I valori sono importanti ma devono essere protetti da professionisti del settore
Big Data sono importanti per le aziende: i valori sono importanti ma devono essere protetti da professionisti del settore.
Negli ultimi anni i Big Data hanno rivoluzionato le aziende e i business in molti modi introducendo la figura del “Data Manager” non solo un analista ma anche un esperto di LPD.
La LPD è la Legge federale sulla protezione dei dati, significa adeguarsi alla GDPR entrata in vigore il 25 maggio scorso.
I dati hanno iniziato soprattutto a fare una grossa differenza nel modo in cui i marketers prendono le loro decisioni e agiscono.
Con l’aiuto di questa grande quantità di dati, i marketer saranno capaci di possedere una visione a 360 gradi dei loro clienti. Questo si traduce soprattutto nel pianificare migliori piani marketing e migliori strategie.
Cosa sono i Big Data?
Big Data è un termine che descrive, come si evince già dal nome, un grande volume di dati, sia strutturati (es. database) che non strutturati (es. immagini, email, GPS) che interessa un’azienda ogni giorno.
Non è importante la quantità di dati. È piuttosto il modo in cui questi vengono utilizzati: si fa riferimento infatti agli algoritmi capaci di trattare così tante variabili in poco tempo e con poche risorse computazionali.
I dati infatti possono essere utilizzati per analisi approfondite che potrebbero portare a migliori decisioni e mosse strategiche per un’azienda.
I Big data vengono spesso definiti dalle tre V:
Volume: fa riferimento al volume di dati, quindi alla quantità. Le aziende raccolgono dati da una grande numero di sorgenti, includendo transazioni, dati dai social media e informazioni di vario tipo. In passato immagazzinare tutti questi dati sarebbe stato un problema, ma le nuove tecnologie come il cloud e la virtualizzazione hanno facilitato questo compito semplificando i processi di raccolta, immagazzinamento e accesso ai dati.
Velocità: fa riferimento alla velocità con cui i dati vengono generati e poi trasmessi; i dati vengono trasmessi ormai ad una velocità senza precedenti e devono essere anche trattati in modo tempestivo.
Varietà: i dati presentano tanti tipi di formato, da numerici e strutturati nei classici database ai documenti di testo non strutturati, documenti, email, video, audio
Perché i Big Data sono importanti?
L’importanza dei Big Data, come già anticipato, non risiede nella quantità di dati che si possiedono, quanto nell’utilizzo che si può fare con questi. Big Data significa possedere dati da qualsiasi fonte e analizzarli per numerosi aspetti come:
E soprattutto
Chi usa i big data?
I Big Data riguardano le aziende di qualsiasi tipo
Perché il dato è centrale
Siamo nell’era dei big data e, quindi, appare superfluo ribadire l’importanza del dato nella creazione del valore di una qualsiasi organizzazione (pubblica o privata). Ma il GDPR penetra più in profondità: la creazione del valore, che non è negata ma apprezzata, deve accompagnarsi alla tutela dei diritti e delle libertà delle persone e basarsi su alcuni principi (riferiti appunto ai dati ed ai trattamenti) funzionali a garantirli.
I principi stabiliti dal GDPR hanno, quindi, una relazione diretta con il dato oppure mediata quando sembrano riferirsi alle operazioni di trattamento.
Questo è il motivo per cui il dato è centrale e richiede che sia costantemente curato rispetto a
Questi sono i principi 5 della GDPR, che costituiscono la base sulla quale edificare il modello di ciclo di vita del dato all’interno di ogni organizzazione.
La figura del DATA MANAGER
Considerata la centralità del dato, una figura necessaria all’interno di ogni organizzazione è il data manager cioè il professionista attraverso il quale ogni organizzazione applica i principi di privacy by design e privacy by default, previsti dal GDPR. È l’esperto al quale è affidata l’ordinaria amministrazione dell’elemento più importante: il dato.
Gli obiettivi che sono affidati al data manager sono duplici:
Per questo è importante spiegare quali sono i tratti distintivi del data manager e delinearne le attività specifiche.
Data manager vs DPO
Il data manager è una figura diversa dal Data Protection Officer per le seguenti ragioni:
La diversità dei ruoli non esclude che data manager e DPO, insieme alle altre figure aziendali, siano in frequente contatto per assicurare un approccio olistico alla protezione dei dati personali. Un punto di contatto di particolare rilevanza tra le due figure è, per esempio, l’attuazione delle procedure di prevenzione e di gestione dei data breach.
Data manager vs IT Manager
Il data manager è una figura diversa dall’IT Manager. Infatti, l’IT Manager si occupa di pianificare e gestire l’infrastruttura tecnologica di supporto ai processi aziendali. Il focus del data manager è, invece, sui dati e deve considerare le soluzioni tecnologiche adottate come un assioma del suo quadro di riferimento.
