Nell’attuale contesto economico mondiale in cui i dati, soprattutto quelli personali, rappresentano una nuova “materia prima”, è importante dedicare grande attenzione alla gestione della qualità di questi stessi dati: una loro scarsa qualità non fa bene a imprese e PA, poiché mina in radice sia i processi aziendali delle imprese che i procedimenti amministrativi delle PA, rispettivamente ostacolando il raggiungimento degli obiettivi di business e determinando la possibile invalidità dei provvedimenti amministrativi.
Infatti, una minore qualità dei dati personali può determinare non solo una violazione grave del GDPR ma anche una inefficacia dei processi decisionali con pesanti ricadute in termini di affidabilità e competitività sia delle imprese che delle Pubbliche Amministrazioni.
In questo senso, utili indicazioni sulla cura e coltivazione della qualità dei dati vengono sia dal GDPR sia da alcune utili best practice.
Indice degli argomenti
La gestione della qualità dei dati nell’economia data driven
Attualmente, il principale fattore di produzione nel sistema economico globalizzato è l’intelligenza artificiale (IA), intesa come “insieme di sistemi che mettono in atto comportamenti intelligenti, analizzando l’ambiente circostante e agendo con un certo livello di autonomia per raggiungere obiettivi specifici”[1].
La Proposta di Regolamento della Commissione Europea recante norme armonizzate sull’intelligenza artificiali (c.d. Artificial Intelligence Act), resa pubblica il 21 aprile 2021, precisa che l’IA è una famiglia di tecnologie in rapida evoluzione che può contribuire ad ottenere un’ampia gamma di vantaggi economici e sociali nell’intero spettro delle industrie e delle attività sociali.
Attraverso il miglioramento contino delle previsioni, l’ottimizzazione di operazioni e l’allocazione delle risorse, l’uso dell’intelligenza artificiale può fornire vantaggi competitivi chiave alle aziende e può supportare risultati positivi dal punto di vista sociale e ambientale, ad esempio nell’assistenza sanitaria, nell’agricoltura, nell’istruzione e nella formazione nonché nella gestione di infrastrutture, energia, trasporti e logistica, servizi pubblici, sicurezza, giustizia, efficienza delle risorse e dell’energia e mitigazione e adattamento ai cambiamenti climatici[2].
È la c.d. “quarta rivoluzione industriale” realizzata attraverso l’uso diffuso di particolari algoritmi non legati alla tradizionale scrittura di codici ma all’utilizzo di modelli statistici che devono essere “allenati” a comprendere il mondo attraverso la somministrazione di dati.
Per questo motivo, i dati personali stati definiti il “nuovo petrolio” e nel sistema economico hanno oggettivamente acquisito la funzione di una vera e propria “commodity”.
Di conseguenza nella nuova realtà economica, i processi di produzione di beni e servizi sono sempre più “data driven” cioè guidati e basati sui dati, soprattutto personali.
Intelligenza artificiale: le nuove regole europee che disciplinano l’uso della tecnologia
Qualità dei dati come fattore di affidabilità e competitività
A conferma di questo scenario, i Considerando 6 e 7 del GDPR evidenziano come la rapidità dell’evoluzione tecnologica e la globalizzazione comportino nuove sfide per la protezione dei dati personali: la portata della condivisione e della raccolta di dati personali è aumentata in modo significativo anche perché la tecnologia attuale consente tanto alle imprese private quanto alle autorità pubbliche di utilizzare dati personali, come mai in precedenza, nello svolgimento delle loro attività.
Sempre più spesso, le persone fisiche rendono disponibili al pubblico su scala mondiale informazioni personali che le riguardano. La tecnologia ha trasformato l’economia e le relazioni sociali e dovrebbe facilitare ancora di più la libera circolazione dei dati personali all’interno dell’Unione e il loro trasferimento verso paesi terzi e organizzazioni internazionali, garantendo al tempo stesso un elevato livello di protezione dei dati personali.
