Data protection engineering

Quali regole di base per applicare i principi di privacy by design e by default

Il contesto attuale di forte evoluzione tecnologica fa emergere nuove sfide e maggiori rischi in ambito data protection: in questo senso, la data protection engineering (ingegnerizzazione della protezione dei dati personali) consente di dare attuazione pratica ai principi di privacy by design e by default. Ecco perché e in che modo

17 Feb 2022
B
Pietro Boccaccini

Avvocato, Director Deloitte Legal

T
Camilla Torresan

Associate Deloitte Legal

V
Federico Vota

Senior Associate Deloitte Legal

Affinché vengano rispettati i diritti e le libertà degli interessati nell’ambito delle attività di trattamento di dati personali di ciascun titolare – nel rispetto di quanto previsto dal Regolamento UE 679/2016 (GDPR) – è necessario che vengano adottate misure tecniche e organizzative adeguate: in questo senso si parla di Data Protection Engineering.

Per dimostrare la conformità al GDPR, il titolare deve adottare politiche interne e attuare misure che soddisfino, tra altri principi, anche quelli fondamentali di protezione dei dati fin dalla progettazione (privacy by design) e per impostazione predefinita (privacy by default) che potrebbero concretizzarsi, tra l’altro, anche nel minimizzare il trattamento dei dati, nello pseudonimizzare i dati o nell’offrire soluzioni improntate alla trasparenza e alla sicurezza.

I principi collegati alla protezione dei dati personali dovrebbero essere considerati da ogni azienda in fase di sviluppo, progettazione, selezione e utilizzo di applicazioni, servizi e prodotti e, più in generale, nell’ambito di tutte le proprie attività di trattamento.

L’articolo 25 del GDPR, relativo ai citati principi di privacy by design e by default, ha una portata assai ampia ma fornisce limitate indicazioni sotto il profilo operativo ai titolari del trattamento che devono implementare misure tecniche e organizzative per mitigare i rischi esistenti nel contesto di riferimento (cd. risk based approach).

Un ulteriore articolo del GDPR, il 32, fornisce alcuni esempi di misure che titolari e responsabili del trattamento possono considerare per rendere sicuri i propri trattamenti: tuttavia, ogni azione deve essere adottata tenendo conto, in concreto, dei rischi collegati ai trattamenti (come la distruzione, la perdita, la modifica, la rivelazione o l’accesso non autorizzati ai dati), così come anche del tipo di dati da proteggere e della natura del trattamento, del suo oggetto, delle sue finalità ed anche dello stato dell’arte e dei costi di attuazione delle misure stesse.

Il concetto di Data Protection Engineering si inserisce nel più generale principio di privacy by design e by default ed è anch’esso centrato sulla configurazione e adozione di misure tecniche e organizzative volte a effettuare attività di trattamento nel rispetto dei diritti e delle libertà degli interessati.

Come è stato evidenziato nel report pubblicato da ENISA (European Agency for Cybersecurity) a gennaio 2022[1] (“Report ENISA”) occorre che le Autorità Privacy (a livello nazionale ed europeo) promuovano best practices rispetto a soluzioni e tecniche da adottare per dare concretezza ai principi sopra accennati, incoraggiando tra l’altro l’adozione di certificazioni ex art. 42 del GDPR.

Anche la comunità scientifica e i professionisti del settore possono contribuire allo sviluppo del dialogo intorno alle pratiche in questione, affinché agli astratti e alti principi sanciti dalle norme vengano associati, da parte delle aziende che tali principi devono rispettare, requisiti tangibili applicabili a tutto il ciclo di trattamento del dato personale, in un contesto tecnologico in rapidissima evoluzione, che offre enormi opportunità ma che rende il controllo sul dato sempre più complesso.

Di seguito si esamineranno alcune delle misure che possono dare concreta attuazione ai principi previsti dal GDPR in materia di protezione dei dati personali, anche alla luce del recente Report ENISA e di ulteriori indicazioni delle Autorità.

Data Protection Engineering, come si fa il GDPR in pratica secondo Enisa

Il principio di privacy by design

In generale, la Data Protection Engineering viene considerata come parte della protezione dei dati by design e by default, ossia le metodologie e gli strumenti necessari al fine di soddisfare, operativamente, i principi di protezione dei dati stabiliti dal GDPR.

WHITEPAPER
Certificazioni GDPR: tutti i vantaggi per le organizzazioni che vi aderiscono
Legal
Privacy

In particolare, tale branca dell’ingegneria contribuisce alla selezione e all’implementazione delle misure tecniche e organizzative che i titolari devono eseguire attraverso una valutazione dei rischi.

