Il termine “dati” si riferisce alle informazioni grezze nel loro stato fondamentale. D’altra parte, il termine “big data” è comunemente usato per descrivere insiemi di informazioni vasti, complessi e difficili da strutturare. Inizialmente, questo termine era utilizzato principalmente per indicare la dimensione voluminosa dei dati. Tuttavia, nell’uso contemporaneo, si è evoluto in un concetto che comprende la totalità dei processi, dall’archiviazione dei dati alla loro trasformazione in informazioni, rappresentando l’ampiezza dell’intero spettro.
I big data si caratterizzano per le loro componenti fondamentali, tra cui l’aumento del volume dei dati, la natura imperativa della velocità dei dati e la loro diversa provenienza. Grazie all’abile utilizzo delle capacità di analisi e interpretazione dei dati, i big data consentono alle aziende di prendere decisioni oculate, ridurre i costi e aumentare la qualità dei prodotti/servizi. Di conseguenza, i big data sono considerati una capacità che offre alla società l’opportunità di utilizzare le informazioni in modo innovativo. Mentre i big data si affermano come un aspetto indispensabile del progresso tecnologico all’interno di contesti operativi, si è aperta una nuova epoca che impone una gestione prudente dei rischi legati alla salvaguardia dei dati personali. Tuttavia, come illustrato di seguito, la legge n. 6698 sulla protezione dei dati personali, che è alla base della giurisprudenza sulla protezione dei dati personali in Turchia, non tiene sufficientemente conto delle implicazioni trasformative introdotte dai big data.
I. Protezione dei dati personali speciali e sensibili
Ai sensi dell’articolo 3 della legge n. 6698 sulla protezione dei dati personali, qualsiasi informazione relativa a una persona fisica identificata o identificabile è considerata un dato personale. Inoltre, ai sensi dell’articolo 6, dati quali “razza, origine etnica, opinioni politiche, convinzioni filosofiche, religione, setta, abbigliamento, appartenenza ad associazioni, fondazioni o sindacati, salute, vita sessuale, condanne penali e misure di sicurezza” sono designati come categorie particolari di dati personali, comprendendo anche i dati biometrici e genetici. Tutti i dati che rientrano in questa definizione beneficiano della protezione prevista dalla legge. Tuttavia, l’utilizzo di ampie serie di dati nel contesto dei big data può potenzialmente consentire l’accesso a informazioni personali sensibili derivate da dati apparentemente ordinari. Di fatto, diventa possibile accertare informazioni identificabili da dati non personali, sottolineando così la necessità di un approccio meticoloso nel gestire tali trasformazioni di dati.
II. Principio del trattamento dei dati per finalità, limitato e proporzionale
Ai sensi dell’articolo 4, comma 2, della legge sulla protezione dei dati personali, i principi da considerare nel trattamento dei dati personali comprendono: “a) il rispetto della legge e dei principi di onestà; b) l’esattezza e, quando necessario, l’aggiornamento; c) il trattamento per finalità specifiche, chiare e legittime; d) la connessione, la limitazione e la proporzionalità con lo scopo del trattamento; e) la conservazione per la durata prescritta dalla normativa in materia o per il tempo necessario allo scopo per cui sono trattati”. Esaminando queste condizioni imposte dalla legge, si osserva che l’utilizzo dei big data potrebbe diventare quasi impraticabile. Il quadro giuridico, che cerca di ridurre al minimo la raccolta e l’elaborazione dei dati con i big data collegandoli a scopi specifici, è incongruente. In questo contesto, la sfida più importante da affrontare è la mancanza di prevedibilità per ogni finalità di trattamento dei dati nel momento in cui i dati vengono raccolti e viene rilasciato il consenso.
III. Consenso esplicito dell’interessato
Il primo comma dell’articolo 3 della legge definisce il consenso esplicito come “consenso basato su informazioni riguardanti un soggetto specifico e comunicato con libera volontà”. Ai sensi dell’articolo 5, comma 1, e dell’articolo 6, comma 2, il consenso esplicito dell’interessato è necessario per il trattamento dei dati personali e sensibili. Inoltre, il consenso esplicito è obbligatorio per il trasferimento dei dati personali. È fondamentale sottolineare che un consenso casuale al trattamento dei dati personali non soddisfa i criteri di qualificazione stabiliti dalla legge. Nel momento in cui il consenso viene comunicato, deve essere specifico in merito alla finalità per cui l’interessato fornisce il consenso. Un’altra condizione prevista dalla legge è il consenso basato su un processo decisionale informato. Tuttavia, nella pratica, le aziende cercano di ottenere il consenso dell’interessato attraverso moduli di informativa lunghi e complessi, in contrasto con le disposizioni di legge. Infine, viene stabilito anche il requisito che il consenso sia rilasciato con libera scelta. In questo quadro, le disposizioni che subordinano l’acquisto di un servizio o di un prodotto all’approvazione di un individuo pongono delle sfide, in particolare per garantire che il consenso sia dato liberamente.
IV. Principio del trattamento dei dati per finalità specifiche, esplicite e legittime
Ai sensi dell’articolo 11 della legge, le persone hanno il diritto di chiedere al titolare del trattamento informazioni sull’eventuale trattamento dei loro dati personali. Tuttavia, il modo in cui le persone saranno informate e potranno opporsi a risultati negativi derivanti dall’analisi condotta da sistemi automatizzati, come introdotto da questo articolo, rimane incerto. Inoltre, secondo le disposizioni degli articoli 13 e 14, che regolano i diritti degli interessati di rivolgersi al titolare del trattamento e di presentare reclami al Consiglio, le richieste devono essere presentate per iscritto o attraverso altre modalità stabilite dal Consiglio. Dall’esame di queste disposizioni, risulta evidente che la normativa parte dal presupposto che gli interessati siano pienamente consapevoli. Tuttavia, nel contesto delle applicazioni dei big data, la probabilità che le persone interessate abbiano tale consapevolezza appare dubbia. La ragione principale del disallineamento di questo regolamento con le applicazioni dei big data è l’assenza di comunicazione interattiva tra l’interessato e il responsabile del trattamento. Allo stesso tempo, l’attuale regolamento consente all’interessato di effettuare solo richieste di informazioni, privandolo della possibilità di confermare le informazioni ricevute.
V. Anonimizzazione dei dati personali
Oltre alle norme costituzionali e legali volte a proteggere i dati personali, è necessario attuare processi quali la distruzione, la cancellazione e l’anonimizzazione dei dati personali al termine del periodo massimo richiesto per le finalità per cui sono stati trattati. L’obiettivo primario dell’anonimizzazione è quello di estrarre benefici da insiemi di dati con un potenziale significativo, pur eliminando le informazioni personali. Sebbene l’anonimizzazione sia abbastanza significativa da giustificare una regolamentazione separata in termini di protezione dei dati personali, la semplice anonimizzazione di grandi insiemi di dati non è sufficiente per la protezione dei dati. Anche quando i dati su larga scala vengono anonimizzati, l’identificazione delle persone diventa più facile con l’aumentare della scala dei dati. Di conseguenza, l’anonimizzazione di grandi insiemi di dati può, in pratica, portare più danni che benefici in termini di protezione dei dati.
