Privacy by Design e Privacy by Default: tutti ne parlano, quanti la attuano?

privacy by default e privacy by design

Tratteremo due concetti fondamentali per il GDPR, ma spesso poco compresi e troppo ancora disattesi, quando sono assolutamente essenziali.

Chiara Ponti e Renato Castroreale

INDICE:

Privacy by Design e Privacy by Default secondo il GDPR

Il Regolamento (UE) 679/2016, l’ormai famoso GDPR, impone al Titolare del trattamento di adottare misure tecniche ed organizzative adeguate a tutelare i dati personali.

Il riferimento normativo è dato dall’art. 25 che richiama i Considerando 75 e 76. In sostanza, viene introdotto il principio di Privacy by Default e Privacy by Design, che costituisce un approccio concettuale innovativo imponendo alle Organizzazioni l’obbligo di includere in qualsiasi progetto fin dalla progettazione (“…by Design” per l’appunto), gli strumenti e le corrette impostazioni a tutela dei dati personali.

Parimenti, eventuali opzioni relativamente al trattamento dei dati degli interessati dovranno seguire una impostazione predefinita (“…by Default” per l’appunto).

Dal citato riferimento normativo ne deriva altresì che l’identificazione delle misure di sicurezza da adottarsi by Design debbano essere la diretta conseguenza di un’attenta valutazione del rischio (approccio Risk Based).

Non esistono quindi misure predeterminate, nonostante l’art. 32 par. 1 lett. a) citi due tecniche di pseudonimizzazione e cifratura dei dati personali, determinando una certa qual confusione sul tema, specie per i “novelli” del settore.

Privacy by Design: definizione

Il concetto di Privacy by Design in realtà non è poi così innovativo poiché risale al 2010.

Esso era infatti già presente negli Usa ed in Canada e poi adottato nel corso della 32° Conferenza mondiale dei Garanti Privacy.

Prendendo ispirazione da quanto stabilito nell’art. 5, e quanto delineato dal documento “The 7 Foundational Principles Implementation and Mapping of Fair Information Practices” realizzato da Ann Cavoukian (coniatrice del termine in disamina), Ph.D.  Information & Privacy Commissioner, Ontario, Canada, vengono identificati sette (7) principi fondanti:

  1. Proattivi non Reattivi; Preventivi, non Correttivi – L’approccio Privacy by Design non mira a correggere i problemi una volta che si siano manifestati, ma deve avere un approccio preventivo. Esso è supportato da un deciso commitment della Direzione, chiara emanazione della sua Accountability. Questo approccio si fonda inoltre sulla capacità/competenza necessaria ad identificare e correggere eventuali progetti che si dimostrino “deboli” sui temi trattati (formazione/informazione);
  2. Privacy by Default – L’approccio richiesto deve essere quello di stabilire che la Privacy sia di Default protetta per impostazione predefinita, senza che l’Interessato debba esercitare azioni correttive o configurazioni specifiche.
    Ad esempio, ogni prodotto/servizio deve comunque garantire che la configurazione rispetti i principi di protezione dei dati personali, quali la minimizzazione o la pseudonimizzazione, insiti nel sistema.
    Ad ulteriore esempio, una App deve essere configurata in modo da non necessitare o implicare la manifestazione di volontà del consenso al trattamento senza azione esplicita dell’utente (i check relativi al trattamento, non devono essere flaggati di default);
  3. Privacy inclusa nella Progettazione – La Privacy deve essere considerata in ogni progetto e deve essere parte integrante delle funzionalità del Sistema. Non deve essere relata ad uno strumento esterno o parallelo (ultroneo) al contesto di progetto;
  4. Funzionalità Completa – Approccio Win-Win – La Privacy by Default deve considerare la piena funzionalità dei componenti/configurazioni necessarie a garantire la Protezione dei Dati Personali.
    L’approccio deve essere quello che l’elemento Privacy costituisce un elemento qualificante e di valore, che consente di raggiungere il doppio obiettivo (Win-Win) di realizzare un buon prodotto e garantire pienamente la Privacy;
  5. Sicurezza a tutti gli stadi del processo – protezione del ciclo di vita – Tutti gli elementi costituenti un processo, o tutti le fasi del ciclo di via di un Prodotto/Servizio (implicante il Trattamento di Dati Personali) devono garantire l’inclusione di misure di sicurezza a tutela degli aspetti Privacy, secondo gli elementi descritti ai punti precedenti.;
  6. Visibilità e Trasparenza – Tutti gli elementi del processo relativo allo sviluppo di un prodotto/servizio devono essere visibili e trasparenti, al fine di porne verificare l’adeguatezza agli obiettivi Privacy stabiliti;
  7. Rispetto della Privacy dell’Utente – Fatto salvo quanto previsto ai punti precedenti, tutti quelli coinvolti nella gestione dello sviluppo del Processo/Servizio, garantiscano l’adozione di misure di protezione.
 