L’ingegnerizzazione della data protection ha l’obiettivo di concretizzare e applicare ai sistemi, ai prodotti e ai servizi utilizzati per il trattamento dei dati personali il principio della privacy by design. Il processo si compone di una prima fase di definizione dei requisiti privacy richiesti per il caso concreto, una seconda fase di progettazione e implementazione di tali requisiti e una terza fase centrata sulla loro verifica e validazione.

Il titolare del trattamento che intende implementare la privacy by design deve utilizzare un approccio proattivo nell’identificazione delle esigenze di protezione dei dati a partire dalla fase di progettazione[2]. Tale impostazione deve essere mantenuta per tutta la durata del trattamento in modo tale che, qualora avvenissero eventuali cambiamenti, il titolare potrebbe rivalutare le proprie attività di trattamento attraverso revisioni e valutazioni periodiche sull’efficacia delle misure e delle garanzie scelte, mantenendo le misure tecniche e organizzative più appropriate.

In base ai fondamentali principi di accountability e di minimizzazione dei dati, il titolare deve porre in essere le adeguate misure tecniche e organizzative per ogni trattamento, al fine di svolgere tutte le attività proteggendo i diritti e le libertà degli interessati e dimostrando l’efficacia delle misure attuate. Il titolare deve altresì trattare solo i dati di cui ha realmente bisogno per raggiungere le finalità del trattamento prefissate e tale decisione deve essere presa sin dalla progettazione delle misure implementate.

Le Linee Guida 4/2019 dello European Data Protection Board (EDPB) sulla protezione dei dati by design e by default[3] chiariscono, tra l’altro, le modalità di attuazione dei principi di protezione dei dati di cui all’articolo 5 del GDPR, fornendo raccomandazioni pratiche. L’EDPB in tale documento ha chiarito che l’integrazione di misure tecniche e organizzative (tra cui anche la Data Protection Impact Assessment, la pseudonimizzazione e la crittografia) nelle attività di trattamento dei dati da parte dei titolari è necessaria per una corretta applicazione dei principi di protezione dei dati e al fine di evitare sanzioni da parte delle Autorità di controllo.

Privacy by default: la protezione dati per impostazione predefinita

La Privacy by Default si concretizza nella protezione dei dati per impostazione predefinita e nel trattamento dei dati personali solo nella misura necessaria e sufficiente per le finalità previste e per il periodo strettamente necessario al raggiungimento di tali finalità. Si tratta quindi di un principio strettamente connesso ai fondamentali principi di minimizzazione dei dati (i.e. i dati devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati) e di limitazione della finalità (i.e. i dati devono essere raccolti per finalità determinate, esplicite e legittime). Anche il principio di trasparenza è collegato, nella misura in cui nell’informativa che il titolare deve rendere obbligatoriamente agli interessati occorre indicare, tra l’altro, anche quali sono le specifiche finalità del trattamento e qual è il tempo di conservazione dei dati.

A livello pratico, come evidenziato anche dall’ICO (Information Commissioner’s Office, l’Autorità di controllo inglese), nelle sue linee guida in materia, il titolare del trattamento, nel valutare le circostanze del trattamento e i rischi collegati, deve considerare anche elementi quali:

  1. l’adozione di un approccio “privacy first” nello sviluppo di sistemi, applicazioni ecc.;
  2. evitare il trattamento di dati “ulteriori”, a meno che sia l’interessato a decidere che ciò possa avvenire;
  3. assicurarsi che i dati trattati non vengano resi accessibili a un numero indefinito di persone;
  4. fornire agli interessati opzioni sufficienti per l’esercizio dei loro diritti.

Soggetti tenuti all’adozione di misure di privacy by design e by default

Il titolare, in base al principio di accountability, agisce in prima persona mediante l’organizzazione e la predisposizione delle misure di sicurezza che intende applicare per ogni tipologia di trattamento di dati a seguito dell’analisi del rischio svolta, assumendo anche la responsabilità di dimostrare la conformità al GDPR dei trattamenti posti in essere.

A tal proposito, il Considerando 78 del GDPR individua chiaramente il titolare del trattamento come il soggetto preposto alle suddette attività. Ugualmente, nelle Linee Guida 4/2019, l’EDBP stabilisce che il titolare del trattamento deve essere in grado di dimostrare il rispetto del principio in questione tramite, ad esempio, la prova che la misura implementata per un determinato trattamento di dati sia appropriata per garantire il principio della limitazione della conservazione dei dati.

