In data 30.5.2017, l'AGCOM (Autorità per le garanzie nelle comunicazioni), l'AGCM (Autorità garante della concorrenza e del mercato) ed il Garante per la protezione dei dati personali hanno avviato un'indagine conoscitiva congiunta tesa ad approfondire la conoscenza degli effetti prodotti dal fenomeno dei cd. Big Data ed al fine di analizzarne le conseguenze in relazione all'attuale contesto economico-sociale e normativo, il cui risultato è confluito all'interno del "Rapporto finale dell'indagine conoscitiva dei Big Data" pubblicato il 10.2.2020.
Con la locuzione "Big Data" (il cui valore, a parere dell'Osservatorio Big Data Analytics & Business Intelligence del Politecnico di Milano, è di 1,4 miliardi nel 2018, con una crescita media annuale pari al 21%) si fa riferimento, in via di prima approssimazione (giacché non si registrano, ad oggi, definizioni normativamente vincolanti), alla raccolta, all'analisi ed all'accumulo di ingenti quantità di dati personali e/o non personali (es. dati sull'agricoltura di precisione, i dati sulle esigenze di manutenzione delle macchine industriali), in generale provenienti da fonti differenti; la natura massiva delle operazioni di trattamento reca con sé la necessità che tali insieme di operazioni siano oggetto di trattamento automatizzato - mediante algoritmi ed altre tecniche avanzate - al fine di individuare correlazioni di natura (per lo più) probabilistica, interessi, tendenze e/o modelli comportamentali.
In chiave descrittiva, è frequente rinvenire, nella letteratura più autorevole in materia (la quale è influenzata dall'esperienza nord-americana), il richiamo, in forma ellittica, ad alcune caratteristiche (ricorrenti) del fenomeno in esame, le quali sono sintetizzate nelle cd. quattro "V": il "volume", con riferimento all'enorme dimensione dei dati generati e raccolti; la "varietà", con riguardo alle numerose tipologie dei dati disponibili, tra i quali vi sono - oltre ai dati strutturati tradizionali - i dati semi strutturati e/o non strutturati (es. audio, video, pagine web); la "velocità" delle operazioni di trattamento; il "valore" che i dati assumono allorquando vengono elaborati ed analizzati, così da consentire l'estrazione di informazioni che possono contribuire all'efficienza ed alla qualità dei processi produttivi tradizionali ovvero qualificare l'offerta dei beni e/o servizi in termini di innovazione e di personalizzazione.
La finalità ultima degli articolati processi sottesi all'utilizzo dei Big Data vuole essere quella di accrescere l'efficienza dei processi produttivi, quella di migliorare la capacità decisionale degli amministratori delle imprese, quella di prevedere, in modo maggiormente accurato, le tendenze di mercato ovvero indirizzare, in modo mirato, la pubblicità e/o le diverse proposte commerciali: a tal fine, è di fondamentale importanza il cd. processo di estrazione di conoscenza dai Big Data, il quale è perseguibile, in particolar modo, mediante l'attività di raccolta (la quale ha inizio in un contesto informatizzato o nell'ambito della cd. Internet of things (IoT), di elaborazione (la quale comporta l'organizzazione dei dati grezzi non strutturati in informazioni suscettibili di essere utilizzate per finalità cd. pratiche, mediante l'ausilio di tecniche di analisi, di interrogazione o di apprendimento) ed, infine, di interpretazione e di utilizzo, ove le decisioni sono - sempre più spesso - prese sulla base dei dati ovvero sulla base delle correlazioni tra di essi, senza la necessità di una compiuta e preliminare comprensione del fenomeno oggetto di intervento.
