Privacy incorporata nei prodotti e servizi IT: ecco come aumentare la competitività delle aziende - Cyber Security 360

GUIDA NORMATIVA

Privacy incorporata nei prodotti e servizi IT: ecco come aumentare la competitività delle aziende

Le aziende IT che operano nel mercato B2B non hanno grandi preoccupazioni in relazione alla compliance al GDPR, se non in modo limitato. Incorporare i principi privacy nella progettazione e sviluppo di prodotti e servizi, invece, può aumentare considerevolmente la competitività sul mercato. Vediamo perché e come

22 Ott 2021
A
Giuseppe Alverone

DPO Certificato UNI 11697:2017

Le aziende IT che operano nel mercato B2B non hanno grandi preoccupazioni in relazione alla compliance al GDPR se non in modo limitato ai rapporti di lavoro con i dipendenti e per qualche ridotta esigenza di marketing. Lo stesso GDPR, però, incoraggia i produttori di strumenti e soluzioni di avanzata tecnologia a tener conto della privacy “incorporata”, allorché sviluppano e progettano i loro prodotti e i loro servizi, per far sì che i loro clienti – i.e. imprese e P.A. che trattano dati personali – possano adempiere ai loro obblighi di protezione dei dati[1].

Produttori: figure essenziali ai fini della privacy by design

Il Comitato europeo per la protezione dei dati (EDPB, European Data Protection Board) ha precisato[2] che nel fornire ai “titolari” soluzioni di trattamento, le aziende produttrici dovrebbero utilizzare le loro competenze per instaurare un clima di fiducia e orientare i loro clienti, PMI comprese, verso soluzioni di progettazione che integrano la protezione dei dati nel trattamento.

WHITEPAPER
Suggerimenti e strumenti pratica per difendersi dagli attacchi informatici
Sicurezza
Cybersecurity

Ciò significa a sua volta che la progettazione di prodotti e servizi dovrebbe semplificare le esigenze dei titolari. Infatti all’interno dell’ecosistema della privacy, benché non siano direttamente destinatari delle disposizioni che pongono obblighi a carico dei titolari del trattamento, anche i produttori rappresentano figure essenziali ai fini della privacy by design e dovrebbero:

  • essere consapevoli del fatto che le imprese e le P.A. che acquistano i loro prodotti sono tenuti a trattare i dati personali solo utilizzando sistemi e tecnologie che integrano i principi di protezione dei dati;
  • cercare di agevolare l’attuazione della privacy by design al fine di supportare le aziende e P.A. loro clienti, nell’adempimento degli obblighi previsti dall’articolo 25 GDPR.

In altre parole, il GDPR segnala alle imprese ed alle PA che trattano dati personali la necessità di far ricorso solo a strumenti che abbiano incorporati i principi della protezione dei dati fin dalla progettazione.

È un richiamo alla necessità di applicare uno dei sette principi fondazionali che Ann Cavoukian, già Privacy Commissioner dell’Ontario ha previsto nel paradigma di privacy by design recepito dal GDPR nell’art. 25.

Tale principio prevede che la “privacy” dovrebbe essere incorporata nella progettazione e nell’architettura dei sistemi IT e non imbullonata come una aggiunta ex post (add-on). Il risultato di questa idea è che la privacy diventa una componente essenziale della funzionalità principale fornita nonché parte integrante del sistema, senza diminuirne la funzionalità.

GDPR, una protezione tra rischi e pericoli per le persone fisiche e per l’economia

Privacy incorporata: leva strategica per aumentare la competitività

Ecco perché la privacy by design, principio fondante della data protection, diventa una leva strategica per aumentare la competitività delle aziende che producono hardware e software progettati per trattare dati personali. Il citato Comitato Europeo (EDPB) rafforza questa idea[3] laddove:

  • evidenzia che le aziende e le P.A. che agiscono come titolari del trattamento non dovrebbero scegliere produttori che non offrono sistemi in grado di consentire o facilitare l’adempimento degli obblighi di cui all’articolo 25 GDPR in capo ai titolari stessi, poiché saranno questi ultimi a rispondere dell’eventuale mancata attuazione;
  • raccomanda agli stessi titolari di richiedere che i produttori dimostrino in che modo i loro hardware, software, servizi o sistemi permettano loro di soddisfare i requisiti in materia di responsabilizzazione in conformità della privacy by design.