Pertanto, volta per volta e sulla base dei requisiti necessari per le diverse aree di trattamento, il titolare deve assicurarsi di applicare le regole previste dalle disposizioni in materia di protezione dei dati, ad esempio tramite l’accertamento che le funzioni più tecniche dell’azienda (sviluppatori di applicazioni o software) siano consapevoli e tengano conto dei requisiti di protezione dei dati e collaborino con il titolare al fine di rispettare gli obblighi previsti in materia.

Sebbene l’articolo 25 del GDPR menzioni esclusivamente il titolare del trattamento come soggetto preposto all’implementazione delle suddette misure di sicurezza, gli articoli 28 e 32 GDPR coinvolgono chiaramente anche il responsabile del trattamento nell’attività di implementazione delle misure tecniche ed organizzative tenendo conto, tra vari fattori, anche dello stato dell’arte, dei costi di attuazione e delle finalità del trattamento. Inoltre, al fine di dimostrare tali implementazioni, agli articoli 40 e seguenti del GDPR sono previsti l’adesione a codici di condotta e a schemi di certificazione.

Privacy Enhancing Technologies

Oltre all’individuazione di strategie e alla predisposizione di misure tecniche ed organizzative per le attività di trattamento svolte dal titolare secondo il principio di Privacy by Design, è anche possibile implementare diverse soluzioni tecnologiche al fine di diminuire eventuali rischi e velocizzare il raggiungimento degli obiettivi.

Le PETs (Privacy Enhancing Technologies) sono un insieme di soluzioni tecnologiche sviluppate per rafforzare o migliorare la protezione della privacy quali, ad esempio, i dispositivi per bloccare i cookies nei siti web, i sistemi di crittografia, i software che ripristinano automaticamente l’anonimato dopo un certo periodo di tempo, nonché lo standard P3P (Platform for Privacy Preferences)[4].

Nelle proprie Linee Guida per la posta elettronica e internet[5], il Garante per la protezione dei dati personali menziona le PETs tra le misure tecnologiche che il datore di lavoro, quale titolare del trattamento, deve implementare per la minimizzazione dell’uso dei dati.

In particolare, il Garante distingue tra le misure da applicare per la navigazione in Internet e quelle per la posta elettronica. Tra le prime, vengono indicate la configurazione di sistemi e l’utilizzo di filtri che non consentono di svolgere specifiche operazioni da parte dei lavoratori (come l’accesso a determinati siti web) o il trattamento di dati in forma anonima. Per quanto concerne la posta elettronica, invece, si prevede la possibilità per il datore di lavoro di applicare misure tecnologiche (come la crittografia) per tutelare la riservatezza della corrispondenza nell’ambiente lavorativo.

Anche le applicazioni di messaggistica istantanea sicura (secure messaging apps), che consentono di impedire a terzi non autorizzati di accedere al contenuto delle comunicazioni, rientrano nella definizione di PETs, in quanto si fondano sull’uso di protocolli e algoritmi crittografici, come la crittografia end-to-end e la crittografia client-server. In particolare, la prima assicura agli utenti che comunicano tra loro di essere gli unici ad avere accesso al contenuto delle comunicazioni, la seconda, invece, rende sicuro il trasferimento dei dati tra il dispositivo degli utenti e ogni altro server remoto[6].

Tra le Privacy-Enhancing Technologies si può annoverare anche la cd. privacy differenziale (Differentially Privacy), ossia un set di sistemi e procedure che consentono di preservare la sicurezza e la riservatezza dei dati personali in virtù della casualità aggiunta a quest’ultimi.

Privacy tech: le regole per investire nelle tecnologie dedicate alla protezione dei dati personali

L’applicazione del principio di anonimizzazione

Le misure che il titolare può porre in essere per implementare i principi di protezione dei dati includono anche anonimizzazione e pseudonimizzazione. La pseudonimizzazione viene definita nel GDPR come tecnica utile alla protezione dei dati e alla sicurezza del trattamento. Come sottolineato dal WP29[7] e secondo il Considerando 26 del GDPR, i dati anonimi invece sono quelle “informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’interessato”. I principi di protezione dei dati previsti dal GDPR non si applicano ai dati anonimi mentre si applicano ai dati pseudonimizzati.

Sebbene l’anonimizzazione offra notevoli benefici al titolare del trattamento (come l’utilizzo dei dati anonimizzati per ricerche e analisi statistiche senza dover osservare obblighi di protezione dei dati), vi sono molteplici rischi, tra cui la possibilità di re-identificare l’interessato.

Recentemente l’ICO, da un lato, e l’AEPD (l’Autorità di controllo spagnola) con lo EDPS (European Data Protection Supervisor), dall’altro, hanno rilasciato due documenti denominati, rispettivamente, “Anonymisation, pseudonymisation and privacy enhancing technologies guidance” e “10 misunderstanding related to anonymisation[8].