Privacy by Default: cosa si intende

Il principio di Privacy by Default (protezione per impostazione predefinita) prevede, come abbiamo appena visto, che per impostazione predefinita si intende che le attività di trattamento debbano avvenire secondo modalità favorevoli per l’interessato.

Privacy by Design e by Default: qual è la differenza?

Ne consegue che Privacy by Design e Privacy by Default non sono la stessa cosa, seppure parti integranti di un medesimo insieme. 

La Privacy by Design, stabilisce che la protezione dei dati debba avvenire fin dalla progettazione di un prodotto/servizio/processo conformemente alle tutele (in questione) imposte dal GDPR, mentre la Privacy by Default allude, come detto, alla necessità di tutelare la vita privata dei cittadini di Default, ovvero come impostazione predefinita.

Privacy by Design e by Default: alcuni esempi

Vediamo ora qualche concreto esempio di come attuare tali principi, attraverso l’attivazione di misure di sicurezza a tutela dei dati personali.

Privacy by Design: esempi

Un esempio di Privacy by Design potrebbe essere lo sviluppo di un software che tratti dati particolari (art. 9) occorrerà – a titolo di esempio non esaustivo – prevedere:

  1. processi di autenticazione sicura (inclusivi di doppio fattore di autenticazione, barriere verso possibili attacchi informatici, visualizzazioni degli ultimi accessi effettuati dall’utente medesimo, ecc.);
  2. limitazione alla raccolta dei dati (personali) strettamente necessari all’attività di trattamento sulla base delle finalità e basi giuridiche identificate;
  3. cifratura del data base;
  4. utilizzo di tecniche di pseudonimizzazione o anonimizzazione (più o meno sofisticate);
  5. introduzione di moduli software in grado di facilitare l’esercizio dei diritti degli interessati (diritto alla rettifica, alla cancellazione/oblio, come da artt. 15-22);
  6. log relativi alla tracciatura di tutte le attività effettuate dagli utenti (non solo degli Amministratori di Sistema, ma anche dei semplici utilizzatori/utenti/interessati);
  7. protocolli di connessione e trasmissione dati sicuri;
  8. creazione di ambienti di sviluppo sicuri;
  9. esecuzione continuativa di vulnerability assessment;
  10. piattaforme hardware/cloud utilizzate per ospitare il software, sicure;
  11. protezione perimetrale e sui server ospitanti i software da attacchi e malware;
  12. procedure operative relative ai processi di backup e disaster recovery, inclusive di tutele rispetto ai già citati diritti (e libertà fondamentali) degli interessati.

Privacy by Default: esempi

Più semplice è il concetto del by Default.

Quale esempio pensiamo ad una App per la rilevazione dei dati pertinenti all’attività sportiva (running), la quale dovrà – a titolo di esempio non esaustivo – alla prima esecuzione:

  1. prevedere un’autenticazione adeguata alla natura dei dati trattati evitando autorizzazioni incrociate (come con Facebook, Instagram, ecc.);
  2. prevedere una richiesta di autorizzazione all’accesso delle risorse del device adoperato limitatamente alla necessità di raccolta dati (come l’accesso alla memoria, alla geo localizzazione, ecc.) con la negazione del consenso preimpostata;
  3. adeguate informative relative al trattamento dei dati.

