Dati, informazioni e sistema di gestione della protezione dei dati personali
La differenza tra dato ed informazione è nota, o, meglio, “dovrebbe” essere nota e condivisa. In questo articolo, dopo avere approfondito il concetto, si vorrà comprendere come i dati e le informazioni si collochino nel contesto del sistema di gestione dei dati personali, ovvero nel modello dinamico per la gestione dei dati, in ottica di accountability.
(Nella foto: l'Ing. Monica Perego, docente del Corso di alta formazione per Data Manager)
Spesso, per semplicità, e per rendere la lettura di un testo più fruibile, i termini “dato” ed “informazione” sono usati come sinonimi. In realtà, il significato dei due termini è profondamente diverso. Questo articolo s l’occasione per riflettere.
La definizione di dato e di informazione - L’Enciclopedia Treccani fornisce la seguente definizione di “dato”: in informatica, informazione elementare codificabile o codificata. … La rappresentazione di un’informazione può essere realizzata da d. analogici e da d. digitali. …
Purtroppo, questa definizione riconduce il concetto di dato al solo contesto dell’informatica.
La definizione di “informazione” è: notizia, dato o elemento che consente di avere conoscenza più o meno esatta di fatti, situazioni, modi di essere. In senso più generale, anche la trasmissione dei dati e l’insieme delle strutture che la consentono….
Neanche questa definizione è molto di aiuto; citando espressamente il termine “dato” come sinonimo di “informazione”, ci riporta ai nastri di partenza.
Più utile è l’approfondimento, sempre fornito da Treccani, “Descrizione dei dati e organizzazione”. Lo si riporta qui di seguito rielaborato dall’autrice “La descrizione dei d. e delle relazioni tra di essi deve avvenire tenendo conto di due aspetti distinti: il contenuto di informazione rappresentato dai d. e il supporto fisico per mezzo del quale i d. vengono registrati. Si realizza una descrizione logica dei d. quando, privilegiando il primo aspetto, si mettono in evidenza le relazioni logiche o la struttura logica dei dati; si ottiene invece una descrizione fisica dei d. quando, privilegiando il secondo aspetto, si mettono in evidenza le relazioni fisiche o la struttura fisica del supporto che registra i d. stessi.
L’organizzazione, sia logica sia fisica, dei d. può essere descritta mediante una classificazione gerarchica, in ordine di complessità crescente:
- data item o data entry: rappresentazione della più elementare quantità di informazione, riguardo a un singolo soggetto, non ulteriormente scindibile, usualmente registrata in un byte o in una parola (es. 100.000 €/anno, celeste, separato)
- data aggregate, rappresentazione di una collezione di informazioni, significative solo nel loro complesso (es. il domicilio del dipendente XX è un aggregato dei seguenti elementi: nome della via, numero civico, città, che singolarmente perderebbero di significatività);
- data record o record, rappresentazione di più informazioni, anche fra loro eterogenee, ma tutte riguardanti uno stesso soggetto (es. il valore dello stipendio lordo, netto e delle trattenute del dipendente XX nel mese di maggio);
- data set, collezione di record, omogenei nelle informazioni che contengono, ma riferite a soggetti diversi o allo stesso soggetto in tempi diversi (es. il valore dello stipendio lordo di tutti i dipendenti nel mese di maggio, oppure il valore dello stipendio lordo mensile del dipendente XX dalla data di assunzione);
- data file o semplicemente file, collezione di data set (es. il valore dello stipendio lordo mensile di tutti i dipendenti nell’anno 20xx).
In ciascun livello dell’organizzazione gerarchica i d. possono essere strutturati, cioè possono essere raggruppati, fisicamente e/o logicamente, in entità composte, costruite in maniera regolare e caratteristica a partire dalle loro componenti….”
Il chiarimento sopra esposto ci aiuta a fornire una definizione più accurata e normalmente accettata, anche se non codificata, dei due termini.
Il “dato” è un elemento oggettivo e non interpretabile della realtà, e non è contestualizzato. In altri termini lo si può considerare equivalente ad una “informazione grezza”. La mancanza di elementi di contesto rende il dato in molto casi praticamente inutile.
Ad esempio: “Il Sig. XX è dipendente dell’azienda YY e lavora in una cava (lavoro classificato come usurante secondo il Decreto Legislativo 67/2011)” - si tratta di un dato oggettivo che non fornisce alcuna informazione di contesto.
L’informazione è l’insieme di uno o più dati, elaborati ed interpretati in uno specifico contesto. In altri termini l’informazione è il significato che viene associato ad uno o più dati - “Il Sig. XX è dipendente dell’azienda YY e lavora in una cava, durante il periodo del Ramadan il Sig. XX non consuma, in orario lavorativo, né cibo né bevande“ - in questo caso si tratta di una serie di dati, opportunamente contestualizzati, che ci forniscono un’informazione probabile ed un’informazione certa:
- probabilmente il Sig. XX è di credo musulmano – per quanto l’informazione non è in alcun modo trattata dall’organizzazione;
- sicuramente durante il periodo del Ramadan è necessario tenere sotto controllo il Sig. XX, prima che manifesti segnali di debolezza, considerando l’impegno fisico richiesto dalla mansione che ricopre.
Il sistema di gestione della protezione dei dati personali - Il sistema di gestione della protezione dei dati consiste, come ben noto, in un insieme di politiche, processi, tecnologie e controlli, progettati per proteggere i dati personali e le informazioni sensibili. La finalità è quella di gestire, attraverso un insieme di procedure, organizzate sotto forma di Modello Organizzativo Privacy (MOP), l'intero ciclo di vita dei dati, dalla loro raccolta alla distruzione, assicurandosi che i dati siano trattati in conformità con le leggi sulla privacy e che le informazioni derivanti da questi dati siano adeguatamente protette.
Dato ed informazione nel contesto del sistema di gestione della protezione dei dati personali - Un sistema di gestione della protezione dei dati ci aiuta quindi a comprendere come gestire al meglio le informazioni; infatti, ci sprona a ridurre progressivamente l’accesso alle informazioni quando esse si presentano in forma aggregata, come precedentemente indicato dalla classificazione gerarchica.
Ciò perché le informazioni vanno sempre protette, ma più i dati sono organizzati in modo complesso, tanto maggiore è la necessità di definire a livello di MOP adeguate misure di protezione.
Conclusione - I dati, le informazioni e il sistema di gestione della protezione dei dati sono quindi strettamente interconnessi, e tale connessione è fondamentale per garantire la sicurezza e la conformità delle organizzazioni alle normative sulla privacy. In sintesi:
- i dati sono la materia prima; le informazioni sono ciò che si ottiene elaborando questi dati in un contesto specifico;
- un sistema di gestione della protezione dei dati assicura che i dati e le informazioni siano protetti da minacce esterne e da usi impropri;
- la gestione e la protezione dei dati influenzano direttamente la qualità e la sicurezza delle informazioni prodotte.