Giancarlo Butti, auditor e consulente privacy e sicurezza informatica

di Luigi Crimella

Trattare i Big Data con il nuovo GDPR-UE implica una grande responsabilità

La gestione dei Big Data da parte di organismi complessi quali sono gli Stati, le grandi Corporation, le Istituzioni finanziarie ed assicurative, i principali Social Network globali suscita domande e preoccupazioni tra gli operatori coinvolti nella raccolta e trattamento dei dati oltre che nell’opinione pubblica. Qui di seguito l’intervista a un operatore del settore, Giancarlo Butti, a partire dal nuovo GDPR (General Data Protection Regulation - Regolamento UE 2016/679). Butti è esperto di Ict, consulente di banche e società, autore di 20 fra libri e white paper, alcuni dei quali utilizzati come testi universitari; co-autore di 6 opere collettive nell’ambito di Abi Lab, Oracle Community for Security, Rapporto Clusit 2016; membro della faculty di Abi Formazione e docente presso altre istituzioni; relatore presso eventi di Isaca/Aiea, Oracle/Clusit, Iter, Informa Banca, Convenia, Cetif, nonchè collaboratore di testate giornalistiche tradizionali e online con oltre 700 articoli all’attivo. Tra l’altro è tra i coordinatori di www.europrivacy.info.

Cosa significa per chi utilizza i Big Data per il proprio business (ad esempio una banca o una compagnia di assicurazione) aver a che fare con il Regolamento UE 2016/679 sulla protezione dei dati personali?
BUTTI – “Chi utilizza i Big Data nella quasi totalità dei casi ha a che fare con dati personali, informazioni tutelate quindi dalla normativa privacy, rappresentata oggi dal D.Lgs 196/03 e fra pochi mesi dal nuovo Regolamento europeo sulla privacy, il così detto GDPR. Trattandosi di un Regolamento, tale normativa sarà pienamente operativa senza bisogno di ulteriori passaggi da parte degli Stati membri anche se questi manterranno una loro autonomia su alcune questioni, come ad esempio le sanzioni penali. Queste ultime si aggiungeranno alle pesantissime sanzioni previste per la violazione del Regolamento e che arrivano fino a 20 milioni di euro o al 4% del fatturato annuo mondiale se questo è superiore, con la concreta possibilità quindi che una banca rischi sanzioni di centinaia di milioni di euro”.

Quali sono le principali novità previste?
BUTTI – “Il Regolamento introduce numerose ed importanti novità che hanno effetto su tutti i soggetti che trattano i dati, fra le quali il concetto di privacy by design e di accountability (in sintesi è necessario valutare per qualunque nuovo evento che possa modificare il mio modello di privacy quali saranno le azioni da intraprendere per mantenere la conformità allo stesso, ed essere in grado di dimostrare in ogni momento tali azioni e le loro motivazioni). Il Regolamento è molto complesso ed articolato, composto da 173 considerando e 99 articoli, e si sommerà a specifiche normative nazionali, alle linee guida previste dallo stesso GDPR ed, in Italia ai provvedimenti dell’Autorità Garante. Chi utilizza i Big Data è fortemente impattato dal GDPR e dovrà fare una attenta valutazione sulle azioni da intraprendere e sulle limitazioni che si porranno nel trattamento dei dati, con particolare riferimento ad una delle azioni più frequente e logica che viene effettuata su quantità così rilevanti di dati: elaborarle per crearne profili utili alla propria attività”.

Data scientist, data security analyst, big data engineer sono definizioni forse un po’ altisonanti e che fanno sognare ai giovani laureati carriere e stipendi da favola per lavori nuovi e alquanto “misteriosi”. È proprio così, e dietro le parole quale reale mercato del lavoro si incontra nel nostro paese?
BUTTI – “Io mi occupo di sicurezza e posso assicurare che vi è una grande richiesta di specialisti in questo ambito. Di recente anche la nostra intelligence ha attivato un bando per il reclutamento di giovani esperti di sicurezza. Del resto l’analisi di grandi quantità di dati è uno degli strumenti con cui è possibile prevedere e desumere comportamenti che possano portare ad esempio ad un’azione terroristica. Non si deve pertanto limitare il pensiero dell’uso dei Big Data ad un ambito strettamente commerciale. Sono molto più ampie le aree di interesse e quindi una attenta valutazione di dove indirizzare la propria attrattività può di certo agevolare nella ricerca di un lavoro. Il settore della sicurezza è sicuramente uno dei più importanti in questo momento ed è quindi un interessante sbocco professionale”.

