Data Science, GDPR Compliant

Principi GDPR: liceità, correttezza e trasparenza

Principi GDPR: liceità, correttezza e trasparenza

Quali sono i principi GDPR? I principi fondamentali del GDPR sono tre:

  1. Liceità (lawfulness), i dati personali devono essere trattati in modo lecito garantendo specifici requisiti.
  2. Correttezza (fairness), il trattamento deve rispettare l’interessato impedendo che abbia effetti negativi imprevedibili.
  3. Trasparenza (transparency), il trattamento deve essere trasparente, anche qui seguendo requisiti stringenti.

Questi tre principi GDPR si applicano a tutti i dati personali.

Come sempre, prima di procedere, facciamo un ripasso veloce degli enti base:

Distinguiamo tre entità giuridiche:

  • Il Consiglio d’Europa (CdE), noto anche come Council of Europe (CoE) è un’organizzazione internazionale che comprende 47 stati in Europa, istituita per promuovere la democrazia, e proteggere i diritti umani e lo Stato di diritto in Europa. Ha prodotto una regolamentazione simile al GDPR ,e chiamata Modernised Convention 108.
  • Il Consiglio Europeo, noto anche come European Council è un organismo collegiale che definisce le direzioni politiche comunitarie e le priorità dell’Unione Europea.
  • L’Unione Europea, o European Union (EU) è l’organizzazione internazionale politica ed economica con carattere sovranazionale. Attualmente conta 27 stati che hanno parzialmente delegato la propria sovranità su specifiche questione di interesse comunitario. Tutti i paesi dell’EU hanno prima aderito al Consiglio d’Europa.

Di nostro interesse sono poi:

  • Court of Justice of the European Union (CJEU), basta in Lussemburgo, si assicura che le leggi europee (EU Law dora in anzi) siano interpretate e rispettate in modo analogo in ogni paese dell’unione.
  • International Court of Justice (ICJ) è l’organismo giuridico delle Nazioni Unite (United Nation) di base all’Aia. (The Hague). Gestisce le dispute tra paesi, con il suo operato a primaria fonte della Legge Internazionale.

Questi termini torneranno a più riprese, dunque è bene averli sempre sotto mano.

I Principi GDPR

Vediamo allora più nel dettaglio i principi GDPR.

Questi principi sono fondamentali.

Questo significa che ogni successiva regolamentazione ne dovrà tenere conto e che i principi devono essere sempre tenuti a mente nell’interpretazione del GDPR.

Liceità del trattamento | Lawfulness of processing

Per definirsi lecito, il trattamento dei dati personali richiede il consenso dell’interessato o un’altra legittima autorizzazione (e.g. Il titolare della responsabilità genitoriale nel caso di minori).

In aggiunta al consenso, lArticolo 6 include 5 ulteriori motivi legittimi per il trattamento.

Ecco allora un riassunto.

Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:

  1. L’interessato ha espresso il consenso per una o più specifiche finalità.
  2. Il trattamento è necessario all’esecuzione di un contratto nel quale figuri l’interessato
  3. Necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento
  4. O per salvaguardare gli interessi vitali dell’interessato o di un’altra persona fisica.
  5. O per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento.
  6. Il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento (sebbene esistano qui alcune ulteriori precisazioni che ti invito a leggere, poiché ad esempio questo punto non sia applicabile alle pubbliche autorità)

Il Recital 40 è la fonte da tenere in considerazione a riguardo, così come l’Articolo 6 e l’Articolo 9.

Correttezza del trattamento | Fairness of processsing

Il principio di correttezza regola principalmente i rapporti tra l’interessato e il titolare del trattamento dati personali (Data controller).

Il titolare del trattamento deve comunicare all’interessato e al pubblico che tratterà i dati con correttezza e trasparenza, dimostrando all’occorrenza il rispetto dei doveri in ottemperanza alle norme in vigore.

Questo principio ci riguarda in modo particolare.

Lascia che ti spieghi.

Quando parliamo di sistemi automatici, le caratteristiche del sistema di trattamento dati devono essere note al titolare del trattamento che in ogni momento deve poter comprendere cosa stia accadendo.

Muovi un secondo l’attenzione sulle reti neurali profonde, molte delle quali operano con un comportamento difficilmente interpretabile.

Non a caso definiamo Black Boxes.

Per questo motivo, il principio di correttezza è un ostacolo all’impiego di sistemi di intelligenza artificiale in alcuni contesti.

Come possiamo essere certi che i sistemi intelligenti operino in modo etico? È il problema che cerca di risolvere il campo dell’AI Fariness.

In ogni caso il principio di correttezza scavalca quello di trasparenza e può anche essere collegato al trattamento dati personali in modo etico.

Trasparenza del trattamento | Transparency of processing

La legge di protezione dati personali dell’Unione Europea e del Consiglio d’Europa (EU and CoE Law) richiede che il trattamento dei dati personali sia eseguito nel rispetto della trasparenza verso l’interessato.

Questo principio stabilisce l’obbligo del titolare del trattamento a considerare ogni appropriata misura per informare l’interessato, sia esso un utente o cliente.

Nota che la lingua inglese distingue un cliente in client e customer:

  • il client paga in cambio del servizio di un professionista quale dottore o avvocato
  • il customer paga per l’acquisto di un prodotto o servizio

La trasparenza si riferisce all’informazione fornita all’interessato prima dell’inizio del trattamento.

Possiamo qui distinguere due casistiche:

  1. Le informazioni da fornire qualora i dati siano raccolti presso l’interessato sono normate nell’Articolo 13
  2. Le informazioni da fornire qualora i dati non siano stati ottenuti presso l’interessato sono invece normati presso l’Articolo 14

Oppure all’informazione fornita sempre all’interessato qualora egli richiedesse l’acceso ai propri dati personali. Il riferimento è in questo caso l’Articolo 15.

Inoltre le operazioni di trattamento effettuate sui dati personali devono essere spiegate in modo semplice e accessibile, in modo che gli interessati siano pienamente consapevoli di come vengano impiegati i propri dati personali.

Il Recital 39 è limpido a riguardo: occorre usare un linguaggio semplice e chiaro, affinché gli interessati siano consapevoli dei rischi, regole e diritti riguardo il trattamento dei propri dati.

Principi GDPR: esenzioni

È bene che tu sappia, a titolo informativo, che esistono alcuni casi normativi in cui il titolare del trattamento è esente dagli onnlighi di cui sopra.

Prossimamente chiariremo queste particolari casistiche.

Per il momento è tutto.

Per aspera, ad astra.

Un caldo abbraccio, Andrea

Written by -
Tags | , , ,

You Might Also Like

Scikit-Learn Design Principles Guida | Data Science con Python

Settembre 25, 2019
secure-multiparty-computation-machine-learning-privacy-preserving-company-guida-data-science-differential-privacy

Secure Multiparty Computation (SMPC) | Privacy Preserving AI

Maggio 24, 2020
k-means-clustering-data-science-machine-learning-blog-teoria-unsupervised-clustering-algorithm-scaled

k-means Clustering

Novembre 15, 2019