Appare così molto evidente che i produttori, se tengono conto dei principi di Data Protection sin dal momento della progettazione, possono conferire un elevato valore aggiunto ai loro prodotti e servizi, aumentando di conseguenza la loro competitività sul mercato.

Secondo questa visione i “principi privacy” che i titolari devono rispettare nell’eseguire trattamenti di dati personali diventano per i “produttori” veri e propri “requisiti utente” nell’ingegneria dei requisiti (la c.d. Requirements Engineering) del processo di progettazione ingegneristica.

Privacy incorporata: principi/requisiti per i titolari

Esaminiamo ora i “principi/requisiti” in relazione ai quali gli obblighi dei titolari possono integrarsi con il supporto dei produttori e, di conseguenza, quali accorgimenti questi ultimi possono adottare per aumentare il valore aggiunto dei loro prodotti e servizi.

I principi/requisiti di correttezza e trasparenza

Le imprese e le PA, quali “titolari”, devono eseguire i trattamenti di dati personali in modo corretto e trasparente nei confronti dei loro clienti/utenti, tenendo in considerazione le circostanze e il contesto specifici in cui i dati personali sono trattati.

Nell’applicazione di questo principio, sussistono rilevanti preoccupazioni, soprattutto in relazione all’utilizzo di sistemi di intelligenza artificiale che non sempre garantiscono una piena trasparenza dei processi di elaborazione.

Peraltro sempre più spesso imprese e P.A. fanno ricorso a sistemi di apprendimento automatico (c.d. Machine Learning”) per lo sviluppo di processi decisionali automatizzati.

Ancora di più, dopo che il Consiglio di Stato, con una storica sentenza[4], facendo leva proprio sulle disposizioni del GDPR relative alla trasparenza e al processo decisionale automatizzato, ha riconosciuto la piena ammissibilità dell’utilizzo di algoritmi informatici nei procedimenti amministrativi.

Questi sistemi però sono caratterizzati da opacità, infatti non sono pienamente trasparenti poiché è difficile comprendere e spiegare come funzionano, i.e. è difficile spiegare “perché” e “come” fanno quello che fanno.

Ciò, perché i sistemi di intelligenza artificiale utilizzano modelli che vengono creati direttamente dagli algoritmi e nemmeno gli esseri umani che li progettano possono capire come le variabili vengono combinate da quegli algoritmi per fare previsioni.

In questo scenario così complesso, le imprese e le P.A. che trattano dati personali hanno grande difficoltà ad adempiere al loro obbligo di fornire ai loro clienti/utenti informazioni su come vengono trattati i loro dati personali, in modo conciso, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro[5]. Peraltro nel caso in cui il trattamento di dati personali assuma la struttura di un processo decisionale automatizzato, compresa la profilazione, gli oneri di trasparenza del titolare aumentano considerevolmente, dovendo essere fornite anche “informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato[6].

Appare evidente che il titolare abbia grande difficoltà a rispettare questo principio senza conoscere i parametri, le regole e le istruzioni su cui si basano gli algoritmi che governano gli strumenti di trattamento.

