L’applicazione diretta del Regolamento Europeo che disciplina il trattamento, la circolazione e la protezione dei dati personali (REG. UE 2016/679, meglio noto con l’acronimo di GDPR), varata ufficialmente il 25 maggio 2018 non ha rappresentato un punto di arrivo semmai un punto di partenza.

Dalla disciplina delineata dalla nuova normativa emerge un’idea sempre più forte della protezione dei dati quale elemento centrale nella gestione integrata della sicurezza, una gestione basata su un attento presidio di processi, persone, infrastrutture e tecnologia. Un carattere tanto più significativo se si considera la sempre maggiore esigenza di integrazione con norme e regolamenti divenuti priorità per le politiche nazionali,

Il cambiamento che stiamo vivendo, che ci proietta in una dimensione digitale ed in un mondo “iperconnesso”, non può che farci riflettere sulla necessità di comprendere come dietro all’evoluzione tecnologica e all’esplosione di nuovi modelli di sviluppo e di business, ci siano i diritti e le libertà degli individui, che devono essere coniugati “innovazione e dignità”.

È così possibile cogliere l’opportunità di questo cambiamento, in cui i dati rappresentano un asset competitivo potendo partire da essi e dalla loro analisi per estrarre informazioni in grado di generare una nuova conoscenza per prendere decisioni consapevoli.

Grandi moli di dati e significative capacità di calcolo sono oggi consentite proprio attraverso la diffusione di algoritmi e metodologie di analisi che ci raccontano di come il modello tecnologico sviluppato rappresenti esso stesso una forma di tutela al pari dei diritti sanciti dalla normativa.

È possibile parlare di diritti se, dietro al mondo del trattamento dei dati dei soggetti a cui quei diritti appartengono, c’è un consapevole sviluppo ed utilizzo delle tecnologie (sistemi, soluzioni) impiegate per raggiungere i diversi obiettivi di analisi dei dati stessi.

È a questo infatti che il GDPR si riferisce laddove, con riferimento al concetto di “privacy by design”, richiede che la protezione dei dati, in un cambio di prospettiva, venga adottata già dalla fase della progettazione.

Occorre tener conto, sin dal momento di determinare i mezzi del trattamento (si pensi alle scelte di soluzioni, sistemi, tecnologie), del costo di attuazione, della natura, delle finalità, del contesto e soprattutto dei rischi per i diritti e le libertà dell’individuo, in modo da  individuare le misure di sicurezza adeguate per garantire la tutela dell’interessato.

È poi opportuno sottolineare l’importanza della consapevolezza di tutti i soggetti coinvolti, basti pensare al Considerando 78 ed al ruolo di “produttori dei prodotti, dei servizi e delle applicazioni, che dovrebbero essere incoraggiati allorché sviluppano e progettano tali prodotti, servizi e applicazioni e, tenuto debito conto dello stato dell’arte, a far si che i titolari del trattamento e i responsabili del trattamento possano adempiere ai loro obblighi di protezione dei dati”.

 

Le implicazioni per la customer experience e la gestione dei punti vendita

Utilizzare informazioni misurabili ed utili per interazioni e servizi, nei diversi ambiti (si pensi al mondo bancario o al retail) ai fini di soddisfare obiettivi connessi alla customer experience” (analizzare il comportamento dei clienti, i flussi degli stessi, l’impatto delle attività di pubblicità e promozione etc.), implica l’esigenza di rilevare i soli dati necessari per effettuare queste attività e solo quelli.

È fondamentale la tutela dei soggetti interessati (inclusa la tutela dei lavoratori contro il rischio di controllo a distanza), garantita effettuando la sola analisi di dati numerici e senza poter parlare di trattamento di dati personali.

In questo senso, è importante scegliere soluzioni che non costituiscano rischio alcuno per i diritti e libertà dei soggetti coinvolti se in nessun momento, durante il loro utilizzo, è infatti consentito parlare di identificabilità degli individui.

È possibile dare valore ai dati e alla loro analisi nei molteplici ambiti in cui siano impiegate soluzioni ad esempio di store optimization in cui l’approccio by design del produttore è in grado di supportare l’utilizzatore per adempiere agli obblighi di accountability (essere responsabile e dar conto di aver fatto quello che la norma richiede) nonché di applicare le misure di sicurezza adeguate.

Il Titolare del trattamento, ritornando al contenuto del richiamato considerando 78 (GDPR),  potrà così dare evidenza delle scelte compiute (si pensi alle ipotesi di valutazione di impatto ed alla relativa analisi dei rischi nonché ad esempio alla documentazione per dar conto delle misure e della  gestione stessa dei dati di cui si tratta) grazie anche e soprattutto al ruolo proattivo dello stesso produttore che, atteso il  proprio impegno e la propria attenzione dimostrata anche nell’attività istituzionale, ha ricevuto positiva conferma da parte dell’Autorità d controllo in merito alla non assoggettabilità privacy delle proprie soluzioni di store optimization.

 La scelta “consapevole” di soluzioni e sistemi progettati e sviluppati in un’ottica by design consente così di valorizzare i dati attraverso la data protection.

In questo modo è inoltre possibile rafforzare l’idea di come la tecnologia sia una vera e propria risorsa, una tutela se sviluppata secondo il modello delineato dalla normativa vigente.

 

Leggi l’articolo sul parere del garante della privacy sulla nostra Newsroom:

Parere del Garante Privacy