NEWS

La Data Governance nell'era dei Big Data: una necessità e una opportunità per la privacy

Nell’attuale contesto caratterizzato da una crescita esponenziale dei dati (big data) e dalla digitalizzazione, la definizione di una policy per la governance di dati appare un fattore strategico necessario per le organizzazioni pubbliche e private che si trovano a trattare grandi quantità di dati, di cui hanno bisogno per i propri processi e per l’innovazione di processo e di prodotto.

La Data Governance nell'era dei big data è una necessità e una opportunità per la privacy

Con velocità accelerata, negli ultimi decenni, il concetto di gestione dei dati si è evoluto: dalla gestione (operativa) delle diverse fasi del ciclo di vita dei dati a una strategia a 360° incentrata sullo sfruttamento del nuovo oro nero rappresentato dai dati.

Il valore strategico dei dati e dei requisiti per la loro condivisione tra organizzazioni, nel rispetto anche della privacy, trova molteplici riscontri a livello normativo. Oltre al GDPR, che più ci interessa in questa sede, basti citare, per il settore pubblico, il Regolamento UE 868/2022 Data Governance Act e il D.Lgs. 200/2021che recepisce la Direttiva UE 1024/2019 relativa “all'apertura dei dati e al riutilizzo dell'informazione del settore pubblico” nonché il Piano_triennale_per_linformatica_nella_pa_2022-2024 fra i cui principi guida c’è il riconoscimento che il patrimonio informativo della pubblica amministrazione è un bene fondamentale per lo sviluppo del Paese e deve essere valorizzato e reso disponibile.

Secondo la Commissione europea, “Data governance entails defining, implementing and monitoring strategies, policies and shared decision-making over the management and use of data assets”.
Questa “disciplina” persegue l'obiettivo di garantire che i dati siano accurati, accessibili, consistenti e protetti, lecitamente trattati, interoperabili contribuendo al raggiungimento degli obiettivi di ciascuna organizzazione.

Per focalizzare a grandi linee la Data Governance (DG) è utile soffermarci sulla differenza fra gestione dei dati (data management ) e governo dei dati, approcci entrambe fondamentali per trarre valore aggiunto dal trattamento dei dati.

La gestione dei dati può essere perimetrata nei processi appunto gestionali (e.g.,i acquisizione, validazione, archiviazione, protezione e trattamento dei dati) necessari per garantire l'accessibilità, l'affidabilità e la tempestività nella disponibilità dei dati per gli utenti. Di contro, la DG opera a più alto livello ed è rappresentata dall’insieme di politiche, responsabilità, politiche e regole che guidano come i dati possono essere utilizzati e gestiti all'interno di un'organizzazione. Volendo formulare una metafora, la DG definisce l’architettura del palazzo dei dati e le infrastrutture da adottare (quali intelligenza artificiale generativa, machine learning, data mining) la gestione di dati l’arredo e l’utilizzo dei luoghi.

Entrambi gli approcci sono cruciali per un efficace utilizzo dei dati in un'azienda o in un'organizzazione. E la DG, come detto, non va considerata un'opzione, ma una necessità per le organizzazioni che desiderano rimanere competitive e conformi in un mondo sempre più guidato dai dati.

Con specifico riguardo alla privacy, adottare una DG presenta vari vantaggi per il rispetto sostanziale del GDPR, fra cui:

- la coerenza con l’approccio by design e by default;
- la minimizzazione nella raccolta dei dati, che dovrebbero essere raccolti una sola volta e indicizzati, nonché classificati in termini di riservatezza e gestiti in maniera univoca da parte di tutte le componenti organizzative;
- il rispetto dei diritti degli interessati.

Con riguardo a quest’ultimo punto, giova richiamare le Linee guida 1/2022 dell’EDPB sul diritto di accesso che fra l’altro prevedono “Even data that may be incorrect or unlawfully processed will have to be provided”. Ebbene, adottando un approccio di DG l’evenienza di trattare dati illecitamente non solo non potrebbe verificarsi ma anzi, tramite la gestione indicizzata, consentirebbe di individuare con regolarità i dati che stanno spirando il periodo di conservazione e quindi provvedere alla loro cancellazione prima che diventino illeciti. E consentirebbe di rispondere esaustivamente alle richieste di accesso.

Di contro, in assenza di una architettura di gestione dei dati evoluta, i diversi silos in termini organizzativi e di banche-dati in cui sono allocati i dati, diversamente classificati e eventualmente non indicizzati, la risposta all’interessato potrebbe non essere esaustiva. Ma non solo: potrebbero anche non essere rilevata la eventuale presenza di dati con termini di conservazione scaduti e quindi detenuti in maniera non più lecita (che, come accennato, pure dovrebbero essere resi all’interessato).

Ancora, la mancata indicizzazione potrebbe non consentire di rilevare che una informazione è già detenuta nei DB di una pubblica amministrazione e quindi “involontariamente” contravvenire all’art. 43 del d.P.R. 445/2000 (T.U. sulla documentazione amministrativa) secondo cui “le singole Amministrazioni non possono richiedere atti o certificati concernenti fatti, stati e qualità personali che risultino attestati in documenti già in loro possesso o che esse stesse siano tenute a certificare”. Infatti potrebbe avvenire, quando si chiede a supporto di una istanza una certificazione che attesti una situazione ad es di proprietà (per la quale al limite potrebbe anche supplire usa dichiarazione sostitutiva di atto di notorietà) pur essendo l’organizzazione in possesso nel proprio DB della relativa informazione utilizzata in altri processi.

In conclusione, la Data Governance è una priorità strategica e necessita di adeguata sponsorship per superare:

i) la configurazione a silos presente nelle organizzazioni quanto più complesse sono e che possono perpetuarsi con la segmentazione delle informazioni;
ii)l’effetto frenante di sistemi legacy, obsoleti che continuano a essere utilizzati, oltre che per i costi connessi al rinnovo tecnologico, anche per una cultura aziendale poco innovativa e avversa al rischio (in parte per pure comprensibili timori circa i rischi, nella fase di passaggio, di interruzione delle attività e di perdita di dati durante la migrazione se non ben impostato l’upgrade).

Per chiudere questa sintetica presentazione, occorre evidenziare che il perseguimento della Data Governance dovrebbe poter contare anche sull’apporto consulenziale del Responsabile della protezione dei dati: una figura che, a prescindere dall’espressa adozione di una Data Governance, di fatto la promuove in ogni organizzazione atteso che l’impostazione dei processi di trattamento dei dati personali non può che essere impostato su una visione e gestione integrata dei dati.

Note sull'Autore

Pasquale Mancino Pasquale Mancino

Componente del Gruppo di Lavoro per la privacy nella Pubblica Amministrazione. Nota: Le opinioni espresse sono a titolo esclusivamente personale e non coinvolgono l’Ente di appartenenza dell’autore

Prev Cybersicurezza: pubblicati nuovi bandi del Digital Europe Programme
Next Cessazione del rapporto di lavoro: una check list per la protezione dei dati personali

Camera dei Deputati: Artificial intelligence e sostenibilità

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy