ius and bit

Dalla primavera del 2011 in tutti i casinò sarà installato un impianto video di rilevazione biometrica facciale che verrà posizionato di fronte alla porta d’ingresso. Tale impiano consentirà di rilevare i volti di chi accede al casinò ma con garanzia di assoluta riservatezza e, quindi, della tutela dei dati personali. Read the rest of this entry »

La Commissaria Europea Kroes intervenendo all’Université Paris-Dauphine lo scorso 25.11.2010 ha dichiarato quanto sia importante la tematica del cloud computing sottolineando che è più di una semplice sfida tecnica. L’attenzione primaria che viene rivolta a questo nuovo paradigma della rete Internet è costituito dalla tutela dei dati personali e della privacy. Difatti, il rischio che viene spesso paventato è quello che si possa in qualche modo accedere ai dati personali che vengono salvati su server, appunto in clouds, ossia dei quali non si conosce l’effettiva ubicazione.

La Kroes ha sottolineato come il diritto alla protezione dei dati personali sia un diritto fondamentale in Europa.

Di assoluto interesse è stata l’affermazione della Commissioner sul fatto che ci sia necessità di avviare delle ricerche nel campo della evoluzione della privacy e soprattutto di ricercare fondi per approfondire le tematiche della “Privacy by Design” e delle Privacy Enhancing Technologies.

E’ evidente, quindi, come in effetti si possa considerare avviata la svolta in materia di privacy che vedrà concreti cambiamenti nei prossimi 10 anni.

La Kroes ha affermato che ogni utente europeo del cloud computing dovrebbe essere in grado di sapere due cose:

a) che il provider protegge i propri dati personali in modo efficiente, essendo in linea con le norme UE sulla protezione dei dati personali,

b) che tutti i Governi di tutti i paesi in cui si trovano server in cloud devono avere un quadro giuridico che garantisca un’adeguata protezione dei dati e della privacy. Ci possono essere limitate eccezioni per ragioni di ordine pubblico e sicurezza nazionale, ma queste devono essere governate dallo Stato di diritto.

Sulla protezione dei dati personali la Kroes ha dichiarato che è necessario modificare le norme sulla privacy che è diritto fondamentale, rispondendo alle seguenti domande:

• How do we ensure transparency in the processing of personal data? People should be aware of what they are signing up to. They should have the possibility to review their choice in a user-friendly manner at any time.
• Data minimisation: what can be done to ensure that just the right amount of personal data is collected, and nothing more?
• The “right to be forgotten” – how can that work in practice? Here I want to pass my personal thanks to Nathalie Kosciusko-Morizet whose relentless work on this subject has been very valuable. Let me be clear: in my view, the issue is not merely about deleting all data. Just like in real life, when you present yourself on the net, you cannot assume no records exist of your past actions. What matters is that in those cases any data records are made irreversibly anonymous before further use is made of them.
• Data portability. This is all about freedom of choice: the right for you to change your mind and preference about the services you need. Freedom of choice is only possible when a user can easily and freely transfer his or her data to him or herself and then possibly to another service provider.
• Efficient use of the resources invested in data protection is important – both for the supervisory authorities and for the industry complying with it. Unnecessary administrative burdens should be removed where possible.

L’evoluzione tocca anche il settore della privacy rispetto alla tradizionale e primaria configurazione con il riferimento alle PET (acronimo di Privacy Enhancing Technologies) che costituiscono le tecnologie utilizzate per migliorare il diritto alla privacy. Ovviamente tali tecnologie vengono considerate in maniera neutra, ovvero senza alcuna connessione con specifiche fattispecie. Tale espressione fu utilizzata per la prima volta nel report pubblicato nel 1995 dal tiolo “Privacy-enhancing technologies: the path to anonymty”, della Data Protection Authority olandese in collaborazione con il Commissario dell’Ontario (Canada).

Sul piano puramente pratico, il riferimento alle PET era rivolto a qualsiasi risorsa tecnologica che potesse ridurre i rischi di uso illecito dei dati personali. Peraltro, proprio a livello europeo il Seventh Framework Program (FP7), il programma europeo di finanziamenti per la ricerca e lo sviluppo tecnologico per il periodo 2007-2013, ha evidenziato l’importanza di adottare soluzioni tecnologiche per la protezione della privacy. Su questo fronte è chiara la voce del Garante europeo P. Hustinx che ha rilevato, invece, una mancanza di azione su questo fronte anche riguardo all’uso pratico delle PET in settori importanti.