In questi lavori si rileva come una anonimizzazione “assoluta” non sempre sia praticabile. Tuttavia, l’ipotesi di re-identificazione di un dataset non rende la tecnica di anonimizzazione del tutto inefficace e inutile. Pertanto, il titolare del trattamento deve riuscire a mitigare il rischio della re-identificazione in modo tale che l’ipotesi dell’evento risulti tutt’al più remota.

Secondo ENISA, prima di eseguire una procedura di anonimizzazione il titolare del trattamento deve svolgere un’analisi rischio-beneficio. Tale analisi risulta necessaria in quanto consente al titolare del trattamento di determinare la tipologia di modello, di algoritmo e dei parametri da utilizzare per ciascun caso.

Si è già scritto in questa rivista delle potenzialità e dei rischi collegati all’anonimizzazione e alla pseudonimizzazione.

Anonimizzazione e pseudonimizzazione: potenzialità, rischi e punti di attenzione

La crittografia come misura di sicurezza

Tra le misure di sicurezza di cui all’articolo 32 del GDPR che il titolare può porre in essere vi è la crittografia, una tecnica che può contribuire a garantire un livello di sicurezza adeguato al rischio che deriva dal trattamento. La funzione principale della crittografia, relativamente ai principi di protezione dei dati personali, è tendere a garantire l’integrità e la confidenzialità del dato.

La crittografia è un’operazione reversibile – rappresenta, infatti, una tecnica di pseudonimizzazione – che prevede che il dato originale venga trasformato attraverso l’utilizzo di algoritmi. La prima distinzione da farsi quando si parla di crittografia è quella tra crittografia simmetrica e asimmetrica.

La crittografia simmetrica, più semplice, contempla l’utilizzo di una sola chiave da tenere segreta: la cifratura e la decifratura delle informazioni richiederanno la conoscenza della stessa chiave.

Invece la crittografia asimmetrica, più complessa, prevede che vi siano due chiavi di cifratura. L’esistenza di una coppia di chiavi, una privata e una pubblica, consente di superare il limite e il rischio della crittografia simmetrica, che consiste nella comunicazione della chiave segreta da utilizzare per decifrare i dati[9].

Un genere più complesso di crittografia è la cosiddetta crittografia omomorfica, che permette di eseguire calcoli su dati cifrati senza doverli decifrare. Una situazione in cui può risultare efficace l’utilizzo di tale tecnica in ottica di protezione dei dati personali è l’esternalizzazione di un servizio ad un fornitore terzo, ad esempio un fornitore di servizi cloud i cui server sono situati in paesi extra SEE (Spazio Economico Europeo), evitando di trasmettere dati personali in chiaro.

Conformemente a quanto riportato dall’EDPB nella Raccomandazione 1/2020, la crittografia omomorfica può essere ricompresa tra le misure supplementari da adottare a garanzia del trasferimento. Esistono due tipi di crittografia omomorfica: parzialmente e completamente omomorfica, a seconda del numero di operazioni che possono essere effettuate sul testo cifrato. Ai fini della scelta relativa all’applicazione dell’una o dell’altra tecnica da parte del titolare, sarà necessario svolgere un’operazione di bilanciamento tra una serie di fattori, tra cui il livello di protezione desiderato in combinazione con la complessità dei calcoli da eseguire sui dati crittografati e i costi per l’implementazione della tecnologia.

Infine, la crittografia è uno strumento fondamentale per proteggere i dati, tuttavia è importante ricordare che diventa inutilizzabile se il dispositivo che viene usato per memorizzare, cifrare o decifrare i dati è compromesso. In questo caso, chiunque può ottenere accesso ai dati in chiaro.

Un Ambiente di Esecuzione Affidabile o TEE (Trusted Execution Environment), ove correttamente implementato dal dipartimento IT del titolare del trattamento, può giocare un ruolo chiave nella protezione dei dati personali aziendali, prevenendo accessi non autorizzati, incidenti di sicurezza e data breach. Tale sistema, funzionando parallelamente al sistema operativo e sfruttando sia l’hardware che il software, è destinato ad essere più sicuro dell’ambiente di elaborazione tradizionale. Ad oggi i TEE sono ampiamente utilizzati in molti dispositivi mobili, quali smartphone, tablet e dispositivi IoT e sono fondamentali anche per proteggere i server.

