ius and bit

La Dr. Ann Cavoukian, Information & Privacy Commissioner dell’Ontario (Canada), nota al mondo per aver proposto, dapprima nel 1995 con il Garante olandese le PET (Privacy Enhancing Technologies) e successivamente i concetti di Privacy by Design, mi ha riconosciuto “Individual Privacy by Design Ambassador“.

Con tale riconoscimento sono aggiunto al gruppo – al momento sono meno di 30 persone al mondo –  composto da professionisti di altissimo rilievo e pregio internazionale.

Reputo positivamente questo riconoscimento e mi auguro di poter fare del mio meglio.

Peraltro, proprio durante la recente 32^ Conferenza mondiale dei Garanti, è stata adottata la risoluzione sulla Privacy by Design (116) proposta dalla predetta Commissioner.

La Privacy by Design si fonda su 7 principi e propone un approccio di lettura dei concetti della privacy assolutamente innovativi e futuristici. Il nostro codice privacy all’art. 3 contiene un riferimento all’utilizzo delle tecnologie, tanto che non sembra difficile coniugarlo con le PETs. La PbD (Privacy by Design) costituisce, in maniera molto sintetica, un’evoluzione delle PET. Si tratta di incorporare (embedded) il concetto di privacy all’interno dei processi tecnologici e strutturali che sono connessi con il trattamento dei dati personali.

A mio modesto parere la PbD può essere considerata, per il suo carattere evolutivo, una sorta di ulteriore passaggio in avanti in ambito privacy e quindi – per restare nell’ambito del linguaggio della rete Internet – potrebbe parlarsi di privacy 2.0. La caratteristica è quella di considerare come fondamentale il ruolo del soggetto la cui riservatezza va considerata prima di qualsiasi altra cosa e tutelata.

Alla 32^ Conferenza mondiale dei Garanti Privacy che si è tenuta a Gerusalemme dal 27 al 29 ottobre scorso è stata approvata la risoluzione proposta dalla Commissioner dell’Ontario (Canada) – Dr. Ann Cavoukian – in materia di Privacy by Design. Detta risoluzione d’iniziativa della Dr. Ann Cavoukian è stata supportata dalle Autorità Privacy del Canada, della Germania, della Repubblica Ceca, dell’Estonia e della Nuova Zelanda.

L’adozione di questa risoluzione è stata definita una pietra miliare per l’importanza dei principi della Privacy by Design. Il punto di maggior rilievo della risoluzione è il seguente [la traduzione non è ufficiale]:

La 32ma Conferenza:

1. Riconosce la Privacy by Design come componente essenziale della fondamentale tutela della privacy;
2. Incoraggia l’adozione dei principi fondamentali della Privacy by Design, come quelli esposti di seguito, come guida per stabilire la privacy come modalità predefinita nei processi di un’organizzazione;
3. Invita i Garanti e i Commissioner per la tutela e Privacy a:
   1. promuovere Privacy by Design, il più possibile attraverso la distribuzione di materiali, per il supporto e l’istruzione personale;
   2. favorire l’integrazione dei principi fondamentali della Privacy by Design nella formulazione della regole privacy e della legislazione sulla privacy nelle rispettive giurisdizioni;
   3. incoraggiare la ricerca in modo proattivo sulla Privacy by Design;
   4. considerare di aggiungere la Privacy by Design alle agende degli eventi che si svolgono all’International Data Privacy Day (28 gennaio);
   5. riferire alla 33° International Data Protection and Privacy Commissioners Conference, se del caso, sulle attività ed iniziative della Privacy intraprese nell’ambito della loro giurisdizione, al fine di condividere le migliori pratiche.

La Dr. Cavoukian si occupa sin dagli anni ’90 della Privacy by Design che si fonda su 7 principi che fondamentalmente consistono nel considerare la centralità della privacy, anche nel rapporto con le nuove tecnologie e con l’ICT, come elemento che va incorporato (embedded) nei processi e non solo quelli attinenti alle nuove tecnologie. Difatti, i principi della PbD sono assolutamente universali ed adattabili anche ai processi di business e delle infrastrutture di rete. Si tratta, ovviamente di concetti che hanno delle connotazioni innovative e futuristiche rispetto a quelle di cui abitualmente si discute affrontando l’argomento privacy.

