L'accesso e la Privacy nel mondo digitale

Il fenomeno dei Big Data trova una sua disciplina giuridica principalmente nel GDPR n.679/2016 e nel d.lgs. 101/2018, i quali tutelano i dati personali e contengono disposizioni relative a misure per garantirne il corretto trattamento.

La disciplina giuridica della privacy entra in contatto, inevitabilmente, con le disposizioni regolatrici della trasparenza degli atti amministrativi – l.n.241/1990, d.lgs. 133/2013, d.lgs. 169/ 2016 - ove sono previste misure per consentire e limitarne la visione di atti considerati segreti dall'azienda, per cui serve necessariamente un permesso.

L'istanza di accesso viene limitata in base alla competenza o all'autorizzazione che i dipendenti hanno all'interno dell'azienda e viene analizzata insieme al tema della riservatezza.

I due istituti sono estremamente collegati ai Big Data aziendali, dal momento che si fa riferimento a informazioni strettamente personali e riservate che riguardano sia i dipendenti che dell'azienda.

In ogni azienda i dati sono definiti metaforicamente come "gocce in un vasto mare", dal momento che si disperdono all'interno del server e diventano poco gestibili; quindi, il legislatore si ritrova a dover contemperare i due istituti con la mole di informazioni che vengono continuamente prodotte.

L'istituto dell'accesso, dunque, non viene adottato solamente nei contratti pubblici o nella P. A, ma può essere richiesta anche all'interno di un'azienda o società, pertanto, la P.A dovrà valutare attentamente se l'istanza proposta leda la privacy del dipendente o dell'azienda.

In generale, se è il dipendente a fare istanza di accesso, deve avere l'autorizzazione dell'azienda e la competenza, inoltre ha il dovere di non divulgare i dati aziendali a società terze e concorrenti, mentre se è l'azienda a richiederlo, potrà accedervi ai soli fini di controllo ed in piena trasparenza e nel rispetto della riservatezza.

I dati aziendali sono tutelati dall'art.50, d.lgs. n.50/2016, rientrando nella categoria di segreti industriali, i quali fanno a loro volta parte delle eccezioni relative, insieme ai segreti di stato, bancari e contratti secretati. L'istanza di accesso viene limitata per l'importanza che i dati hanno in ogni azienda, essendo di per sé la parte più importante del patrimonio delle aziende.

La principale difficoltà per chi gestisce i dati - il manager della società, il gruppo operativo ed il Data Scientist che crea piattaforme analitiche per consentire agli imprenditori di sfruttare i dati - è la loro provenienza sia interna che esterna alla società. Le attività operazionali, ossia relative alla contabilità, produzione, agli acquisti, sono le principali fonti aziendali interne e vengono gestite tramite sistemi computerizzati. Ulteriori fonti interne sono i data market, i quali contengono dati integrati, coerenti e certificati afferenti a diversi processi Business dell'azienda e che sono il punto di partenza del Business Intelligence, la quale ricomprende diversi modelli di raccolta dei dati.

I dati aziendali si ricavano anche attraverso sorgenti esterne, da cui si ricavano informazioni che vengono integrate con quelle già in possesso; ad esempio, i dati anagrafici come l'ISTAT.

La pluralità di fonti rende difficile controllare i dati raccolti e per evitare un possibile furto, si prevede un piano di data Protection che include tre macro-aspetti: il primo gruppo è l'accesso, integrità e riservatezza dei dati aziendali, per cui si osservano i dati che sono in possesso dall'azienda e poi si valuta se i dipendenti hanno o meno la facoltà di visionare i dati medesimi; secondo macro aspetto riguarda la formazione dei dipendenti, i quali devono sempre mantenere una certa discrezionalità in merito ai propri dati sensibili, ossia non devono rivelarli a terzi soggetti estranei all'azienda o a soggetti che non hanno competenza a visionare il dato medesimo; terzo aspetto sono i Software e backup, ossia i principiali strumenti utilizzati per poter memorizzare i dati sensibili.

I primi due macro-aspetti si basano su un sistema di analisi dei rischi, che valuta l'esposizione del dato personale trattato al pericolo, in modo tale da poter intervenire in tempo, prevedendo forme di responsabilità per il titolare del trattamento – l'accountability e l'applicazione della disciplina penalistica e civilistica in caso di reato o di trattamento illecito-.

Il sistema di analisi del rischio si basa sulla vulnerabilità del dato, ossia sulla possibilità che essa venga sfruttato da qualcuno che a seguito di una minaccia, che è quell'evento che potrebbe generare effetti negativi. Tale sistema si basa sull' analisi del rischio ed esprime la potenziale perdita di un dato personale, a seguito della minaccia e della vulnerabilità del dato, ma necessita di una valutazione che deve essere fatta sulla probabilità che esso si verifichi ed in caso sull'impatto che esso potrebbe avere.