La condivisione e il riutilizzo dei dati sono al centro degli sforzi e delle risorse che l’Unione Europea dedicherà nel prossimo decennio alla realizzazione del Digital Single Market[1]. Sebbene come segnalato dall’Analytical Report n. 17[2] dell’European Data Portal[3] negli ultimi 5 anni la crescita del mercato europeo dei dati sia stata significativa, risulta ancora limitata l’efficacia delle azioni europee in fieri per facilitare i flussi di dati all’interno dell’Unione, in particolar modo l’apertura e la condivisione dei dati. L’esigenza di sfruttare appieno il potenziale dei dati si manifesta con particolare evidenza nella amministrazione delle nostre città: videocamere di sorveglianza, strumenti per il monitoraggio del traffico, sensori sull’asfalto e altri dispositivi dell’Internet of Things[4] generano una grande quantità di Big Data[5] che se opportunamente raccolti, analizzati e rielaborati possono avere un grande potenziale in termini di gestione delle politiche pubbliche, nonché quali fattori di sviluppo economico e innovazione. In tal senso, le nostre città assumono rilievo come “incubatrici” dei c.d. Urban Big Data: possono essere definiti come grandi moli di dati statici e dinamici generati da soggetti od oggetti, tra cui strutture urbane, organizzazioni e individui. Essi sono raccolti sia da amministrazioni cittadine ed istituzioni pubbliche più in generale, sia da imprese e soggetti privati che utilizzano tecnologie informatiche di nuova generazione, peraltro sempre più evolute ed “invasive”[6]. Quale che sia il soggetto che li raccoglie, permane identica la necessità di trattare gli Urban Data, laddove si voglia pervenire alla loro “apertura”, nel rispetto del GDPR qualora i dataset in esame contengano effettivamente “dati personali” (ossia riferiti a persone fisiche identificate o identificabili ai sensi della nota definizione riportata nell’art. 4 del GDPR).
Urban Data resi aperti da soggetti pubblici e oneri di compliance
Quando gli Urban Data vengono raccolti da un soggetto pubblico (ad esempio da un Comune), quest’ultimo ha l’obbligo di renderli aperti e disponibili per il riutilizzo da parte di chiunque ne abbia interesse. Si parla in tal caso di Open Government Data[7] (o Open Data della PA) che devono essere riutilizzabili dai terzi che ne facciano richiesta, per usi commerciali o non commerciali.[8] Con riferimento agli Open Data della PA, per superare le problematiche relative proprio alla apertura dei dati in termini di oneri di compliance al GDPR a carico della Pubblica Amministrazione assoggettata a tale obbligo di legge, la Direttiva 2019/1024 – oggetto di recepimento dal 17 luglio 2021 – introduce una specifica disciplina in termini di tariffe (vd. art. 6 – Principi di tariffazione[9]). Per l’effetto, nella gestione delle procedure volte all’apertura dei dati, la PA dovrà senz’altro prevedere opportune misure quali l’anonimizzazione dei dati personali, i cui costi di gestione potranno essere – nel nuovo regime in vigore dal prossimo 17 luglio 2021 – recuperati mediante tariffe secondo criteri specificati dal legislatore nazionale in sede di trasposizione.
Urban Data resi aperti da soggetti privati
Quando gli Urban Data sono raccolti da soggetti privati questi, di norma, non sono obbligati a renderli disponibili in formato “open”: sarà loro discrezione decidere se farlo oppure se tenerli per sé. Come incentivare un privato a rendere aperti i propri dati e come possono essere coperti i costi di raccolta e rielaborazione? Contrariamente a quanto avviene per gli Open Urban Data raccolti dalle PA, i privati possono liberamente monetizzare il loro set di dati mediante appositi Data Sharing Agreement, tipologie contrattuali che individuano i dati oggetto di condivisione e le rispettive forme e oneri previsti per la loro utilizzazione. Rispetto a tali tipologie di contratto, la Commissione Europea ha previsto alcune best practices per la redazione di un DSA, tra le quali garantire il rispetto della normativa in materia di protezione dei dati personali e verificare l’esistenza di una base giuridica per il loro trattamento in linea con il GDPR[10].
Data-flow e tutela dei dati personali
Per fare Open Data, dunque, sia i soggetti pubblici (ai sensi delle citate Direttive UE) sia quelli privati (nell’ambito dei DSA) devono porsi due quesiti preliminari, la cui risposta risulta cruciale per evitare di incorrere in responsabilità per violazione del GDPR.
