Governance dei dati e conformità in materia di privacy. GDPR ricerca scientifica e data ownership

Obiettivo del lavoro è esaminare gli effetti che i GDPR comporta nel quadro della raccolta, analisi e gestione dei dati in ambito scientifico con particolare riguardo ai dati sanitari. Si analizzerà: 1. il quadro normativo di riferimento, 2. le problematiche connesse alla governance dei dati, 3. le problematiche relative all’uso di data lake nell’analisi di big data e 4. la data ownership. In questa prospettiva sarà fondamentale l’analisi delle figure incaricate del trattamento; degli obblighi in capo ad essi previsti (es. la tenuta del registro dei trattamenti; l’adozione di idonee misure tecniche e organizzative; la designazione di un RPD-DPO), l’analisi dei principi su cui si fonda la data ownership (valutazione rischio, accountability, privacy by desing; diritto all’oblio, data breach, etc). Con la diffusione di Big data è sempre più comune il ricorso ad un approccio di tipo integrato secondo il quale si ricorre all’uso di data lake e di data warehouse che operano in modalità integrata. Il ricorso a questa tipologia di gestione dei dati comporta il rischio di memorizzare i dati in modo non legal-aware, in virtù dell’ottimizzazione del trattamento rispetto ai requisiti tecnici. A lungo termine, si potrebbe verificare una significativa riduzione della così detta data gravity, soprattutto nel contesto del could computing, in virtù della tendenza dei data lake ad attrarre in modo massivo sempre un maggior quantitativo di dati al loro interno. Il trattamento dei dati di massa può condurre alla data minimization e quindi ad una oggettiva difficoltà, in virtù della trasparenza dei dati, di garantire un’effettiva tutela dei diritti degli interessati e il controllo effettivo dei dati stessi da parte dei titolari. Sarebbe interessante a questo proposito trovare una soluzione a questo apparente vuoto di tutela partendo dalle conoscenze informatiche e tecnologiche a disposizione, al fine di garantire un automatismo nella tutela e nell’esercizio di diritti, quali quello all’oblio immaginando un nuovo concetto di volatilità dei dati legal aware!

Data governance and privacy compliance. GDPR, scientific research and data ownership.

The objective of the work is to examine the effects of GDPR in the context of the collection, analysis and management of data in the scientific field with particular regard to health data. The following topics will be analyzed: 1. the reference regulatory framework, 2. issues related to data governance, 3. issues related to the use of data lake in the analysis of big data and 4. data ownership. In this perspective the analysis of the persons in charge of the treatment will be fundamental; of the obligations foreseen for them (eg the keeping of the treatment register, the adoption of suitable technical and organizational measures, the designation of an RPD-DPO), the analysis of the principles on which data ownership is based (evaluation risk, accountability, privacy by desing, the right to be forgotten, data breach, etc). With the spread of Big Data, the use of an integrated approach based on the use of data lakes and data warehouses operating in integrated mode is increasingly common. The use of this type of data management involves the risk of storing data in a non-legal-aware manner, giving priority to the optimization of the treatment over the technical requirements. In the long term, there could be a significant reduction in the so-called data gravity, especially in the context of could computing, as a consequence of the trend of data lakes to attract massively more and more data within them. The processing of mass data can lead to data minimization and therefore to an objective difficulty, by virtue of data transparency, to guarantee effective protection of the rights of data subjects and the effective control of data by the owners themselves. In this regard, it would be interesting to find a solution to this apparent lack of protection, starting from the computer and technological know-how available, in order to guarantee an automatic protection and exercise of rights, such as forgetting a new concept of volatility of legal aware data!