La risoluzione adottata costituisce un impulso, una soluzione che deve tenere il passo alla evoluzione dei tempi e delle tecnologie, poiché, diversamente si corre il rischio di restare indietro restando imbrigliati negli attuali assetti sulla privacy che risulteranno certamente obsoleti.

E’ disponibile a questo URL la newsletter del Garante per l protezione dei dati personali n. 342 del 10.9.2010.

Si riporta il preambolo:

NEWSLETTER N. 341 del 10 settembre 2010

• Carte di credito, anagrafe dei Comuni, marketing sotto la lente del Garante

• Nella banca dati sulla pedofilia massima riservatezza per le vittime

• Concorsi online e web radio: no alla profilazione occulta

• Maternità e occupazione: ok a flusso dati Ministero Lavoro-Regione Lombardia

Riporto di seguito l’articolo pubblicato oggi da Diritto e Processo. Si tratta di una parte di un lavoro più ampio in corso di pubblicazione.

Privacy, PETs e PbD 01

Riporto di seguito il comunicato stampa di Federprivacy che ha organizzato il Privacy Day che si terrà ad Arezzo il 12 novembre 2010.

Ringrazio gli organizzatori per il cortese invito; interverrò come relatore per parlare di privacy e furto d’identità.

Testo Comunicato Ufficiale Privacy Day:

C’è già attesa per il Privacy Day in programma per venerdì 12 novembre 2010 al Palazzo Borsa Merci di Arezzo. Nonostante manchino ancora due mesi al più importante appuntamento annuale di Federprivacy, le prenotazioni sono arrivate già buona parte dei posti disponibili, nonostante il programma dell’evento sia stato giusto pubblicato sul sito dell’Associazione. “Siamo riusciti a concentrare in una sola giornata”, spiega il presidente dell’associazione Nicola Bernardi, “tutto ciò che il professionista che lavora quotidianamente a tu per tu con le problematiche privacy si aspetterebbe di trovare ad un congresso incentrato sulla materia privacy e che costituisce in ogni caso un giorno sottratto alle incombenze di lavoro, ovvero, il coinvolgimento degli altri principali enti che si occupano di privacy nel nostro Paese, cioè l’Istituto Italiano Privacy e L’Associazione Nazionale per la Difesa della Privacy, che si sono unite alla stessa Federprivacy per perseguire il comune scopo di provvedere chiarimenti e soluzioni a chi per mestiere deve far fronte alle prescrizioni di legge, ma soprattutto alle accresciute esigenze di tutelare i dati personali e i dati aziendali, che costituiscono spesso il vero patrimonio dell’imprenditore, rappresentanti delle istituzioni preposte a fornire direttive sul rispetto delle normative vigenti in materia di tutela dei dati personali, tra i quali spicca il Vice Garante della Privacy Giuseppe Chiaravalloti , mentre siamo in attesa di avere conferma da Bruxelles per sapere se sarà nostro ospite d’onore anche Giovanni Buttarelli, Garante Europeo aggiunto per la protezione dei dati personali, relatori di estremo rilievo come Nicola Fabiano, Sector Director all’Istituto Italiano per la Privacy, Michele Iaselli, presidente di Andip, Vittorio Lombardi, avvocato e membro del consiglio direttivo di Federprivacy, intrattenimento, perché no, con il noto attore e comico Pippo Franco, che con le sue gag sulla privacy promette di mantenere il buon umore anche quando si trattano argomenti estremamente delicati, tematiche di primario interesse per il partecipante, tra le quali il nuovo provvedimento generale sulla videosorveglianza, l’ e-marketing, i nuovi crimini informatici come il furto d’identità, la privacy nel diritto del lavoro, l’utilizzo dei dati biometrici,ed altro ancora, l’incontro commerciale, dato che avremo la presenza di case editrici di settori professionali, aziende specializzate nel provvedere prodotti e servizi per la tutela dei dati personali, e soprattutto avremo novità per i professionisti della privacy, come Federprivacy ci ha abituato negli ultimi tempi, anche al Privacy Day, saranno annunciate delle news che adesso non riteniamo di dover svelare. Ricordiamo però che un anno fa, Federprivacy , ravvisandone la fondamentale necessità, per chi lavora con i dati personali, svolgendo quindi un’attività pericolosa ai sensi dell’art.2050 del Codice Civile, lanciò con sorpresa ed altrettanto successo la polizza per la responsabilità civile dei consulenti privacy, e quest’anno le sorprese non saranno da meno! Dulcis in fundo, anche i ristoro sarà di classe, dato che avremo l’opportunità di assaporare le pietanze tipiche toscane preparate da un noto chef, ospite abituale di programmi culinari sulle principali emittenti nazionali…”

