Privacy tech: le regole per investire nelle tecnologie dedicate alla protezione dei dati personali - Cyber Security 360

DATA PROTECTION

Privacy tech: le regole per investire nelle tecnologie dedicate alla protezione dei dati personali

La tecnologia, oggi, riveste un ruolo importante in ambito privacy non solo quale area di utilizzo dei dati personali ma anche quale fonte di tool e strumenti dedicati alla loro protezione. Ecco le regole per aiutare le imprese ad aumentare gli investimenti in Privacy tech

19 Nov 2021
M
Andrea Michinelli

Avvocato, FIP (IAPP), LA ISO/IEC 27001:2013

La tutela della privacy coinvolge oggi l’aspetto tecnologico non solo quale area di utilizzo dei dati personali ma anche quale fonte di tool e strumenti dedicati alla loro protezione. Il mercato è in costante crescita ed evoluzione, non è facile orientarsi: di recente è stato pubblicato un whitepaper (un documento informativo di pubblica consultazione), curato dall’iniziativa The Rise of Privacy tech (“TROPT”), proprio per aiutare a comprendere meglio cosa viene offerto oggi e come valutarlo.

In linea con la missione di TROPT, composta da “fondatori, investitori, esperti e sostenitori della tecnologia della privacy” che vogliono “evangelizzare” e alimentare l’ascesa dell’innovazione nel settore privacy; è giusto segnalare come TROPT faccia riferimento anzitutto a PIX LLC venture, società USA di consulenza in ambito privacy.

Il titolo del whitepaper prodotto è “Defining the Privacy tech landscape 2021”, un documento che si vuole sincretico: avendo ambizioni internazionali, si vogliono fornire supporto e chiarimenti che coprano tutte le tecnologie disponibili e tutte le prevalenti concezioni di privacy (oltre al GDPR si prendono in considerazione i principi OCSE/OECD, i FIPPs – Fair Information Privacy Principles di conio USA ecc.).

Vediamo di seguito come è strutturato il documento, segnalando che il testo è particolarmente denso di informazioni e che dunque qui ci limitiamo a segnalare alcuni punti di interesse, lasciando al lettore la scoperta integrale del lavoro di TROPT.

Segnaliamo, inoltre, che in appendice al testo sono presenti i risultati di un sondaggio svolto tra operatori del settore, specie startup Privacy tech e aziende utilizzatrici negli USA, con risultati interessanti su temi come l’avvio di una startup dedicata, i problemi maggiormente affrontati con i tool (risultando il controllo dei propri dati da parte dell’utente-interessato il tema più gettonato) e quelli più ambiti da parte delle aziende (preponderante risulta la minimizzazione dei dati, assieme alla data governance), aziende che lamentano in genere – oltre a questioni di budget dedicato – una insufficiente efficacia delle soluzioni proposte dai tool attuali.

Privacy tech: le definizioni

Punto nodale di partenza è quello delle definizioni, nella sua mira sincretica TROPT arriva a definire cinque punti a comporre un concetto generale di privacy (chiarito che il termine si usa in senso generale, comprendendovi anche la data protection), fortemente debitore di studiosi come ad es. Nissenbaum e Westin:

WHITEPAPER
Cos'è, come funziona e quali vantaggi offre un sistema telefonico aziendale basato sul cloud?
Cloud
Cloud storage
  1. controllo: inteso come controllo individuale sui dati personali, incluso quanto di essi venga divulgato e a chi, nonché come dovrebbe essere mantenuto e diffuso;
  2. opacità (nell’originale è “obscurity”, personalmente credo si possa tradurre concettualmente in riferimento all’opacità): l’idea è che le informazioni siano sicure, almeno in una certa misura, per quanto siano difficili da ottenere o da capire;
  3. fiducia: ovvero quattro fondamenti: (1) l’impegno a essere onesti sulle pratiche di gestione dei dati, (2) l’importanza della discrezione nell’utilizzo dei dati, (3) la necessità di proteggere i dati personali rispetto agli estranei e (4) il principio di lealtà verso le persone i cui dati vengono utilizzati – in modo che siano i dati e non gli esseri umani a essere sfruttati; le aspettative di fiducia rendono ragionevoli le aspettative sulla privacy;
  4. potere: come scelta nel fornire supporto agli utenti per esercitare il loro potere e riprendere il controllo sui propri dati personali;
  5. integrità contestuale: le norme o le aspettative sulla privacy variano in base al contesto, l’integrità contestuale collega la protezione della privacy alle norme sociali per contesti specifici, in modo che il trattamento delle informazioni sia appropriato a quel contesto.

