Trattamento dati

“Utilità sociale” del dato, Italia in ritardo: le proposte per uscire dal guado

Il Piano Colao incoraggia la rimozione degli ostacoli all’uso di dati amministrativi, censimenti, survey a fini statistici, di ricerca e elaborazione di strategie politiche anche attraverso l’introduzione del concetto di “utilità sociale” del dato. Un emendamento al Decreto Rilancio punta a snellire le procedure

29 Giu 2020

I dati possono avere un’utilità sociale ed è il momento che l’Italia tolga tutti i vincoli per quest’obiettivo: si ricava anche questo assunto tra i punti del piano Colao, presentato al premier Conte.

Ed è un peccato che sia uno dei punti meno discussi. Come favorire, per i vantaggi del sistema Paese, un utilizzo dei dati per fini statistici e di ricerca scientifica che risultano di fondamentale importanza per la valutazione e l’assunzione di decisioni politiche strategiche.

La costruzione del concetto di utilità sociale del dato nel dossier Colao

All’interno del dossier redatto dalla task force si incoraggia, in particolare, la rimozione degli ostacoli all’utilizzazione di dati amministrativi, censimenti e survey a fini statistici, di ricerca scientifica e di elaborazione di strategie politiche, nel rispetto del GDPR, anche attraverso l’introduzione del concetto di “utilità sociale” del dato.

Il documento riferisce infatti un allarmante ritardo del nostro paese nell’utilizzo dei dati individuali di survey, delle fonti amministrative e dei big data per fini statistici, di ricerca e di disegno e valutazione delle policy, imputabile ad una restrittiva interpretazione del GDPR.

Il trattamento di dati a fini statistici o di ricerca scientifica nell’ordinamento italiano

Il nostro ordinamento impone delle regole piuttosto stringenti per il trattamento dei dati personali per fini statistici o di ricerca scientifica, poste a presidio del diritto alla privacy degli interessati. Infatti, è vietato l’utilizzo di tali dati per l’assunzione di decisioni o provvedimenti nei confronti dell’interessato, i fini statistici e di ricerca scientifica devono essere chiaramente determinati e resi noti all’interessato tramite l’informativa, i titolari devono applicare misure tecniche organizzative indicate ai sensi dell’articolo 32 GDPR (General Data Protection Regulation), svolgendo, ove richiesto, una valutazione d’impatto per lo specifico progetto di ricerca.

Nel caso in cui i titolari intendano utilizzare tali dati per altri scopi rispetto a quelli individuati inizialmente e le informazioni da fornire all’interessato richiedano uno sforzo sproporzionato rispetto al diritto tutelato, non è tuttavia necessario informare l’interessato, a patto che vengano adottate le idonee forme di pubblicità individuate dalle regole deontologiche.

Trattamento ulteriore da parte di terzi dei dati personali a fini di ricerca scientifica o a fini statistici

Con trattamento ulteriore di dati si intende un tipo di trattamento la cui finalità sia differente rispetto a quella originariamente prevista.

Il principio cardine sancito dall’articolo 5 del GDPR impone la limitazione della finalità del trattamento. Il Regolamento richiede che, qualora il titolare del trattamento abbia intenzione di trattare i dati personali per una finalità ulteriore e diversa da quella per cui essi sono stati raccolti, debba fornire preventivamente all’interessato tutte le necessarie informazioni in merito.

I titolari del trattamento, al fine di rispettare i principi di correttezza, trasparenza e accountability, sono invitati a rendere disponibili agli interessati, nell’ambito dell’informativa o in altro modo, le valutazioni sulla base delle quali è stata condotta la verifica di compatibilità della finalità[1]. Ciò consente all’interessato di comprendere gli sviluppi del trattamento che lo riguarda accettandolo, ovvero di tutelarsi esercitando i propri diritti, compreso quello di opporsi al nuovo trattamento.

La procedura per i terzi che intendano riutilizzare per fini di ricerca scientifica o a fini statistici dei dati raccolti precedentemente e per una diversa finalità è regolata dall’articolo 110-bis del Codice Privacy. Tale procedura risulta piuttosto onerosa per i terzi in quanto, qualora non risulti possibile informare gli interessati (perché, ad esempio, ciò implicherebbe uno sforzo sproporzionato o rischierebbe di pregiudicare gravemente il conseguimento delle finalità della ricerca) è necessaria una richiesta di autorizzazione al Garante.

FORUM PA 6 - 11 LUGLIO
Costruire la fiducia digitale: cybersecurity e privacy
Network Security
Privacy

Il Garante comunica la decisione adottata sulla richiesta di autorizzazione entro 45 giorni, decorsi i quali la mancata pronuncia equivale a rigetto (in opposizione al principio del silenzio-assenso della Pubblica Amministrazione). Tali provvedimenti vengono infine pubblicati nella Gazzetta Ufficiale della Repubblica italiana.

La proposta dell’emendamento al “Decreto Rilancio”

Oltre che nel rapporto Colao, il concetto di “utilità sociale” dei dati è presente anche nel recente emendamento al “Decreto Rilancio” presentato dall’onorevole Fusacchia, che propone una modifica all’articolo 110-bis del Codice della Privacy[2]. Il testo di modifica prospetta l’introduzione di un nuovo comma 4-bis all’articolo, che regoli il riuso di dati personali per soluzioni di intelligenza artificiale in settori di pubblico interesse.

La proposta, in accordo con quanto affermato nel dossier Colao, mira ad uno snellimento della procedura per l’utilizzo ulteriore dei dati negli ambiti sopraindicati, rendendo non necessaria la richiesta di autorizzazione al Garante.

La nozione di “utilità sociale dei dati” si presenta dunque come una base giuridica ulteriore, rispetto all’esecuzione di un compito di interesse pubblico o l’esercizio di pubblici poteri.

Ovviamente le condizioni per l’utilizzo di tali dati prevederebbero da un lato un obbligo di pseudonimizzazione degli stessi operata all’origine dal titolare, dall’altro che le informazioni aggiuntive per l’attribuzione dei dati personali a un interessato specifico siano note unicamente al titolare originario del trattamento e che sia “ragionevolmente non possibile” per i terzi titolari risalire all’identificazione o all’individuazione della persona cui i dati si riferiscono.

Resterebbero fermi per l’interessato il diritto di opposizione e il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato come regolati dagli articoli 21 e 22 del GDPR, da esercitarsi nei confronti del titolare del trattamento originario o in alternativa, con obbligo di collaborazione di quest’ultimo, nei confronti del titolare terzo.

Il tema si presta ad ampi dibattiti tra coloro i quali mirano ad interpretazioni meno restrittive del Regolamento e chi, per dirla col filosofo francese Éric Sadin, teme un prossimo avvento della «dittatura dell’esponenziale».[3]

___________________________________________________________________________________________

  1. Guidelines on Transparency under Regulation 2016/679 (wp260rev.01) 

  2. Si tratta della proposta di emendamento 239.0.3 al decreto-legge 19 maggio 2020, n. 34,
  3. “La velocità esponenziale dell’evoluzione dell’innovazione tecnologica marginalizza e, alla lunga, annichilisce, il tempo necessario alla comprensione e alla riflessione, privando gli individui e le società del diritto di valutare i fenomeni e di manifestare o meno il loro assenso, in altre parole, li priva del diritto di decidere liberamente delle loro vite”. Éric Sadin “Critica della ragione artificiale”, Luiss University Press, 2019

@RIPRODUZIONE RISERVATA

Articolo 1 di 3