Ci può fare qualche esempio di uso positivo dei Big Data e invece, al contrario, di utilizzazione fraudolenta e sanzionabile?
BUTTI – “Gli esempi presenti in letteratura sono molti: nell’ambito della diagnosi precoce ed il trattamento delle malattie i segni vitali di pazienti ricoverati in un ospedale possono essere confrontati con i dati storici, per identificare i modelli e fornire informazioni preziose. Altro esempio è la profilazione del comportamento di un cliente nell’uso di una carta di credito da parte degli istituti di credito al fine di prevenire frodi. O ancora la determinazione del rischio di credito da parte di una banca, al fine di non esporre la stessa (e quindi i suoi azionisti) a insolvenze da parte della clientela. Ulteriore esempio consiste nel già citato uso da parte degli enti preposti alla sicurezza dei profili di comportamento un soggetto al fine di prevenire eventi criminosi. Sono da considerarsi invece negativi usi che sono tesi a profilare l’utente a sua insaputa ad esempio per valutare la rischiosità dal punto di vista sanitario da parte di una compagnia di assicurazione. Va da sé che allorquando l’utilizzo dei Big Data può avere effetti negativi su un soggetto, ad esempio viene rifiutato un finanziamento in base al suo profilo di rischio, diventa particolarmente importante sia la qualità dei dati analizzati, della cui veridicità e correttezza si deve essere certi, sia il modello di analisi. Al riguardo alcuni dati disponibili in letteratura sono tutt’altro che rassicuranti”.

Può spiegare?
BUTTI – “Nel rapporto congiunto FIP/CIS Big data and privacy making ends meet conference (Stanford Law School, 24 marzo 2013) viene citato il caso della errata valutazione della cliente Judy Thomas che ha citato in giudizio Trans Union per aver confuso i suoi dati con quelli di Judith Upton, ovviamente con conseguenze negative sul suo profilo creditizio. Il rapporto cita: «But this problem is not just anecdotal; it is structural. In a landmark and labor intensive study, academics working in conjunction with the FTC studied almost 3,000 credit reports belonging to 1,000 consumers and found that 26 percent had "material" errors—problems serious enough to affect the consumers' credit scores». Il concetto di uso positivo/negativo non è però da confondere con quello di sanzionabile. Una sanzione ha luogo se si viola una normativa, indipendentemente dalla finalità del trattamento”.

A questo punto dobbiamo tutti augurarci un robusto sistema di sanzioni?
BUTTI – “Come dicevo più sopra, esso è previsto. Va rimarcato che anche l’uso dei Big Data per finalità positive può essere sanzionato, se non viene fatto nel rispetto della normativa. Quanto alle sanzioni, quelle previste dalla nuova normativa, come prima indicato, sono elevatissime (oltre a 40 volte l’attuale sanzione massima) e possono derivare, ad esempio, da una mancata informazione all’utente circa l’uso dei suoi dati, o il loro trattamento senza uno specifico consenso, o la mancata soddisfazione di un diritto di cui gode tale utente in quanto interessato oppure, come nel caso sopra citato, dal non utilizzare dati esatti”.

Uno dei temi che di tanto in tanto appare nel dibattito pubblico sull’utilizzo dei dati personali consiste nel cosiddetto “diritto all’oblio” e nella “trasportabilità” o “portabilità” dei dati personali rilasciati. Cosa ci può dire in merito?
BUTTI – “Il diritto all’oblio viene chiaramente espresso nel primo comma dell’articolo 17 del GDPR: «L'interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l'obbligo di cancellare senza ingiustificato ritardo i dati personali, se sussiste uno dei motivi seguenti…». Fra i motivi rientra il consenso dell’interessato, che quindi è libero di revocarlo in qualunque momento. Il rispetto di tale prescrizione può essere veramente molto oneroso, in particolare nell’ambito di grandi quantità di dati. In questo caso è infatti necessario avere una dettagliata mappatura di tutti i dati che sono riconducibili ad un interessato, indipendentemente dal fatto che questi siano stati raccolti presso lo stesso o derivino dalle elaborazioni tipiche di un ambiente Big Data. È fondamentale anche aver ben chiaro cosa sia un dato personale e quale sia quindi la portata di una tale richiesta. Il Regolamento così recita: «dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale». È importante considerare in questo contesto il concetto di identificabilità, che non va inteso semplicemente come identificabile da chi tratta i dati, ma da qualunque altro soggetto”.