I principi/requisiti di esattezza, minimizzazione, integrità e riservatezza

Il GDPR, al fine di garantire un trattamento corretto e trasparente nel rispetto degli interessati, rappresenta l’opportunità che imprese e P.A., che trattano dati personali in qualità di titolari[7] :

  • utilizzino procedure matematiche o statistiche appropriate per la profilazione;
  • mettano in atto misure tecniche e organizzative adeguate al fine di garantire, in particolare che:
  1. siano rettificati i fattori che comportano inesattezze dei dati;
  2. sia minimizzato il rischio di errori;
  3. sia garantita la sicurezza dei dati personali secondo una modalità che tenga conto dei potenziali rischi esistenti per gli interessi e i diritti dell’interessato e impedisca, tra l’altro, effetti discriminatori nei confronti di persone fisiche sulla base della razza o dell’origine etnica, delle opinioni politiche, della religione o delle convinzioni personali, dell’appartenenza sindacale, dello status genetico, dello stato di salute o dell’orientamento sessuale.

Anche per il rispetto di questi principi, le imprese e le P.A. che eseguono trattamenti di dati personali come titolari incontrano difficoltà, qualora non abbiano chiare informazioni sul funzionamento degli strumenti utilizzati per i trattamenti stessi.

La valutazione di impatto sulla protezione dei dati personali

Nell’eseguire trattamenti di dati personali, l’uso di nuove tecnologie può presentare un rischio elevato per i diritti e le libertà delle persone fisiche. In tali casi le imprese e le P.A. quali “titolari”, prima di procedere al trattamento, hanno l’obbligo di effettuare una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali (c.d. DPIA)[8].

Il Garante ha ulteriormente precisato[9] che sussiste in capo ai “titolari” l’obbligo di eseguire una DPIA per tutti i trattamenti effettuati attraverso l’uso di tecnologie innovative, anche con particolari misure di carattere organizzativo: i.e. IoT; sistemi di intelligenza artificiale; utilizzo di assistenti vocali on-line attraverso lo scanning vocale e testuale; monitoraggi effettuati da dispositivi wearable; tracciamenti di prossimità come il wi-fi tracking.

I produttori di questi strumenti innovativi dovrebbero quindi agevolare l’esecuzione delle DPIA sull’uso dei propri strumenti.

Privacy incorporata: ecco come aumentare la competitività

Il quadro di situazione sinteticamente descritto offre interessanti spunti per delineare misure ed accorgimenti che i produttori dovrebbero adottare già in fase di progettazione per incorporare i principi della Data Protection nei prodotti e servizi da loro offerti, e di conseguenza conferire a questi un elevato valore aggiunto.

Proponiamo di seguito alcune misure ritenute utili.

Conoscibilità e comprensibilità dei prodotti

La citata storica sentenza del Consiglio di Stato, nel riconoscere la piena ammissibilità dell’uso degli algoritmi nello sviluppo dei procedimenti amministrativi, ha fissato alcuni principi guida ed alcune regole che i produttori dovrebbero tener ben presente nello sviluppo dei loro processi di progettazione ingegneristica, poiché costituiscono quantomeno dei forti condizionamenti, se non addirittura vincoli per gli acquisti delle PA.

In particolare il Consiglio di Stato ha sancito che la conoscibilità degli algoritmi utilizzati per adottare decisioni automatizzate debba essere garantita in tutti gli aspetti. Nello specifico, è necessario che siano sempre conoscibili:

  • gli autori degli algoritmi;
  • il procedimento usato per la loro elaborazione;
  • il meccanismo di decisione, comprensivo delle priorità assegnate nella procedura valutativa e decisionale e dei dati selezionati come rilevanti.

In sintesi l’utilizzo della soluzione tecnologica deve consentire di verificare che i criteri, i presupposti e gli esiti del processo decisionale automatizzato siano conformi alle prescrizioni e alle finalità stabilite dalla legge affinché siano chiare – e conseguentemente sindacabili – le modalità e le regole in base alle quali esso è stato impostato.

Il produttore deve quindi corredare gli strumenti utilizzati per il trattamento di meccanismi in grado di decifrarne la logica. In tale ottica, il principio di conoscibilità si completa con il principio di comprensibilità, ovverosia la possibilità, per riprendere l’espressione del GDPR, di ricevere “informazioni significative sulla logica utilizzata”.