Tale evoluzione richiede un quadro più solido e coerente funzionale a creare il clima di fiducia che consentirà lo sviluppo dell’economia digitale in tutto il mercato dell’UE.
Assume quindi importanza strategica per tutte le realtà produttive far ricorso a dati validi cioè esatti e allineati al mondo reale, ad una fonte verificabile, in una parola a dati di “alta qualità”, cioè idonei agli usi previsti per la realizzazione degli obiettivi di business.
Una minore qualità dei dati personali può determinare non solo una violazione grave del GDPR ma anche una inefficacia dei processi decisionali, con pesanti ricadute in termini di affidabilità e competitività sia delle imprese che delle Pubbliche Amministrazioni.
Per poter essere competitivi è quindi necessario disegnare ed implementare un processo di gestione della qualità dei dati i.e. un DQM (Data Quality Management), in modo da disporre sempre di dati personali che siano affidabili per il raggiungimento degli obiettivi di business nonché garantiti da efficaci azioni diagnostiche e dall’eliminazione delle criticità eventualmente riscontrate nel corso dello stesso processo di gestione.
In questo contesto si inserisce la citata Proposta di Regolamento della Commissione Europea sull’Intelligenza Artificiale che, a carico dei fornitori di sistemi A.I. ad alto rischio, pone, come condizione necessaria di compliance, proprio l’adozione di un sistema di gestione della qualità che sia documentato in modo sistematico e ordinato sotto forma di politiche, procedure e istruzioni scritte[3].
Bisogna quindi trattare i dati personali che supportano i processi aziendali in modo appropriato, attraverso una capacità di misurare, gestire e riferire sulla qualità dei dati stessi.
Vediamo di seguito alcune utili indicazioni offerte dal GDPR e da standard internazionali per disegnare ed implementare efficacemente un processo di gestione della qualità dei dati (c.d. DQM: DATA QUALITY MANAGEMENT).
Il rispetto del GDPR genera alta qualità dei dati
Dopo oltre 3 anni di applicazione, si va progressivamente diffondendo la consapevolezza che il GDPR non sia un insieme di cavilli giuridici ma piuttosto un’opportunità per migliorare l’efficienza e l’efficacia dei processi di produzione di beni e servizi e per potenziare il business attraverso la costruzione di relazioni commerciali strutturate con clienti ed utenti “fidelizzati”.
Il quadro normativo delineato nel GDPR, infatti, è esattamente volto a trasformare le imprese e le pubbliche amministrazioni dell’UE in organizzazioni trustworthy cioè “degne di fiducia” da parte di clienti ed utenti, con i quali poter strutturare e coltivare fruttuose relazioni commerciali.
La corretta applicazione del GDPR può quindi indurre i “data subjects” a percepire una buona reputazione aziendale e a diventare clienti fidelizzati che non hanno alcun timore di conferire i loro dati personali.
L’alta qualità dei dati personali, derivata dal rispetto di principi e regole del GDPR , genera così sistemi produttivi:
- attendibili, perché basati sul rispetto dei valori fondamentali di integrità, affidabilità, disponibilità, riservatezza e trasferibilità[4];
- affidabili, in quanto degni di quella fiducia che, in un ecosistema guidato dai dati, è il baricentro delle relazioni commerciali.
Vediamo di seguito quali adempimenti è necessario porre in essere.
Gestione della qualità dei dati in un sistema di data protection
Per garantire un’alta qualità dai dati personali durante tutto il ciclo di vita dei relativi trattamenti è necessario disegnare ed implementare uno specifico processo aziendale per la gestione della qualità dei dati personali (il c.d. DQM – Data Quality Management).
Questo processo va inserito nella generale “governance del sistema di data protection” che riflette la “Vision” del “C-Level” nelle imprese o dell’Alta Dirigenza nelle Pubbliche Amministrazioni e che comprende tutte le politiche interne, le procedure e i processi per gestire e monitorare i requisiti dell’organizzazione (organizzativi, legali, relativi al rischio e ambientali) funzionali alla compliance al GDPR.