Anche in questo caso, è auspicabile che data manager e IT Manager, essendo peraltro due figure interne all’organizzazione, operino in stretta sinergia per ottimizzare le soluzioni tecnologiche finalizzandole al massimo livello di protezione dei dati personali.
Data manager vs responsabile del trattamento
Il responsabile del trattamento è, per uniforme interpretazione dottrinaria del GDPR, un soggetto esterno all’organizzazione che esegue in concreto il trattamento dei dati personali. Il data manager, viceversa, opera all’interno dell’organizzazione e contribuisce, eventualmente, a fornire al responsabile del trattamento le istruzioni documentate richieste dall’articolo 28 del Regolamento.
In realtà, il data manager è cruciale anche nella scelta del responsabile del trattamento oltre che nella materiale redazione del contratto (o altro atto giuridico) previsto dal comma 3 dello stesso articolo 28. Infatti, il contratto integrerà certamente un Service Level Agreement basato su specifici indicatori riguardanti i dati e le loro caratteristiche.
Data manager vs privacy manager
Il data manager non effettua alcuna valutazione del rischio ed opera, di norma, a valle del lavoro svolto dal privacy manager. Un esempio classico che fa emergere la differenza dei ruoli è la decisione di applicare, dopo un definito periodo temporale, un processo di anonimizzazione dei dati dei clienti. La decisione di applicare una misura di sicurezza basata sull’anonimizzazione è del privacy manager che la individua dopo un’attenta valutazione dei rischi; il data manager, invece, deve definire le procedure per applicarla in maniera sistematica (alle scadenze temporali fissate) e completa (per l’intero database ed in modo che non sia possibile, in alcun modo, risalire all’identità dell’interessato).
Le specifiche attività del Data Manager
L’attività specifica del data manager è quella di assicurare un ciclo di vita del dato rispettoso:
Questi tre goal sono tra loro inscindibili e richiedono, come prerequisito trasversale, la perfetta conoscenza della mappa completa dei dati trattati dall’organizzazione. Non si parla di mappa fisica (che è una specifica conoscenza dell’IT manager) ma di mappa logica e di flussi innescati dai processi di trattamento.
Nel lavoro del data manager assumono particolare rilievo gli standard ISO/IEC 25012:2014 “Modello di qualità dei dati” e ISO/IEC 25024:2015 “Misurazione della qualità dei dati”. Il primo è funzionale alla definizione delle caratteristiche che devono assumere i dati e, in qualche modo, di ausilio alla privacy by design mentre il secondo è maggiormente orientato alla verifica ordinaria della qualità del dato, anche attraverso attività di audit, e porta a convergere verso la privacy by default.
L’attenzione al percorso logico che conduce a governare opportunamente le operazioni di trattamento per garantire le caratteristiche di qualità e la protezione dei dati personali deve avere, come effetto indotto, la generazione di procedure specifiche per rispondere efficacemente alle richieste di esercizio dei diritti da parte dell’interessato. L’esempio più evidente è fornito dalla caratteristica di qualità che lo standard ISO/IEC 25012:2014 denomina portabilità e che, molto spesso, è trascurata nell’ambito delle organizzazioni; il GDPR eleva questa caratteristica di qualità ad un diritto specifico (art. 20 del GDPR) obbligando a considerarla cogente in sede di progettazione (by design) ed in sede di esercizio (by default) oltre che a definire procedure dirette a renderla effettiva nei termini previsti dal regolamento e richiesti dall’interessato.
Lo standard ISO/IEC 25024:2015 può essere d’ausilio al data manager per la definizione di procedure di audit sui dati. Infatti, vale sempre il vecchio motto di Kaplan “Non si può gestire ciò che non si può misurare”. Quindi, partendo dalle misure previste dallo standard, il data manager può agevolmente individuare quelle più idonee ad assicurare il mantenimento nel tempo delle caratteristiche di qualità nonché le procedure di auditing per la verifica delle stesse.
Non bisogna dimenticare che il GDPR prevede, all’art. 5, un ulteriore principio: il principio di responsabilizzazione. Il titolare del trattamento dei dati personali è competente (traduzione dall’inglese responsible) per il rispetto degli altri principi previsti dallo stesso articolo e deve essere in grado di comprovarlo. Il modo migliore per rispettare questo principio, soprattutto per le grandi organizzazioni, è quello di individuare un professionista specifico per curare il ciclo di vitta del dato: il data manager, appunto.
ATED TICINO ha capito l’importanza di questa nuova figura e ha organizzato un corso per Data Manager.