In primo luogo, è necessario identificare i dati personali compresi nel dataset oggetto di pubblicazione e riutilizzo o condivisione. Nell’ambito del contesto urbano si sottolinea come sia difficile arrivare a trattare dei dati non riconducibili ad una determinata persona fisica[11]. In particolare, nella definizione di dato personale ai sensi dell’art. 4 del GDPR possono rientrare varie categorie di dati che vengono raccolti da dispositivi e sensori IoT operativi in una città. Possiamo pensare alle targhe dei veicoli che vengono registrate da una videocamera di sorveglianza: pur nella peculiarità della mobilità urbana, anche in questo caso sarà necessario fornire all’interessato l’informativa prevista ai sensi dell’art. 13 del GDPR e individuare un’apposita base giuridica per il trattamento. In riferimento all’informativa il Garante per la Protezione dei Dati Personali ritiene legittima la pratica di “sdoppiare” le informative[12], ossia la possibilità di esporne una in forma semplificata vicino al dispositivo. Questa dovrà contenere le informazioni minime da rendere all’interessato e presentare un link che possa permettere la consultazione (anche tramite QR-code) dell’informativa estesa. In riferimento all’individuazione della base giuridica (principio di liceità del trattamento), viene in rilievo la questione che il consenso dell’interessato è difficilmente ottenibile in una realtà estesa e dispersiva come quella urbana[13]. La liceità del trattamento dovrà dunque basarsi su di una base giuridica alternativa come ad esempio il legittimo interesse del titolare del trattamento: a tal fine si renderà opportuna una valutazione del legittimo interesse in gioco (c.d. “L.I.A. – Legitimate Interest Assessment”; si segnalano sul punto le informazioni messe a disposizione dall’Information Commissioner’s Office[14]). A titolo esemplificativo il legittimo interesse potrà articolarsi nel senso che la raccolta dei dati personali nel contesto urbano è funzionale al miglioramento dell’efficienza della città, ed è dunque interesse del titolare procedere al loro trattamento. Se invece il titolare del trattamento è un ente pubblico (si pensi al caso di un Comune che installa un dispositivo per la rilevazione delle infrazioni semaforiche) la base giuridica potrebbe essere individuata nell’art. 6.1 lett.e del GDPR, che afferma che il trattamento è lecito quando è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare.
In secondo luogo, è necessario individuare le opportune misure di oscuramento o anonimizzazione del dato. Per anonimizzazione[15] si intende un procedimento attraverso il quale ad un set di dati personali vengono applicate alcune tecniche volte ad impedire irreversibilmente l’identificazione delle persone interessate. Le tecniche di anonimizzazione vengono descritte nel parere 05/2014 del Gruppo di lavoro Articolo 29[16]. Il processo di anonimizzazione deve essere compiuto eliminando i rischi di individuazione (possibilità di isolare alcuni o tutti i dati che identificano una persona), di correlabilità (possibilità di correlare almeno due dati concernenti la medesima persona) e di deduzione (possibilità di desumere con un alto grado di probabilità il valore di un attributo dai valori di un insieme di altri attributi). Le tecniche possono essere divise in due gruppi: la generalizzazione, che consiste in una serie di tecniche finalizzate a diluire o generalizzare gli attributi delle persone interessate modificando la relativa scala o ordine di grandezza e la randomizzazione, che modifica la veridicità dei dati al fine di eliminare la forte correlazione che esiste tra essi e la persona.
Tra le tecniche di randomizzazione si segnalano:
- aggiunta del rumore statistico: viene fornito un dato approssimato e non preciso;
- permutazione: vengono mescolati i dati all’interno di una tabella in modo che alcuni di essi risultino artificialmente collegati a diverse persone interessate;
- privacy differenziale: viene utilizzata quando il responsabile del trattamento genera opinioni anonimizzate di un insieme di dati e conserva una copia dei dati originali ed il rumore statistico viene aggiunto al momento dell’interrogazione del data set.
Tra le tecniche di generalizzazione si segnalano:
- aggregazione e k-anonimato: viene impedita l’individuazione delle persone interessate mediante il loro raggruppamento con almeno k altre persone;
- l-l-diversità e t-vicinanza: sono delle forme rafforzate di k-anonimato che impediscono attacchi di deduzione deterministica.
Conclusioni
Una corretta compliance al GDPR si rivela dunque fondamentale per il trattamento e la gestione degli Urban Big Data. Si deve inoltre precisare che l’apertura del dato non è un processo statico: esso è inserito in un contesto estremamente dinamico poiché i dati sono oggetto di integrazione, di modifica o di aggiornamento. Di conseguenza anche l’adeguamento privacy dovrà essere un processo dinamico, da rinnovare ogni qualvolta il dataset originario viene modificato. Un corretto adeguamento alla normativa sui dati personali non deve dunque essere visto come un qualcosa da fare al solo scopo di evitare di incorrere in sanzioni: nel contesto della data-driven economy esso rappresenta una grande opportunità di crescita per il benessere dei cittadini e per innovare il proprio business.