Quindi per costruire un buon DQM, la persona fisica che esercita le funzioni di titolare del trattamento, supportato dal DPO, dovrebbe:
- stabilire un chiaro quadro di ruoli e responsabilità, i.e.“chi” fa “che cosa” ed entro quanto tempo;
- individuare le funzioni aziendali che sono chiamate a sviluppare il processo;
- nominare un responsabile di processo (c.d. “Process Owner”), qualificabile anche come “custode dei dati personali”;
- designare quali “autorizzati al trattamento” i lavoratori dipendenti chiamati ad eseguire le attività del processo e, contestualmente, dare loro specifiche istruzioni;
- fornire la tecnologia necessaria (piattaforme e applicazioni adeguate);
- definire una specifica procedura per la gestione dei dati, compresa la raccolta, l’analisi, l’etichettatura, l’archiviazione, la filtrazione, l’estrazione, l’aggregazione e la conservazione dei dati personali;
- valutare il rischio per i diritti e libertà fondamentali. Gli esiti della valutazione vanno riportati sul registro dei trattamenti;
- definire gli indicatori chiave per la qualità (cc.dd. KPI – Key Performance Indicators);
- predisporre un documento, da tenere aggiornato che comprovi l’avvenuta esecuzione di tutti i precedenti adempimenti.
Solo questi ultimi due adempimenti hanno carattere generale e sono validi per ogni tipo di organizzazione. Appare quindi utile dare qualche indicazione al riguardo.
Le KPI per il sistema di gestione della qualità dei dati
Elementi fondamentali per il disegno di un DQM sono gli indicatori chiave di prestazione (KPI), specifici della qualità dei dati, primo fra i quali l’unicità del dato. È possibile che, per varie cause, all’interno di un data base vi siano dei dati duplicati, ad esempio identificativi ripetuti di una stessa entità.
Queste circostanze postulano la necessità di prevedere una soluzione strutturale, a monte del processo di gestione della qualità dei dati, quindi per esempio nel punto di onboarding i.e. nel momento in cui i dati vengono trasferiti dalla dimensione off-line a quella on-line.
Invece, per i records duplicati che sono già archiviati in un data base, è possibile prevedere una deduplicazione cioè un’eliminazione dei dati ridondanti che consente anche contestualmente di ottenere più spazio nel repository.
In sintesi, facendo riferimento ad un pattern ben noto ai designers dei sistemi informativi, è necessario che all’interno dell’architettura dell’impresa o della P.A. il dato personale sia la “singola fonte di verità” (c.d. SSOT: Single Source Of Truth).
Altri importanti KPI ai quali è necessario fare riferimento sono:
- la completezza e l’integrità dei dati;
- la tempestività, i.e. la disponibilità dei dati nel momento in cui è necessario;
- la coerenza la quale assicura che durante la trasmissione tra applicazioni e reti i dati conservino lo stesso valore in modo da ottenere come risultato che dati archiviati in posizioni diverse non siano in conflitto tra loro;
- l’accuratezza vale a dire, il grado di corrispondenza del dato teorico con il dato reale o di riferimento (i.e. l’entità del mondo reale rappresentata dal dato stesso).
Il documento che descrive il DQM
Il generale obbligo di accountability impone al titolare del trattamento di predisporre un documento, da tenere costantemente aggiornato, che descriva il disegno e l’implementazione del DQM.