L’importanza di una policy interna

In questo contesto, risulta essenziale che l’Organizzazione trasmetta a tutti i dipendenti/collaboratori elementi guida per l’applicazione ed attuazione dei suddetti principi.

Per farlo, l’approccio più semplice riteniamo che sia quello di definire una policy, la quale illustri i concetti generale alla luce delle aspettative che l’Organizzazione si pone di fronte a questi temi.

Altrettanto essenziale, quanto meno per le figure coinvolte nei progetti (“…Design”), è un percorso formativo (che preveda anche un affiancamento nelle attività) e che consenta di raggiungere un adeguato livello di comprensione sul tema.

Ancora, fondamentale è l’attivazione di un processo di valutazione dei rischi per i nuovi progetti, ed una gap-analisys tale da delineare le necessità di adeguamento dei prodotti/servizi/processi.

In tale ambito, la nostra offerta di consulenza garantisce una copertura totale altamente specializzata e qualitativa.

Uno sguardo alle più autorevoli fonti

Vediamo ora alcune autorevoli fonti.

Anzitutto, le Linee guida sulla Data Protection by Design e by Default dell’EDPB (European Data Protection Board).

In secondo luogo, l’ENISA (Agenzia Europea per la sicurezza delle reti e dell’informazione) che ha emesso una serie di documentazione di linee guida indicanti utili raccomandazioni sul tema, qui disponibili.

Infine, anche l’AgID che, in un ambito più ristretto in relazione allo sviluppo software per la Pubblica Amministrazione, ha emanato diverse linee guida, ivi disponibili.

Prospettive future

Il tema della Privacy by Design e by Default ancora troppo spesso disatteso, si rende sempre più essenziale in ragione delle necessità di sicurezza richiesta da tutte le Organizzazioni (PA, Large Account, PMI).

Tali esigenze ormai superano di gran lunga le prescrizioni imposte dal GDPR, abbracciando il più ampio tema della Sicurezza delle Informazioni e della Cybersecurity (Security by Design, e Cybersecurity by Design), e coinvolgendo non solo la protezione dei dati personali ma più in generale di tutte le informazioni.

In ottica di accountability, per accrescere non di meno la fiducia degli interessati, occorre che i medesimi possano concretamente comprendere i meccanismi impiegati dalle nuove tecnologie, così da essere posti nella condizione di poter scegliere liberamente se farne uso o meno.

Il tutto si traduce anche in termini di trasparenza verso quei meccanismi/algoritmi sempre più spesso oggigiorno utilizzati dalle tecnologie innovative, circa l’uso dell’AI (intelligenza artificiale).

Pensiamo ad esempio agli assistenti vocali o agli oggetti tecnologici “intelligenti” onnipresenti nei nostri dispositivi ed altresì nelle nostre case: conoscere come questi strumenti funzionano e come gli stessi utilizzano i nostri dati è di primaria importanza.

Anche il linguaggio di comunicazione utilizzato per trasmettere agli utenti/interessati informazioni relativi alle attività di trattamento che vengono svolte sui loro dati (personali) deve conseguentemente subire una evoluzione che consenta la piena comprensione a chiunque vi abbia interesse di questi temi perlopiù assai complessi

Ecco che l’uso di icone ed info grafiche diventa essenziale per una efficace ed innovativa comunicazione, in grado di attrarre l’utente rendendolo consapevole. 

I minori, ad esempio, non parlano lo stesso linguaggio degli adulti, e pertanto i servizi che si rivolgono ad un pubblico di giovanissimi utenti dovrebbero predisporre informative per loro facilmente comprensibili.

A conclusione di questo percorso evolutivo rispetto ai temi trattati, non possiamo non citare la necessità di un cambio radicale nella formazione della generazione del futuro, impartendo loro una vera e propria “educazione/cultura digitale” che accresca il patrimonio sociale della consapevolezza sull’uso delle tecnologie.

Torna in alto