Idem per i principi che discendono da tali concezioni della privacy: da un confronto dei vari framework analizzati (comprensivi come detto di norme UE, USA e internazionali), nel paper se ne identificano sei, accompagnati da esempi dei tool in circolazione:

  1. trasparenza: impone alle organizzazioni che elaborano i dati personali di informare e ottenere il consenso delle persone per il trattamento dei loro dati personali – in genere è ritenuta necessaria quando le informazioni vengono raccolte e prima che l’ambito di trattamento dei dati venga esteso oltre quello originario; esempi Privacy tech: consent manager, avvisi just-in-time, alert audio e video che avvisano l’utente quando un’app accede all’audio o al video ecc.;
  2. controllo individuale: prevede che gli individui debbano avere il controllo sui propri dati personali, ad es. per accedere, eliminare, correggere, acconsentire od opporsi al trattamento dei dati personali, durante l’intero ciclo di vita dei dati; esempi Privacy tech: gestione delle richieste di esercizio dei diritti degli interessati (“DSAR”), consent management tool, data wallet, il protocollo Global Privacy Control (GPC) ecc.;
  3. finalità e limitazione al trattamento: i titolari devono limitare l’ambito del loro trattamento dei dati esclusivamente allo scopo e all’uso specificati quando i dati sono stati raccolti dalla persona; esempi Privacy tech: data storage, data wallet, Privacy Enhacing Technologies (PETs) come le Zero Knowledge Proof (ZKP);
  4. minimizzazione: richiede di trattare solo i dati personali pertinenti e necessari per soddisfare le finalità specificate, per tutto il ciclo di vita dei dati (dalla raccolta e utilizzo all’archiviazione e alla conservazione); esempi Privacy tech: data disposition tool, PET come la privacy differenziale, la Secure Multi-Party Computation (“SMPC”), ZKP, edge computing e minimizzazione dei dati in trattamento locale, ecc.;
  5. security: proteggere specificamente la riservatezza delle persone, compresi i loro dati personali, tramite strutture adeguate e metodi ragionevoli per proteggere i dati, oltre che per garantire accuratezza, integrità e qualità dei dati; esempi Privacy tech: crittografia omomorfica, access control, data disposition tool, ecc.;
  6. accountability: l’obbligo di dimostrare l’esistenza e applicazione di un programma privacy, i processi e i controlli interni come in atto per il trattamento dei dati personali, ovviamente per l’intero ciclo di vita dei dati; esempi Privacy tech: privacy governance dei dati (individuazione, inventario, mappatura e catalogazione), strumenti di gestione dei fornitori, strumenti di automazione del flusso di lavoro del privacy program, automatizzazioni dei privacy program, ecc.

Da tutto questo emerge, infine, anche una definizione di “Privacy tech”, in una doppia accezione:

  1. soluzioni tecnologiche ai problemi privacy;
  2. l’emergente industria di aziende tecnologiche che propongono soluzioni ai problemi privacy.

Distinzioni tra privacy tech, concetti e settori affini

L’analisi procede con una distinzione del Privacy tech a concetti simili e spesso confusi o grezzamente sovrapposti all’ambito privacy, come la security, l’anonimizzazione e via dicendo.

Un esempio sono le PETs già citate, circa le quali – pur prive di una definizione universalmente accettata – l’OCSE specifica come siano una gamma di tecnologie che aiutano a proteggere la privacy, per dare al singolo utente (in un contesto B2C) o al gestore tecnologico la capacità di controllare se, quanto o in quali circostanze i dati personali vengano divulgati; i tool Privacy tech comprendono anche le PETs, naturalmente, ma risolvono altri problemi oltre a quello del controllo sui dati. Lo stesso ragionamento si può applicare ad altre, diverse definizioni di PETs.

Idem per la possibile confusione industriale/settoriale: il Privacy tech resta distinto da aree di possibile sovrapposizione ma mai combacianti, come ad es. il Martech (Marketing Technology), il Legal tech, la data governance eccetera.

Classico caso di confusione si ha parlando di cyber security, sicuramente vicina all’ambito privacy ma distinta: la sicurezza informatica va oltre la protezione dei dati personali e si estende più ampiamente alla protezione di sistemi, reti, dispositivi e infrastrutture, nella loro interezza; i prodotti Privacy tech d’altro canto fanno molto di più che proteggere i dati, affrontano anche altri tipi di problemi di privacy come la trasparenza, la minimizzazione dei dati, la limitazione nell’utilizzo, ecc. Il paper ricorda che gli strumenti di sicurezza informatica non preservano la privacy per impostazione predefinita (by default), anzi possono sollevare problemi di privacy per un uso indiscriminato dei dati a fini di sicurezza.

I chiarimenti del paper sono importanti perché molti clienti (imprese) dei tool spesso credono di acquistare strumenti che coprono anche l’area privacy, scoprendo troppo tardi che si trattava invece, al più, di una sovrapposizione parziale.