La quadro strutturale di tale documento può essere ricavato da alcune norme del GDPR che sono funzionali a garantire un’elevata qualità dei dati personali e che possono essere idealmente racchiuse in un “Conceptual Framework” che segue il CICLO DI DEMING secondo il seguente modello PDCA (Plan-Do-Check- Act):
- Plan:= il titolare, già in fase di design del DQM, deve prevedere l’adozione di misure tecniche e organizzative adeguate:
- volte ad attuare in maniera efficace i principi di protezione dei dati tra i quali l’esattezza e, se necessario, l’aggiornamento nonché la minimizzazione dei dati personali[5];
- funzionali a garantire un livello di sicurezza adeguato al rischio. Le caratteristiche organizzative, funzionali a garantire un’alta qualità dei dati, sono in particolare la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento nonché la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico[6];
- Do: in questa fase si implementa il DQM disegnato nella fase precedente. Questa fase è “data-subject-driven”. Infatti un importante ruolo per il mantenimento di un’alta qualità dei dati è rivestito proprio dagli “interessati”, che hanno la possibilità di intervenire esercitando il diritto di rettifica, i.e. il diritto di ottenere dal titolare del trattamento la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo, nonché l’integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa;
- Check: l’art. 24 del GDPR prevede specificamente che le citate misure tecniche e organizzative siano sono riesaminate e aggiornate qualora necessario;
- Act: in questa fase le misure tecniche e organizzative adottate tendono a diventare strutturali determinando la maturazione del processo di gestione della qualità dei dati.
Il “Conceptual Framework” proposto è sovrapponibile al modello riportato nello standard internazionale di riferimento i cui punti salienti vengono di seguito sintetizzati.
Le best practice per la gestione della qualità dei dati
La norma che delinea un modello di riferimento per disegnare ed implementare un DQM è la ISO 8000-61: 2016 che può essere anche utilizzata in combinazione con la norma ISO 9001:2015.
Le parti più interessanti di questa norma sono quelle che fissano i principi fondamentali della gestione della qualità dei dati e l’implementazione del processo di gestione della qualità dei dati.
I principi fondamentali della gestione della qualità dei dati sono:
- l’approccio per processi: è il principio secondo il quale la gestione della qualità è garantita dalla definizione e dallo sviluppo di specifici processi che diventano ripetibili e affidabili;
- il miglioramento continuo: che deriva dall’analisi, dal tracciamento e dalla rimozione delle cause profonde della scarsa qualità dei dati;
- il coinvolgimento delle persone: questo principio, analogamente al ruolo attribuito dal GDPR agli interessati, prevede che gli utenti finali abbiano il maggiore effetto diretto sulla qualità dei dati.
Il processo di implementazione, come il “Conceptual Framework” sopra delineato, è costituito dai seguenti quattro sottoprocessi basati sul ciclo di Deming, secondo il pattern PDCA (Plan-Do-Check-Act):
- Plan – Data Quality Planning: è il sotto-processo volto a stabilire la strategia e il piano di attuazione necessari per fornire risultati in conformità con i requisiti dei dati;
- Do – Data Quality Control: sotto-processo necessario per garantire che i dati derivanti dalle attività soddisfino i requisiti;
- Check – Data Quality Assurance: valuta i livelli di qualità dei dati e le prestazioni dei processi relativi alla qualità dei dati;
- ACT – Data Quality Improvement: sotto-processo necessario per. fornire miglioramenti sostenibili della qualità dei dati.
NOTE
Definizione contenuta nella Comunicazione della Commissione Junker del 7 dicembre 2018 relativa al “Piano Coordinato per l’Intelligenza Artificiale”. Richiamata da Franco Pizzetti in “Protezione dei dati personali in Italia Tra GDPR e Codice Novellato”, Giappichelli, 2021. ↑
Così testualmente il Considerando 3 della Proposta di Regolamento della Commissione Europea COM (2021) 206 final – 2021/0106 (COD), recante norma armonizzate sull’Intelligenza Artificiale ↑
Vds. art. 17 della citata Proposta COM(2021) 206 final – 2021/0106 (COD). ↑
Vds. Artt. 5, 20 e 32 GDPR. ↑
Art. 25, par.1 e art. 5, par.1 lett.c) e d) GDPR. ↑
Art.32, par.1, lett. b) e c) GDPR. ↑