Siamo di fronte a un sistema di tutele erga omnes?
BUTTI – “In senso estensivo, sì. Ad esempio anche per una collezione di dati apparentemente anonimi, cioè non abbinati in prima istanza ad un determinato soggetto, ma che nel loro insieme ne permettono l’identificazione. Appare quindi importantissima una corretta valutazione di quali siano dati personali derivati da inferenza fra dati che presi singolarmente non lo sono, che in un’ottica di Big Data non sono così rari. Altro aspetto da considerare è la molteplicità della forma dei dati che si è soliti manipolare in questo contesto. Non si deve dare per scontato che i dati siano solo in forma alfanumerica, ma potrebbero comprendere immagini, suoni, registrazioni telefoniche, videoriprese. In tali contesti la cancellazione di un dato riferito ad uno specifico soggetto potrebbe comportare dei problemi e devono quindi essere valutati preventivamente (by desing) sia gli impatti, sia le possibili soluzioni per gestire tali eventualità. Ancor più impegnativo il rispetto del secondo comma dell’articolo 17 che recita: «Il titolare del trattamento, se ha reso pubblici dati personali ed è obbligato, ai sensi del paragrafo 1, a cancellarli, tenendo conto della tecnologia disponibile e dei costi di attuazione adotta le misure ragionevoli, anche tecniche, per informare i titolari del trattamento che stanno trattando i dati personali della richiesta dell'interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali».

Rimane il tema della “trasportabilità” dei dati ....
BUTTI – “Il diritto alla trasportabilità comporterà un lavoro di adeguamento oneroso da parte di tutti i soggetti che trattano dati personali in quanto dovranno essere in grado di estrarre dai propri sistemi informativi i dati relativi ad un particolare soggetto in a structured, commonly used and machine-readable format. Fortunatamente le linee guida emesse dal WP29 (Gruppo dei Garanti europei), come previsto dallo stesso GDPR, ‘limitano’ tale diritto ai soli dati che lo stesso interessato ha fornito a chi tratta i dati e non già a tutti quelli che sono da questi successivamente derivati o, si presume, che sono stati diversamente raccolti (ad esempio da fonti pubbliche o provider di informazioni). Da questo punto di vista quindi, vista la natura dei Big Data, l’impatto sarà rilevante, ma gestibile. Ovviamente sarà importante tenere traccia, per ogni tipologia di dato, di quale sia stata la sua fonte cioè se fornito dal soggetto interessato, da terzi, o frutto di elaborazione”.

Chi è il responsabile della validità e liceità giuridica dei Big Data analizzati e profilati: il vertice dell’organizzazione che tratta i dati, oppure gli ingegneri ed analisti che hanno implementato gli algoritmi di analisi? Ci può essere uno "scaricabarile" tra i due livelli in caso di contestazione o causa legale?
BUTTI – “Nell’attuale normativa sulla privacy la responsabilità ultima in merito al trattamento dei dati personali è in capo al Titolare di trattamento. Tale figura va individuata nell’organizzazione nel suo complesso, sia essa un’azienda, un’associazione, un ente pubblico, e non già in una persona fisica. Nell’ambito dei Big Data difficilmente ci si troverà in situazioni nelle quali sia un singolo professionista a utilizzare tale tecnologia e quindi vale quanto detto al punto precedente. All’interno del Titolare, da non confondere con il proprietario, vanno ovviamente individuate le persone fisiche che possono rappresentarlo, in quanto ad esempio, una sanzione penale è applicabile solo ad una persona fisica. Nell’ambito di una azienda queste sono di norma i membri del CDA che possono poi delegare qualche specifico soggetto a svolgere i compiti di rappresentanza del Titolare. All’interno dell’organizzazione del Titolare si possono configurare altri soggetti ai quali sono delegati particolari compiti, Responsabili di trattamento e da ultimo tutte le presone fisiche che trattano dati personali necessariamente devono essere state preventivamente istruite e formalmente incaricate. Giova ricordare che le sanzioni di natura amministrativa sono in capo solitamente al Titolare, mentre le sanzioni penali sono applicabili a tutti i soggetti, incaricati compresi, che effettuano il trattamento. Quindi, per rispondere al quesito, in prima istanza chi risponde è il Titolare (ad esempio l’azienda e quindi chi la rappresenta, ad esempio il CDA), salvo che un singolo o più incaricati abbiano essi stessi violato la normativa contravvenendo alle direttive dell’azienda. È il caso ad esempio in cui, contravvenendo alle disposizioni di legge ed aziendali, non siano state implementate le misure di sicurezza previste. Ancor peggio il caso in cui da tale mancata implementazione consegua un danno ad un soggetto di cui si trattano i dati”.