Tuttavia, dalle PET negli anni ’90 il Commissario Privacy dell’Ontario ha iniziato a parlare di un nuovo concetto denominato “Privacy by Design” che costituisce, in estrema sintesi, l’evoluzione delle PET senza abolirle, tant’è che si parla di PET Plus. In realtà, il profilo più delicato sul piano della riservatezza è costituito proprio dall’intero sistema IT e dalle comunicazioni mediante Internet. Privacy by Design si riferisce alla filosofia e all’approccio di considerare la privacy nelle specifiche di progettazione delle varie tecnologie.

In buona sostanza il concetto di Privacy by Design trova spazio nella trilogia di applicazioni: 1) IT systems; 2) accountable business practices; and 3) physical design and infrastructure”. In sostanza:

1)    Tecnologia dell’informazione;

2)    Pratiche commerciali responsabili;

3)    Progettazione delle strutture.

In particolare, con riferimento alla tecnologia dell’informazione si afferma, come già evidenziato, che la tecnologia non può costituire una minaccia per la privacy, ma un ausilio per la riduzione dei rischi. Per le pratiche commerciali responsabili, viene evidenziato come la privacy non va interpretata come un onere, un costo che appesantisce l’attività imprenditoriale ma, al contrario, come un vantaggio per una migliore competitività. Infine, l’elemento della progettazione delle strutture assume rilevanza – secondo il Commissario dell’Ontario – poiché molto spesso siamo costretti a vedere esposti i dati personali in aree pubbliche mal progettate come, ad esempio, le sale d’attesa degli ospedali o degli uffici, ove è possibile che vengano – illecitamente – divulgate le informazioni personali.

Fermo il contesto rappresentato dai tre punti precedenti, la Privacy by Design si fonda su sette principi:

1. Proactive not Reactive; Preventative not Remedial: l’approccio alla PbD è di tipo proattivo piuttosto che reattivo; l’obiettivo è quello di anticipare gli eventi e non attendere che essi si verifichino per proporre rimedi alle soluzioni.
2. Privacy as the Default: questo principio consiste nella salvaguardia del soggetto poiché il bene “privacy” va considerato a priori; in sostanza, nessuna azione è richiesta all’interessato per proteggere la propria privacy, perché i dati personali vengono protetti automaticamente in ogni sistema IT o commerciale, anche se il soggetto non fa nulla.
3. Privacy embedded into Design: la PbD è incorporata nell’architettura dei sistema e delle pratiche commerciali e non costituisce un quid pluris, un elemento da apporre successivamente: si tratta di una componente essenziale del sistema che non incide sulla sua funzionalità.
4. Full Functionality – Positive-Sum, not Zero-Sum: la PbD mira a conciliare tutti gli interessi legittimi e gli obiettivi in una somma positiva del tipo “win-win” dove sono inutili i compromessi e non attraverso un approccio datato del tipo “zero-sum”; in sostanza in un contesto tradizionale, un soggetto vince ed uno perde, mentre nella PbD tutte le parti devono risultare vincenti. Inoltre, “Privacy by Design avoids the pretense of false dichotomies, such as privacy vs. security, demonstrating that it is possible to have both”.
5. End-to-End Lifecycle Protection: incorporati i dati all’inizio non c’è rischio sino alla fine del processo di trattamento dei dati, con la sicurezza che, all’esito, tutti i dati saranno distrutti tempestivamente in modo sicuro. Così, la PbD assicura dalla culla alla tomba la gestione dell’intero ciclo vitale delle informazioni, “end-to-end”.
6. Visibility and Transparency: PbD garantisce che tutti i soggetti interessati, indipendentemente dalla prassi aziendale o dalla tecnologia, potranno in qualsiasi momento effettuare le verifiche più opportune in assoluta trasparenza.
7. Respect of user privacy: al di là di tutto, la PbD richiede agli operatori che gli interessi dei soggetti siano preminenti e quindi offrendo misure come una forte privacy di default, informazioni appropriate e potenziando opzioni di facile utilizzo; il tutto con un approccio user-centric.

Come si può notare si tratta di una vera e propria rivoluzione della privacy che non concerne soltanto le misure tecniche per assicurare adeguata sicurezza ai dati personali, ma una serie di concetti innovativi che prescindono dall’assolutizzare la protezione dei dati personali per giungere alla considerazione che la sicurezza delle informazioni è insita nel concetto stesso di privacy.

Ad avviso di chi scrive ciò rappresenta l’evoluzione ulteriore del concetto già affermato con le PETs (Privacy Enhancing Technologies), che può determinare l’ambito operativo e di azione della privacy 3.0. In effetti, sebbene si tratti di questioni che contengono profili futuristici, il processo evolutivo è già in atto da tempo e si attesta in questi tempi con la presa di coscienza della necessità di un approccio nuovo alle questioni attinenti i dati personali.

Non si tratta soltanto di una questione nominale o teorica, poiché numerosi sono i riflessi pratici della Privacy by Design.