A proposito di cucina, ecco quindi svelata la ricetta del successo del Privacy Day ancor prima che questo abbia luogo, e che da tutta Italia sta richiamando consulenti aziendali, detective, consulenti del lavoro, amministratori di sistema, responsabili privacy aziendali, commercialisti e periti industriali, consulenti privacy ed informatici, imprenditori dei settori caldi della privacy come finanza e sanità, tutti per essere presenti a questo convegno, che promette di non deludere le aspettative. Un motivo in più per partecipare al Privacy Day, è dato anche dal fatto che i professionisti che ritireranno l’attestato di partecipazione alla fine della giornata, potranno avere il riconoscimento automatico dei crediti formativi, in quanto l’evento è praticamente accreditato da tutti gli albi professionali riconosciuti che afferiscono alle tematiche privacy. Per partecipare al Privacy Day, è sufficiente registrarsi gratuitamente come “utente friend” sul sito www.federprivacy.it ed effettuare la prenotazione dalla pagina del programma dell’evento senza dover pagare alcuna quota di partecipazione, (fatta salva ovviamente la disponibilità dei posti), mentre a coloro che sono interessati a ricevere l’attestato di partecipazione rilasciato da Federprivacy con compartecipazione di tutte le associazioni partners ed enti patrocinanti o accreditanti, è richiesto un contributo.

L’Avv.Vittorio Lombardi, il Dr. Giuseppe Chiaravalloti Vice Garante Privacy, e Nicola Bernardi Presidente di Federprivacy, in un momento di pausa ad un recente congresso.

Navigando su Internet ho trovato la mappa che riporto di seguito che rappresenta lo scenario del furto d’identità (identity theft) nei singoli stati degli USA.

Ovviamente il fenomeno dell’identity theft attraverso la rete Internet nasce negli USA e quindi propagato nel resto del mondo anche se in Italia è punito il reato di sostituzione di persona.

Sembra interessante vedere come sia più accentuato in California, Texas, Florida e New York.

Evidentemente il furto d’identità, al di là di un rilievo puramente penalistico per colui/coloro che commettono il reato, ha anche delle conseguenze (che possono sembrare scontate) in tema di privacy e tutela dei dati personali. La rete Internet ed il fenomeno del social networking hanno accentuato il fenomeno, tuttavia una delle tecniche per il furto d’identità è il “social engineering” (letteralmente ingegneria sociale) che consiste in una tecnica attraverso cui si rilevano, con modalità che a volte sembrano amichevoli, i dati personali della vittima.

Con un comunicato stampa del 12 maggio l’Art. 29 Working Party, che è il gruppo delle Autority europee sulla privacy, ha scritto una lettera a Facebook esprimendo come inaccettabile il comportamento della società che ha cambiato le impostazioni standard a discapito dell’utente.

In realtà questa azione dell’Art. 29 WP è direttamente connessa all’impegno assunto dai social network provider che il 10 febbraio 2009 hanno sottoscritto a Lussemburgo i principi (n. 8) sui social network in Europa. Il WP ha sottolineato la necessità di una impostazione predefinita, in cui l’accesso alle informazioni sul profilo e le informazioni sulle connessioni di un utente sia limitato ai contatti selezionati. Ogni altro accesso, come ad esempio ai motori di ricerca, deve essere – si sottolinea – una scelta espressa dell’utente.

Il Gruppo art. 29 è già intervenuto sui social network con un ampio documento da me pubblicato in due post: uno qui e l’altro qui.

Cosa accadrà ancora sul fronte privacy e social network ?

Il Garante per la protezione dei dati personali con il provvedimento del 21 gennaio 2010 ha espresso “parere favorevole sullo schema di decreto del Ministro per la pubblica amministrazione e l’innovazione recante modalità di assorbimento della tessera sanitaria (TS) nella carta nazionale dei servizi (CNS)”.

Si auspica che la CNS possa diventare un valido ed efficace strumento a favore del cittadino.