Big Data and Data Retention

  • Posted By Pierangela Rodilosso
  • |
  • 10 September 2020
  • |
  • 0 comments

Sharing is caring!

In Italy, there is no specific legislation regarding the so-called “big data”, i.e. those data collections of information so extensive in terms of volume, speed and variety that specific technologies and analytical methods are required to extrapolate, manage and process data within a reasonable time.

However, since big data may include personal data that, in many cases, cannot be separated from other information, the risk of privacy breaches is not remote in the following respects:

–  processing of personal data outside the purposes for which it was collected;
–  use of incorrect or outdated information;
–  discrimination or prejudice against certain individuals or groups resulting from the application of specific profiling algorithms; and
–  processing of personal data disproportionate to what is necessary

Given, therefore, the enormous amount of data collected, the processing of big data itself would be at odds with the principle of data accuracy – a fundamental principle of GDPR – which any organisation or entity processing personal data must respect.

Moreover, it is worth recalling on this point the provision of Article 22 of the GDPR, according to which “the data subject has the right not to be subject to a decision based solely on automated processing, including profiling, which produces legal effects concerning him or her or similarly significantly affects his or her person”.

Therefore, to avoid the – far from unlikely – the risk of a breach of data protection law, anonymisation or pseudonymisation instruments could be used, considering certain exceptions provided for by the GDPR, such as the possibility of processing personal data for purposes compatible with the initial purposes. Where the processing is carried out for purposes of public interest, scientific or historical research or statistical purposes, the compatibility of the purposes is deemed implicit.

Concerning the storage of data, although internal regulations do not expressly provide that this operation must take place within national borders, the rules on specific types of data must be considered.

By way of example, under Article 39 of Presidential Decree no. 633 of October 26 1972 (concerning the keeping and conservation of registers and accounting documents), paper and electronic invoices may be stored electronically. The place of electronic storage of them, as well as the logs and other records provided for in the decree mentioned above and other provisions, may be located in another State, provided that there is a legal instrument governing mutual assistance.

In this respect, it should be noted that under Article 45 of the GDPR, the transfer of data to a third country or an international organisation is permitted if the European Commission has decided that the third country or international organisation guarantees an adequate level of data protection. 

***

 BIG DATA E CONSERVAZIONE DEI DATI

In Italia non esiste – ad oggi – una normativa specifica relativa ai c.d. “big data”, ovvero quelle raccolte di dati informativi così estese in termini di volume, velocità e varietà da richiedere tecnologie e metodi analitici specifici per estrapolare, gestire e processare informazioni entro un tempo ragionevole.

Tuttavia, poiché i big data possono comprendere dati personali che, in molti casi, non è possibile separare dalle altre informazioni, non è remoto il rischio di incorrere in violazioni della privacy, sotto i seguenti profili:

–  trattamento di dati personali al di fuori delle finalità per le quali sono stati raccolti;
–  utilizzo di informazioni errate o non aggiornate;
–  discriminazione o pregiudizio nei confronti di determinati individui o gruppi derivanti dall’applicazione di determinati algoritmi di profilazione; e
–  trattamento di dati personali sproporzionato rispetto a quanto necessario

Considerata, quindi, l’enorme quantità di dati raccolti, il trattamento dei big data in sé si porrebbe in contrasto con il principio di accuratezza dei dati – un principio fondamentale del GDPR – che ogni organizzazione o entità che tratta dati personali deve rispettare.

Inoltre, vale la pena di richiamare sul punto la previsione di cui all’art. 22 del GDPR, secondo cui “l’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produce effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona”.

Pertanto, per evitare il rischio – tutt’altro che improbabile – di violazione della normativa sulla protezione dei dati si potrebbe far ricorso a strumenti di anonimizzazione o di pseudonimizzazione, tenendo comunque conto di alcune eccezioni previste dal GDPR, quale ad esempio la possibilità di trattare i dati personali per scopi compatibili con le finalità iniziali. Laddove il trattamento avvenga per finalità di interesse pubblico, ricerche scientifiche o storiche o a fini statistici, la compatibilità degli scopi si ritiene implicita.

Per quanto riguarda poi la conservazione dei dati, sebbene la normativa interna non preveda espressamente che questa operazione debba avvenire entro i confini nazionali, occorre tenere in considerazione la disciplina prevista con riguardo a specifiche tipologie di dati.

A titolo esemplificativo, ai sensi dell’art. 39 del D.P.R. 26 ottobre 1972, n. 633 (relativo alla tenuta e conservazione dei registri e dei documenti contabili), le fatture cartacee ed elettroniche possono essere archiviate in modalità elettronica e il luogo di conservazione elettronica di esse, nonché dei registri e degli altri documenti previsti dal decreto suddetto e da altre disposizioni, può essere situato in un altro Stato, a condizione che con lo stesso esista uno strumento giuridico che disciplini la reciproca assistenza.

Al riguardo, occorre rilevare che ai sensi dell’art. 45 del GDPR il trasferimento di dati verso un paese terzo o un’organizzazione internazionale è consentito se la Commissione europea ha deciso che il paese terzo o l’organizzazione internazionale garantiscono un livello adeguato di protezione dei dati.

Leave a Comment

shares