La Dr. Ann Cavoukian, Information & Privacy Commissioner dell’Ontario (Canada), nota al mondo per aver proposto, dapprima nel 1995 con il Garante olandese le PET (Privacy Enhancing Technologies) e successivamente i concetti di Privacy by Design, mi ha riconosciuto “Individual Privacy by Design Ambassador“.

Con tale riconoscimento sono aggiunto al gruppo – al momento sono meno di 30 persone al mondo –  composto da professionisti di altissimo rilievo e pregio internazionale.

Reputo positivamente questo riconoscimento e mi auguro di poter fare del mio meglio.

Peraltro, proprio durante la recente 32^ Conferenza mondiale dei Garanti, è stata adottata la risoluzione sulla Privacy by Design (216) proposta dalla predetta Commissioner.

La Privacy by Design si fonda su 7 principi e propone un approccio di lettura dei concetti della privacy assolutamente innovativi e futuristici. Il nostro codice privacy all’art. 3 contiene un riferimento all’utilizzo delle tecnologie, tanto che non sembra difficile coniugarlo con le PETs. La PbD (Privacy by Design) costituisce, in maniera molto sintetica, un’evoluzione delle PET. Si tratta di incorporare (embedded) il concetto di privacy all’interno dei processi tecnologici e strutturali che sono connessi con il trattamento dei dati personali.

A mio modesto parere la PbD può essere considerata, per il suo carattere evolutivo, una sorta di ulteriore passaggio in avanti in ambito privacy e quindi – per restare nell’ambito del linguaggio della rete Internet – potrebbe parlarsi di privacy 2.0. La caratteristica è quella di considerare come fondamentale il ruolo del soggetto la cui riservatezza va considerata prima di qualsiasi altra cosa e tutelata.

Alla 32^ Conferenza mondiale dei Garanti Privacy che si è tenuta a Gerusalemme dal 27 al 29 ottobre scorso è stata approvata la risoluzione proposta dalla Commissioner dell’Ontario (Canada) – Dr. Ann Cavoukian – in materia di Privacy by Design. Detta risoluzione d’iniziativa della Dr. Ann Cavoukian è stata supportata dalle Autorità Privacy del Canada, della Germania, della Repubblica Ceca, dell’Estonia e della Nuova Zelanda.

L’adozione di questa risoluzione è stata definita una pietra miliare per l’importanza dei principi della Privacy by Design. Il punto di maggior rilievo della risoluzione è il seguente [la traduzione non è ufficiale]:

La 32ma Conferenza:

1. Riconosce la Privacy by Design come componente essenziale della fondamentale tutela della privacy;
2. Incoraggia l’adozione dei principi fondamentali della Privacy by Design, come quelli esposti di seguito, come guida per stabilire la privacy come modalità predefinita nei processi di un’organizzazione;
3. Invita i Garanti e i Commissioner per la tutela e Privacy a:
   1. promuovere Privacy by Design, il più possibile attraverso la distribuzione di materiali, per il supporto e l’istruzione personale;
   2. favorire l’integrazione dei principi fondamentali della Privacy by Design nella formulazione della regole privacy e della legislazione sulla privacy nelle rispettive giurisdizioni;
   3. incoraggiare la ricerca in modo proattivo sulla Privacy by Design;
   4. considerare di aggiungere la Privacy by Design alle agende degli eventi che si svolgono all’International Data Privacy Day (28 gennaio);
   5. riferire alla 33° International Data Protection and Privacy Commissioners Conference, se del caso, sulle attività ed iniziative della Privacy intraprese nell’ambito della loro giurisdizione, al fine di condividere le migliori pratiche.

La Dr. Cavoukian si occupa sin dagli anni ’90 della Privacy by Design che si fonda su 7 principi che fondamentalmente consistono nel considerare la centralità della privacy, anche nel rapporto con le nuove tecnologie e con l’ICT, come elemento che va incorporato (embedded) nei processi e non solo quelli attinenti alle nuove tecnologie. Difatti, i principi della PbD sono assolutamente universali ed adattabili anche ai processi di business e delle infrastrutture di rete. Si tratta, ovviamente di concetti che hanno delle connotazioni innovative e futuristiche rispetto a quelle di cui abitualmente si discute affrontando l’argomento privacy.

La risoluzione adottata costituisce un impulso, una soluzione che deve tenere il passo alla evoluzione dei tempi e delle tecnologie, poiché, diversamente si corre il rischio di restare indietro restando imbrigliati negli attuali assetti sulla privacy che risulteranno certamente obsoleti.

Riporto di seguito l’articolo pubblicato oggi da Diritto e Processo. Si tratta di una parte di un lavoro più ampio in corso di pubblicazione.

Privacy, PETs e PbD 01