Privacy tech Stack: le categorie B2B, B2C, B2B2C

Arriviamo a uno dei contributi più specifici del paper, ovvero il TROPT Privacy tech Stack: trattasi di un framework di categorizzazione delle startup dedicate al Privacy tech. Una sfida data dall’eterogeneità delle imprese e tecnologie operanti nel settore, in costante evoluzione. Gli autori hanno adottato un criterio dirimente: si “classifica la tecnologia della privacy in base al posizionamento nel ciclo di vita dei dati (perché la privacy riguarda i dati personali – c.d. “data lifecycle tools“) e nel ciclo di vita dello sviluppo (perché molti problemi di privacy sorgono anche prima della raccolta, quando le decisioni vengono prese in fase di sviluppo – c.d. “development lifecycle tools“)”.

Ulteriore distinzione è quella tra ambito B2B, più sviluppato e B2C, in crescita ma tuttora minoritario. L’ambito B2B comprende tool di Data vault, DSAR, web & mobile tracker scanning, Privacy requirements libraries, DevPrivOps, ecc. Quello B2C (mirato a soluzioni alla portata degli interessati) invece include Data wallet, Anti-tracking, pseudonimizzazione online e via dicendo.

Non mancano prodotti ibridi B2B2C, come ad es. piattaforme centralizzate per i consensi (vi si possono includere i PIMS – Personal Information Management Systems ove l’utente può accentrare i dati e da lì gestire centralmente i vari consensi opzionabili, fornendo dati a terzi).

Colmare le lacune

Dal sondaggio realizzato dagli autori si comprende che il mercato deve svilupparsi grandemente per potersi consolidare e dirsi mediamente soddisfacente per gli utilizzatori. Difatti dalle parole degli intervistati si evince una certa insoddisfazione circa gli strumenti di minimizzazione che dovrebbe avvenire in modo automatizzato, nelle fasi iniziali sia dei cicli di vita dei dati che di sviluppo. Tali strumenti non solo aiutano a ridurre al minimo i rischi per la privacy, costringono inoltre le imprese a elaborare solo i dati rilevanti che hanno veramente valore per loro, invece di “annegare nei proverbiali data lake”.

Altrettanto vale per il cruccio sempiterno della retention e cancellazione dei dati: qui valgono diversi problemi, ad es. andare contro tendenza aziendale a non volersi disfare dei dati (in parte a causa della radicata mentalità imposta dai Big Data: raccogliere tutti i dati, per tutto il tempo), il fatto che la conservazione e l’eliminazione dei dati si trovino alla fine del ciclo di vita dei dati al riparo lontano dagli occhi indiscreti dei clienti e del pubblico rispetto ad altri temi più “visibili” dall’esterno. Anche la proliferazione di sistemi “shadow IT” (sistemi interni sviluppati senza l’autorizzazione dell’impresa titolare o da reparti diversi da quello IT) rende tecnicamente difficile risolvere il tema della conservazione e della cancellazione.

Rimboccarsi le maniche: come migliorare

L’analisi si chiude con preziosi consigli su ciò che – stante la situazione attuale del Privacy tech i vari soggetti coinvolti possono fare per migliorare la situazione, il mercato Privacy tech. Si parla dunque del punto di vista di titolari di startup Privacy tech, investitori, esperti, ecc. Riprendiamo qui solo quanto si dice circa acquirenti (ovvero imprese) e utenti, cosa possono fare per far avanzare il settore:

  1. dovrebbero articolare meglio i loro “punti deboli” in tema di privacy, per aiutare le tech companies nella creazione di strumenti che risolvono i problemi del settore;
  2. dovrebbero fornire un feedback pubblico su ciò che funziona e non funziona nei tool che stanno testando, utilizzando e acquistando, così da garantire che le startup abbiano le informazioni per migliorare i loro prodotti;
  3. dovrebbero imparare come articolare meglio il valore insito nel risolvere alcuni dei loro problemi privacy grazie a strumenti tecnologici – permetterà di attivare team interdisciplinari con obiettivi Privacy tech e anche garantire il budget idoneo;
  4. dovrebbero lavorare assieme, in modo “incrociato” multidisciplinare (cross-functionally), nella selezione e nell’implementazione di prodotti tecnologici per la privacy, a garantire che il loro investimento in Privacy tech non sia sprecato e se ne incentivi l’innovazione.

Il paper si chiude con quanto TROPT potrà fare in merito, ovvero continuare il proprio lavoro di categorizzazione, essere punto di incontro e confronto dei vari player del settore, divulgare le tematiche in esame. Il tutto dovrebbe aiutare ad aumentare gli investimenti nel Privacy tech, proprio in forza della maggior divulgazione e comprensione delle tecnologie disponibili e a venire.

WHITEPAPER
Cloud migration: una guida per un passaggio di successo
Cloud
Cloud storage
@RIPRODUZIONE RISERVATA

Articolo 1 di 4