[1] European Commission, A European strategy for data, 19.02.2020, COM(2020) 66 final, disponibile qui.
[3] Portale Europeo dei Dati, https://www.europeandataportal.eu/it
[4] Lo IERC (IoT European Research Cluster) definisce l’IoT come “[a]dynamic global network infrastructure with self-configuring capabilities based on standard and interoperable communication protocols where physical and virtual “things” have identities, physical attributes, and virtual personalities and use intelligent interfaces, and are seamlessly integrated into the information network”; cfr. http://www.internet-of-things-research.eu/about_iot.htm,
[5] Con il termine Big Data si intende una interrelazione di dati provenienti da fonti di solito molto eterogenee: possono essere dati strutturati sottoforma di database, immagini, video, e-mail, dati di geolocalizzazione, informazioni prese dai social network o dai motori di ricerca. Molti autori definiscono i Big Data a partire dalle c.d. “tre V”: volume (devono essere dati che vengono generati in grande quantità ogni secondo), velocità (devono essere dati che fluiscono molto rapidamente e che vanno gestiti in maniera tempestiva al fine di non rendere obsoleta la loro analisi), varietà (devono essere dati che arrivano in qualsiasi tipo di formato, quali immagini, video, dati di testo ecc…). Alcuni autori aggiungono una quarta e una quinta V: veridicità (parametro che indica il grado di affidabilità dei dati) e valore (parametro che indica la capacità di trasformare i dati in valore); cfr. il report della Commissione Europea “Big data analytics for policy making” disponibile qui.
[6] Pan Y. e altri, Urban Big Data end the Development of City Intelligence, disponibile qui; Miller S. R., Urban Data and the Platform City, 2018, disponibile qui
[7] Sciacchitano F., Disciplina e utilizzo degli Open Data in Italia, in La Rivista del Diritto dei Media 1/2018, disponibile qui; Una prima spinta all’apertura dei dati trova riscontro nella Direttiva 2003/98/CE (la c.d. Public Service Information Directive o PSI), recepita in Italia con il d.lgs. 36/2006. L’intervento normativo più recente è la Direttiva UE 2019/1024 relativa all’apertura dei dati e al riutilizzo del settore pubblico, alla quale gli Stati Membri dovranno adeguarsi entro il 17 luglio 2021. La Direttiva in oggetto stabilisce norme e modalità pratiche per favorire il riutilizzo delle informazioni contenute nei documenti posseduti da enti pubblici e imprese pubbliche per fini commerciali o non commerciali. Essa introduce in capo alle Pubbliche Amministrazioni un vero e proprio obbligo di open by default, in base al quale gli Stati Membri devono rendere aperti i propri dati fin dalla progettazione e per impostazione predefinita.
[8] Gobbato S., Verso l’attuazione della direttiva (UE) 2019/1024 sul riutilizzo degli open data della PA: nuove opportunità per le imprese, in Rivista del Diritto dei Media 2/2020, disponibile qui.
[9] Art. 6.1 Direttiva UE 2019/1024: “Il riutilizzo dei documenti è gratuito. Tuttavia, può essere autorizzato il recupero dei costi marginali sostenuti per la riproduzione, messa a disposizione e divulgazione dei documenti, nonché per l’anonimizzazione di dati personali o per le misure adottate per proteggere le informazioni commerciali a carattere riservato.”
[10] Commissione Europea, del 25.4.2018, Orientamenti sulla condivisione dei dati del settore privato nell’economia europea dei dati, p. 7, disponibile qui.
[11] Murphy M. H., Pseudonimization and the smart city: Considering the General Data Protection Regulation, disponibile qui.
[12] Cfr. Provvedimento del Garante per la Protezione dei Dati Personali n.13 del 21 gennaio 2016, disponibile qui.
[13] Murphy M. H., op. cit., p. 2
[15] Considerando 26 GDPR: “[…] I principi di protezione dei dati non dovrebbero pertanto applicarsi a informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’interessato. Il presente regolamento non si applica pertanto al trattamento di tali informazioni anonime, anche per finalità statistiche o di ricerca.”; vedere anche Art. 2.7 Direttiva UE 2019/1024: l’anonimizzazione è “la procedura mirante a rendere anonimi documenti in modo che non riconducano a una persona fisica identificata o identificabile ovvero la procedura mirante a rendere anonimi dati personali in modo da impedire o da non consentire più l’identificazione dell’interessato”.
[16] Disponibile qui. Il tema dell’anonimizzazione risulta centrale, anche nelle linee guida stilate dalle Regioni per l’apertura dei dati della PA. si vedano in proposito le Linee guida della Regione del Veneto sugli Open Data; cfr. Linee guida per l’ecosistema regionale veneto dei dati aperti (Open Data), disponibili qui.