Ciò premesso, occorre ricordare che, all'interno dell'era della cd. digital economy e della cd. digital society, diventa sempre più prioritaria la necessità di trovare il giusto equilibrio tra il cospicuo patrimonio informativo a disposizione, il suo utilizzo ed il diritto fondamentale degli individui alla protezione dei dati personali: infatti, se è vero che l'utilizzo di una simile quantità di informazioni potrebbe portare grandi benefici agli individui ed alla società nel suo complesso, altrettanto vero è che tutto questo debba necessariamente passare per un'attenta analisi preliminare circa la compatibilità delle finalità (ulteriori) di trattamento, rispetto alla finalità per cui i dati personali sono stati inizialmente raccolti ovvero resi pubblici.
Al fine di far fronte alle nuove sfide dell'analisi dei Big Data, ciascun Titolare deve agire nel rispetto del principio di limitazione di finalità previsto dall'art. 5 comma 1 lettera b) del GDPR ("I dati personali sono [
] raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità
"), il quale costituisce una limitazione interna al trattamento stesso (in contrasto con la visione che disegna i dati come un patrimonio del Titolare che può disporne a proprio piacimento), basato sulla stretta corrispondenza tra i motivi della raccolta dei dati personali e l'effettivo impiego degli stessi.
Nonostante il Titolare sia chiamato a prevedere ex ante (ed in modo specifico) le finalità di trattamento ed attenersi alle medesime nello svolgimento delle operazioni di trattamento, non si esclude che i dati personali possano essere sottoposti a trattamenti ulteriori per finalità differenti: infatti, il Legislatore Europeo ha previsto, in particolar modo, che ciò possa avvenire nella misura in cui le finalità ulteriori siano compatibili rispetto a quelle per le quali i dati sono stati inizialmente raccolti, in ossequio al combinato disposto tra gli artt. 5 comma 1 lettera b), 6 comma 4 ed il Considerando n. 50 del GDPR.
Innanzitutto, l'art. 5 comma 1 lettera b) del GDPR prescrive che i dati personali possono essere trattati per finalità ulteriori (anche incompatibili rispetto a quelle originarie), laddove il soggetto interessato (i) abbia prestato il suo consenso ovvero (ii) il trattamento si basi su un atto legislativo dell'Unione o degli Stati membri, che costituisca una misura necessaria e proporzionata per la salvaguardia, in particolare, degli obiettivi di interesse generale ex art. 23 del GDPR.
Tuttavia, nel caso in cui non si ricada in una delle ipotesi sopra descritte, l'art. 6 comma 4 del GDPR specifica che i dati personali possono essere trattati per finalità diverse purché compatibili rispetto a quelle per cui sono stati inizialmente raccolti, a tal fine prevedendo una serie di parametri di cui il Titolare del trattamento deve - nel rispetto del principio di cd. accountability - necessariamente tenere conto nel corso della relativa valutazione:
I. Ogni nesso tra le finalità per cui i dati personali sono stati raccolti e le finalità dell'ulteriore trattamento previsto;
II. Il contesto in cui i dati personali sono stati raccolti, con particolare riguardo alle ragionevoli aspettative dell'interessato, in base alla sua relazione con il Titolare, rispetto all'ulteriore utilizzo dei suoi dati;
III. La natura dei dati personali;
IV. Le possibili conseguenze dell'ulteriore trattamento nei confronti del soggetto interessato;
V. L'esistenza di misure di sicurezza adeguate (es. cifratura).
Orbene, nel caso in cui le finalità ulteriori di trattamento possano considerarsi compatibili (a tal riguardo, è possibile rinvenire alcune importanti linee guida all'interno dell'Opinion n. 3/2013 a firma del WP Art. 29) rispetto a quelle per cui i dati sono stati inizialmente raccolti, non è richiesta una base giuridica ad hoc, diversa ed ulteriore rispetto a quella (legittima) che ha consentito la raccolta dei dati medesimi; ciò nonostante, in ossequio al Considerando n. 50 del GDPR il Titolare del trattamento è tenuto a fornire sempre un'informativa su tale (ulteriore) trattamento, sia nel caso in cui siano stati raccolti direttamente presso di lui sia laddove i dati siano stati, invece, raccolti presso soggetti terzi.