, senza grossi problemi, perché sono state adottate delle procedure di anonimizzazione che sono state valutate positivamente e che non hanno avuto alcun impatto negativo sulle elaborazioni effettuate.
Un’azienda che vuole utilizzare in modo più strutturato i dati a sua disposizione ai fini della creazione di campagne promozionali online più mirate, quale iter procedurale deve seguire per essere in regola con quanto disposto dalla normativa?
Bisogna chiarirsi una volta per tutte, la legge sulla privacy, in massima sintesi, prevede quanto segue: se un soggetto vuole trattare dati personali, lo deve dichiarare ai c.d. interessati, (semplificando: i clieni o potenziali clienti i cui dati vuole utilizzare), specificando quali sono le finalità. Se si vogliono usare i dati per campagne promozionali, al momento in cui i dati sono raccolti bisogna dirlo. Se si vuole fare della profilazione (io suggerisco grande cautela nell’uso di questa parola, che viene usata spesso a sproposito) occorre dirlo. Poi, a seconda dei casi (cioè a seconda dell’uso che ne voglio fare) occorrerà aver ottenuto il consenso dei singoli. Sotto questo aspetto il nuovo Regolamento Europeo sulla privacy, che oggi è stato approvato dal Parlamento Europeo, consente a noi italiani una grande semplificazione. La nostra legge prevede che l’unico criterio autorizzativo sia il consenso, metre il Regolamento (come peraltro fa la Direttiva) prevede vari criteri autorizzativi, che non si limitano solo al consenso.
Un’altra accortezza che occorre avere è quella di “pensare in anticipo”.
Mi spiego.
Tempo fa, in pochi pensavano a utilizzare SMS (o altri strumenti di messaggistica) come veicolo informativo o di marketing. Nella nota informativa, quindi, bisogna usare il massimo della creativitò, per non dover modificare l’informativa stessa ogni volta che ci viene in mente di usare un nuovo media.
Mi viene in mente un episodio avvenuto in Inghilterra.
Una notissima azienda di abbigliamento di lusso inseriva nelle sue borse un RFID, ma senza dirlo ai clienti. Una cliente si reca nel negozio di questa azienda e compra una nuova borsa; la nuova borsa le piace talmente tanto che la usa subito, trasferendo nella nuova tutto quello che aveva nella vecchia, che dimentica in negozio. Tramite lo RFID viene individuato il nome della cliente, che viene avvertita telefonicamente. Se il produttore della borsa avesse detto all’inizio dell’esistenza dello RFID, avrebbe potuto gestirlo offrendo un vantaggio per la cliente (l’aver dimenticato la borsa non ha avuto conseguenze) ma soprattutto avrebbe avuto una possibilità di after-marketing fortissima, che però non poteva usare per non aver informato la cliente.
Smartphone e tablet, le applicazioni mobile in generale, rappresentano strumenti assolutamente eccezionali per le imprese, attraverso questi device mobili le aziende possono infatti essere a contatto con i loro clienti e potenziali clienti 24 ore su 24. C’è un modo, a suo avviso, per essere “presenti” senza essere “pressanti”?
Qui entriamo in un campo non strettamente giuridico. Secondo me vanno valutate bene le modalità di uso di questi strumenti.
Se ogni giorno mi arrrivano tre mail promozionali dalla stessa azienda, la cosa può dare sicuramente fastidio. Se invece mando una sorta di newsletter in cui metto tutte le informazioni rilevanti, ho lo stesso effetto ma do meno fastidio. Un altro modo potrebbe essere quello di chiedere di confermare l’interesse rispetto a certe netifiche. Penso ad un supermercato che manda una mail che informa sulla promozione di un certo prodotto, in fondo si potrebbe mettere “ti interessa questo prodotto?” (in modo da inviare solo informazioni mirate).
Un altro metodo potrebbe essere quello dell’uso delle App, che sempre più fornitori (soprattutto nella grande distribuzione, ma anche banche) stanno usando. L’app può essere un ottimo veicolo informativo, in qanto mando l’informazione sull’applicazione (guarda Raffaele, che abbiamo questa nuova offerta), ma non sto mandano una mail vera e propria, io non la leggo nella mia casella di posta, ma nelle news ella App. Ottengo lo stesso effetto, ma con meno impatto.