Processo di Estrazione Attributi

Il processo di estrazione di attributi identicativi e sensibili da dati non strutturati rientra all'interno dei Named Entity Recognition Problem, o NER; si tratta di problemi secondari di estrazione di informazioni che cerca di in- dividuare e classicare gli elementi nel testo in categorie predenite [42]. Esistono due categorie di risoluzione: la prima sfrutta le tecniche basate su grammatiche o regole provenienti da linguaggi, mentre la seconda utilizza approcci all'apprendimento linguistico. Entrambi richiedono tempi di elebo- razione troppo lunghi per poter permettere l'utilizzo dei dati da parte degli utenti.

Si è quindi ricorso ad un approccio di apprendimento statitistico, in parti- colare a Conditional Random Fields-based named entity recognizer per estrar- re attributi sensibili ed identicativi. Il campo condizionale casuale, o CRF, è un avanzato modello probabilistico discriminante che prende in ingresso una sequenza di token dal testo dove ogni token possiede una serie di funzio- nalità basate sulla sequenza. Dato un token dalla sequenza CRF calcola le probabilità della possibile etichettatura e sceglie quella con massima proba- bilità. La probabilità di ciascuna etichetta è una funzione del set di funzioni associate a tale token.

Il punto chiave è rapprensentato dal set di funzionalità: in questo caso i creatori hanno selezionato come caratteristice la presenza di caratteri spe- ciali, di numeri - nel caso di token -, la parola precedente e quella successiva, ed altri punti; tutte le caratteristiche scelte derivano dallo studio di sistemi NER biometrici.

Il processo, inne, è composto da una serie di passaggi:

1. Un software di codica usato per tutti i tipi di dati, compresi quelli sensibili ed identicativi;

2. Un classicatore basato su CFR utilizzato per classicare termini dal testo in più classi;

3. Un insieme di strategie di pre e post elaborazione dei dati, usando approcci iterattivi, per estrarre caratteristiche dei dati al testo per il classicatore e per alimentare il processo di correzione e retagging del software.

5.3.5 Punti di forza e criticità

HIDE risolve uno dei problemi più sentiti dalla dottrina Privacy By Desi- gn, ovvero quello della de-identicazione: la possibilità di dissociazione delle informazioni rispetto agli interessati comporta un livello di tutela di questi ultimi molto alto.

Come avviene da molti anni in paesi quali Paesi Bassi, Belgio e Cana- da, questi strumenti sono impiegati in larga scala anche in ambito sanitario pubblico, quali ospedali e studi medici.

La rimozione o la generalizzazione di talune informazioni sensibili riduce notevolmente il possibile utilizzo delle stesse per scopi malevoli o, più sem- plicemente, non autorizzati. E' però necessario garantire accesso alle stesse, non solo per ni personali, bensì per pubblica utilità; questa implementazio- ne rispetta quindi uno dei principi Privacy By Design: Massima funzionalità

Figura di Privacy Ocer

Il Privacy Ocer concorre a garantire che i diritti degli interessati dei dati personali siano rispettati; nata in America negli anni novanta ha origini antiche.

In Europa questa gura viene denita come Data Protection Ocer, ovvero responsabile della protezione dei dati personali; è prevista dal rego- lamento CE 45/2001, concernente la tutela delle persone siche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati. Questo capitolo analiz- zerà questa gura, mostrando compiti e competenze, sia quelle attuali che quelle future indicate nel regolamento in fase di approvazione 2012/0011.

6.1 Creazione ed Evoluzione Storica della gura

La comparsa della gura di Privacy Ocer, - PO in breve -, risale al 1970 in Assia, uno dei sedici stati federali tedeschi.

Data l'approvazione della prima legge americana di tutela alla privacy del 1960, lo stato tedesco decise di promulgare una legge in materia denen- do, fra le tante cose, la gura di Datenschutzbeauftragter, Responsabile della protezione dei dati [43]. Nel 1977 fu promulgata dallo stato centrale tedesco la prima legge sulla protezione dei dati personali rendendo di fatto obbli- gatorio l'assunzione, sotto deteminati requisiti, di queste gure in ambito aziendale [44].

Il PO o Chief Privacy Ocer, - CPO in breve, utilizzato in ambito aziendale americano -, ha assunto la connotazione attuale negli anni novanta. Nel 1999 la società AllAdvantage assunse l'avvocato R. E. Church come Privacy Ocer; le crescenti preoccupazioni dei consumatori americani riguar- danti il trattamento spettato ai dati personali portò le aziende ad integrare nel proprio sta dirigenziale gure che, occupandosi delle informazioni dei consumatori, infondessero ducia negl stessi.

Nel nuovo millennio il numero di PO assunti nelle grandi aziende fù in rapido aumento, anche grazie alla normativa europea approvata che indicava l'obbligatorietà, sotto determinati canoni, di assunzione di queste gure. Successivamente iniziarono a nascere le prime società professionali e le prime associazioni di categoria.

In Italia l'arrivo di questa gura è stato tardo: nonostante la legislazione europea lo richieda, l'assunzione di Privacy Ocers all'interno di contesti aziendali non obbligatori è ancora bassa. Questo può essere spiegato dal fatto che nel Paese non è radicata una concezione di tutela delle informazioni; l'introduzione di questa gura non è stata fatta per ni strategici o tutelativi verso i consumatori, bensì tutto il sistema di tutela del trattamento dei dati è stato visto come un costo, un atto burocratico, un impiego di tempo e denaro inutile. Di conseguenza, l'investimento aziendale ha assunto in molti casi, come scopo principale, quello di evitare sanzioni da parte del Garante della Privacy; soluzioni lowcost, PO scelti fra persone con scarse competenze sono solo alcuni esempi di questa visione.

6.2 Obbligatorietà di assunzione e competenze ri-