Dati sintetici: quali soluzioni

Le soluzioni di sintetizzazione dati si basano su modelli di machine learning di tipo generativo e rappresentano un nuovo modo di gestire i dati personali. In particolare, l’utilizzo dell’intelligenza artificiale (IA) per lo sviluppo di dati sintetici introduce nuovi concetti di “dato” e di “trattamento”, che possono risultare particolarmente utili, ad esempio, in ambito scientifico.

Tramite l’IA, un insieme di dati, anche personali, vengono elaborati in modo da generare una riproduzione di dati personali reali senza che questi siano riferibili ad individui specifici identificati o identificabili. Anche ove i dati sintetici derivino da un meccanismo di manipolazione di dati personali, potrebbe essere esclusa l’identificabilità degli interessati (i.e. anonimizzazione) con conseguentemente esclusione dell’applicazione della normativa in materia di protezione dei dati personali.

Ad oggi, tuttavia, la scelta di utilizzare dati sintetici è spesso accompagnata dal rischio della mancanza di accuratezza del dato. Per ovviare a tale lacuna, vengono combinati dati “interamente sintetici” a dati personali.

ENISA suggerisce che i dati sintetici vengano trattati con un approccio “trial-and-error”, metodo euristico che mira a trovare una soluzione a un problema effettuando un tentativo e verificando se ha prodotto l’effetto desiderato. Questo consente di generare dati in output (rispetto al processo di sintetizzazione) sempre più accurati e completi. I dati sintetici, essendo generati da una “macchina”, non sono soggetti alle tutele previste per i dati personali: ad esempio, non sono necessarie basi giuridiche per il trattamento né occorre individuare finalità di trattamento, tempi di conservazione eccetera.

In ambito scientifico, il possibile uso di dati sintetici sta destando grande attenzione. Si pensi ai benefici che potrebbe avere l’applicazione di tale tecnologia nell’ambito del contrasto alla diffusione a livello globale di virus che mettano a rischio la salute pubblica: tramite l’uso di dati sintetici si potrebbe fare ricerca senza dover applicare le regole vigenti in tema di trattamento di categorie particolari di dati su larga scala.

Conclusioni

Il contesto attuale di forte evoluzione tecnologica fa emergere nuove sfide e maggiori rischi in ambito data protection, come anche, tra molti altri, la mancanza di trasparenza, la profilazione in assenza delle dovute cautele e la perdita di controllo sul dato. Ingegnerizzare la protezione dei dati personali significa dare attuazione pratica ai principi di Privacy by Design e by Default, tenendo debitamente conto delle circostanze specifiche del trattamento e dei rischi collegati, delle finalità del trattamento, della natura e della quantità di dati, nonché delle misure tecniche e organizzative da mettere in campo, anche alla luce delle tecnologie disponibili e dei relativi costi, adottando un metodo multidisciplinare, tecnico, giuridico e organizzativo.

Un corretto approccio alla protezione del dato prevede necessariamente di intervenire già in fase di progettazione dei sistemi, delle applicazioni, dei software, ecc. tramite cui vengano poste in essere attività di trattamento, continuando poi a presidiare tutto il ciclo di vita del dato (fino alla sua cancellazione, anonimizzazione o anche alla sua “sintetizzazione”) mediante l’implementazione di misure di sicurezza idonee, il cui approfondimento da parte delle aziende, ma anche dei consulenti privacy, deve essere costante, in considerazione dello stato dell’arte e delle linee guida e indicazioni delle Istituzioni, degli Enti di ricerca e delle Autorità di controllo.

 

NOTE

  1. Data Protection Engineering, January 2022, ENISA.

  2. Manuale RPD Linee guida destinate ai Responsabili della protezione dei dati nei settori pubblici e parapubblici per il rispetto del Regolamento generale sulla protezione dei dati dell’Unione Europea (Regolamento (UE) 2016/679 di Douwe Korff e Marie Georges.

  3. EDPB Linee guida 4/2019 sull’articolo 25 Protezione dei dati fin dalla progettazione e per impostazione predefinita.

  4. Lo standard P3P è un protocollo di comunicazione che permette ai siti web di comunicare la destinazione delle informazioni raccolte sulla navigazione degli utenti.

  5. Le Linee Guida del Garante Privacy per posta elettronica e internet.

  6. ENISA PETs controls matrix A systematic approach for assessing online and mobile privacy tools.

  7. WP29 Parere 05/2014 sulle tecniche di anonimizzazione.

  8. AEPD “10 misunderstandings related to anonymization”.

  9. Privacy, sicurezza informatica, computer forensics e investigazioni digitali – Giovanni Ziccardi

WHITEPAPER
Perché impostare una strategia di manutenzione dei server?
Datacenter
Sicurezza
@RIPRODUZIONE RISERVATA

Articolo 1 di 4