La valutazione di impatto (DPIA) del produttore

Il WP29 nelle famose Linee Guida WP248[10] ha chiarito che una valutazione d’impatto sulla protezione dei dati può essere altresì utile per valutare l’impatto sulla protezione dei dati di un prodotto tecnologico, ad esempio un dispositivo hardware o un software che probabilmente verrà utilizzato da titolari del trattamento distinti, per svolgere tipologie diverse di trattamento.

Ovviamente, ciascun titolare del trattamento che utilizza detto prodotto resta soggetto all’obbligo di svolgere la propria valutazione d’impatto sulla protezione dei dati in relazione all’attuazione specifica. Tuttavia per eseguire tale valutazione il titolare può utilizzare le informazioni fornite da una valutazione analoga preparata dal fornitore del prodotto.

Questa possibilità rappresenta quindi un’indicazione preziosa per i produttori i quali possono rendere così più “appetibili” i loro prodotti sul mercato anche solo corredandoli di una valutazione di impatto.

Certificazioni per la privacy incorporata

L’Art. 25 par.3 del GDPR prevede che un meccanismo di certificazione possa essere utilizzato come elemento per dimostrare il rispetto della privacy by design.

Sulla base di questa disposizione il Comitato europeo (EDPB) evidenzia[11] che la capacità di ottenere una certificazione per il trattamento rappresenta un valore aggiunto per il titolare al momento di scegliere tra i diversi software, hardware, servizi e/o sistemi di trattamento forniti dai produttori.

Pertanto, i produttori dovrebbero sforzarsi di dimostrare che la privacy by design è parte integrante del ciclo di vita dello sviluppo della loro soluzione per il trattamento. La possibilità di far certificare un trattamento può quindi costituire un vantaggio competitivo per i produttori e può persino accrescere la fiducia degli interessati nel trattamento dei loro dati personali. Peraltro, in assenza di certificazione, i titolari dovrebbero cercare di avere altre garanzie in merito alla conformità ai requisiti della privacy by design parte dei produttori.

Designazione di un DPO o di un Manager Privacy

Anche se non sussiste un obbligo di designazione fissato per loro dal GDPR, i produttori potrebbero valutare l’opportunità di designare un DPO o un Manager Privacy che affianchi gli architetti e gli sviluppatori, ottenendo così garanzia strutturale così che i prodotti ed i servizi offerti siano sempre in linea con i principi che regolano il sistema di protezione dei dati personali.

 

NOTE

  1. Vds. Considerando 78 GDPR.

  2. Così ai nn.94 e 95 EDPB delle Linee Guida EDPB 4/2019, sull’articolo 25, Protezione dei dati fin dalla progettazione e per impostazione predefinita.

  3. Vds. n. 96 delle Linee Guida EDPB 4/2019, sull’articolo 25, Protezione del dati fin dalla progettazione e per impostazione predefinita.

  4. Sentenza CdS -VI Sezione – n.8472 del 13 dicembre 2019.

  5. Art. 12, paragrafo 1 GDPR.

  6. Artt.13,14,15 e 22 GDPR.

  7. Così il Considerando 71 GDPR.

  8. Art. 35, oparagrafo 1 GDPR.

  9. Vds. n.. 7 elenco in allegato al Provvedimento GPDP n. 467 dell’11 ottobre 2018 [9058979].

  10. Vds. § III, A. del Wp248 rev. 01 “Linee guida in materia di valutazione d’impatto sulla protezione dei dati e determinazione della possibilità che il trattamento “possa presentare un rischio elevato” ai fini del regolamento (UE) 2016/679” emanato dal WP29 il 4.10.2017.

  11. Vds. n. 96 delle Linee Guida EDPB 4/2019, sull’articolo 25, Protezione dei dati fin dalla progettazione e per impostazione predefinita.

WHITEPAPER
Rete, sicurezza e digital workplace: un nuovo modello per il lavoro agile
Networking
Network Security
@RIPRODUZIONE RISERVATA

Articolo 1 di 4