Cosa succede se il trattamento dei dati è affidato a una realtà esterna all’azienda?
BUTTI – “In effetti, nell’ambito dei Big Data l’uso di tale tecnologia è in genere basato su data center esterni e nella maggior parte dei casi anche di piattaforme software offerte come servizio spesso in cloud. Si configura quindi, in questo caso, il problema della corretta gestione del rapporto, e quindi della responsabilità ai fini privacy del fornitore che, nel caso di servizi in cloud, può essere complesso regolamentare e in molti casi, a causa del diverso peso contrattuale fra i soggetti coinvolti non trattabile da parte del Titolare. L’entrata in vigore del GDPR cambia questo scenario sotto diversi aspetti. In primo luogo vi è una corresponsabilità dei vari soggetti coinvolti; il responsabile risponde sia delle sanzioni amministrative, sia nei confronti dei soggetti eventualmente danneggiati dal trattamento e questo avrà notevoli conseguenze nella definizione dei rapporti ai fini privacy. Nell’ambito dell’organizzazione interna difficilmente qualche soggetto vorrà mantenere il ruolo di responsabile considerando che sarà chiamato a rispondere in solido con il Titolare; analogamente, i fornitori esterni aumenteranno probabilmente le loro richieste in termini economici in conseguenza dell’aumentato rischio sanzionatorio. Per il soggetto i cui dati sono trattati nell’ambito dei big data questo si dovrebbe tradurre in una maggior tutela ed in una maggior facilità nell’attribuzione delle responsabilità. Con il GDPR infatti nulla potrà essere lasciato al caso, ma sarà necessario formalizzare le responsabilità ed i compiti di tutti i soggetti coinvolti”.

In caso di truffa bancaria online, un istituto che ha sistematicamente profilato la clientela e non si accorge di movimenti “anomali” (prelievo rilevante, che eccede il normale utilizzo del conto) può essere condannato a pagare una penale, visto che la profilazione dei singoli clienti non ha potuto impedire la truffa?
BUTTI – “Limitandoci all’aspetto legato al trattamento dei dati personali e non ad altre normative, nell’ambito del GDPR correttamente non viene richiesta la sicurezza assoluta legata al trattamento. Spetta al singolo Titolare valutare le misure che ritiene adeguate utilizzando fra i vari parametri anche il costo di tali misure. È evidente che sarà suo compito e responsabilità rendicontare (accountability) in merito alle scelte fatte ed ai risultati ottenuti. Per tale motivo il GDPR istituisce anche le certificazioni ed i codici di condotta. Quindi, in una frode perpetuata in seguito ad una violazione di dati personali saranno valutate le azioni complessivamente messe in atto dal Titolare per impedire che la stessa potesse accadere. Inoltre il GDPR obbliga tutti i Titolari a denunciare all’Autorità Garante una violazione di dati personali e, se sussistono le condizioni, anche il singolo interessato. Nel caso in questione quindi ci sono pochi margini per il Titolare che dovrà mettere in atto stringenti misure di sicurezza, se non altro per evitare ricadute sulla propria reputazione”.

A questo riguardo, una banca può utilizzare liberamente i propri dati interni, almeno per quanto riguarda l’autotutela da danni reputazionali, da contenziosi o da danni patrimoniali?
BUTTI – “Qualunque Titolare può trattare i dati personali in base a quanto ha dichiarato nella informativa rilasciata all’interessato, avendo ottenuto, dove occorra, il consenso dello stesso. Non si tratta quindi di definire se una banca può trattare o meno i dati personali di cui è in possesso secondo le finalità elencate nel quesito, ma se la stessa ha adeguatamente informato gli interessati. Nell’ambito dei Big Data uno dei problemi che si pone è che un Titolare può effettivamente non sapere quale saranno gli usi e le elaborazioni che in futuro farà dei dati e che quindi, al momento della raccolta, non sia in grado di rilasciare una esaustiva informativa ed ancor meno chiedere il consenso dove occorra. Nell’ambito del GDPR questo sarà ulteriormente vincolante considerando che è necessario declinare specificatamente le profilazioni che si intendono mettere in atto”.

Noi tutti dovremo abituarci all’idea che nei grandi server dei social network (Facebook, Instagram, Google ecc.) come delle banche o assicurazioni di cui siamo clienti i nostri dati siano costantemente analizzati e le loro correlazioni sempre più implementate? Oppure rimane il diritto di dire “basta” e chiedere la totale cancellazione degli stessi?
BUTTI – “In linea molto teorica, il GDPR si applicherà non solo ai Titolari che hanno sede nell’Unione Europea, ma anche a soggetti, come quelli citati, che offrono i loro servizi a quanti sono presenti nella U.E. purché questi riguardino: l'offerta di beni o la prestazione di servizi ai suddetti interessati nell'Unione, indipendentemente dall'obbligatorietà di un pagamento dell'interessato; oppure il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all'interno dell'Unione. Di conseguenza il diritto all’oblio di cui si è parlato in precedenza può essere esercitato nei confronti di tutti questi soggetti. Nondimeno tale diritto non è assoluto, sussistendo numerose condizioni che lo rendono inapplicabile quali ad esempio: il diritto alla libertà di espressione e di informazione; per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria del Titolare. La possibilità di esercitare tale diritto tuttavia potrebbe in alcuni casi non essere così immediata, in particolare per i Titolari che operano al di fuori dell’U.E.”.

Documenti rilevanti