Il termine big data ("grandi masse di dati" in inglese), o megadati, indica genericamente una raccolta di dati così estesa in termini di volume, velocità e varietà da richiedere tecnologie e metodi analitici specifici per l'estrazione di valore o conoscenza. Il termine è utilizzato in riferimento alla capacità di analizzare ovvero estrapolare e mettere in relazione un'enorme mole di dati eterogenei, strutturati e non strutturati, allo scopo di scoprire i legami tra fenomeni diversi (ad esempio correlazioni) e prevedere quelli futuri.

Nell’ambito della P.A. assume grande rilevanza la delicata problematica rappresentata dal possibile conflitto tra due interessi di rango primario che, in quanto tali, devono ritenersi entrambi meritevoli di costante ed adeguata tutela da parte dell’ordinamento giuridico:

La Corte di Giustizia dell’Unione Europea con la sentenza nella causa C-40/17 (scarica il testo in calce) sancisce il principio che il gestore di un sito Internet corredato del pulsante «Mi piace» di Facebook può essere congiuntamente responsabile con Facebook della raccolta e della trasmissione dei dati personali dei visitatori del suo sito, anche se non può essere considerato poi responsabile del trattamento successivo di tali dati effettuato esclusivamente da Facebook.

Il Regolamento comunitario sulla protezione dei dati personali n. 2016/679 non prevede una disciplina ad hoc per il trattamento dei dati personali effettuato dai soggetti pubblici al di là di riferimenti specifici relativi all’applicazione di alcune norme o istituti, talvolta anche in regime di eccezione rispetto a regole generali. IL GDPR, in realtà, non contiene una formale bipartizione tra titolari pubblici e privati e non contiene nemmeno norme specifiche dedicate al settore privato e pubblico, ma si occupa in generale delle condizioni di liceità del trattamento (v. art. 6 e art. 9, comma 2, per i dati particolari).

Il ricorso all’outsourcing è molto frequente nell’organizzazione di attività di impresa, ma quando ciò implica un flusso di dati personali, occorre che il committente e il fornitore esterno disciplinino i loro rapporti ai sensi della legislazione sulla privacy. Dal 25 maggio 2018 è scattato l’obbligo di stesura di un esteso numero di clausole. Si tratta di un’incombenza particolarmente rigorosa, considerato che l’incompleta o l’inadeguata stesura del contratto con il responsabile esterno del trattamento prevede sanzioni con un massimo edittale di 10 milioni di euro (o, se superiore il 2% del fatturato annuo). Di seguito uno approfondimento sulla figura del Responsabile del trattamento alla luce del GDPR, scritto dall'Avv. Michele Iaselli per Altalex, e la Circolare 3-2018 di Federprivacy, dedicata alle clausole contrattuali tra titolare del trattamento e responsabile esterno del trattamento.