Privacy by design

Da Wikipedia, l'enciclopedia libera.
Jump to navigation Jump to search

Privacy by design riguarda il principio di incorporazione della privacy a partire dalla progettazione di un processo aziendale con le relative applicazioni informatiche di supporto. Questo implica la messa in atto di determinati meccanismi i quali garantiscono il trattamento esclusivo di dati personali necessari per quella specifica progettazione[1]. Rappresenta il futuro della privacy in quanto aggiunge un nuovo elemento chiave nella legislazione riguardante la protezione dei dati personali.

Storia[modifica | modifica wikitesto]

A metà degli anni '90, a livello internazionale, si è sottolineato il notevole cambiamento riguardante la privacy, che ha delineato delle nuove direttive riguardo alle cosiddette PET (Privacy Enhancing Technologies), ossia tutte quelle tecnologie nell'ambito dell'ICT utili ad accrescere la protezione dei propri dati personali. Un riferimento importante riguardante i contenuti delle PET risiede nell'art. 3 del codice della privacy, denominato Principio di necessità nel trattamento dei dati:

« I sistemi informativi e i programmi informatici sono configurati riducendo al minimo l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l'interessato solo in caso di necessità »

(Art.3, Codice in maniera di protezione dei dati personali)

Successivamente alla PET, si è giunti alla Privacy By Design. Nel 2010 la 32ma Conferenza mondiale dei Garanti privacy ha adottato la risoluzione sulla Privacy by Design (PbD) rendendo in tal modo ufficiale questo nuovo concetto che era comunque già noto ed utilizzato negli Stati Uniti e in Canada. Con la PbD si è inteso istituzionalizzare il cambiamento e l'evoluzione della privacy che, pertanto, richiede un nuovo approccio per garantire una migliore protezione dei dati personali[2].
Il concetto di Privacy by Design è ora formalmente introdotto nel Regolamento 2016/679 UE, il cui articolo 25 recita: "Data protection by design and by default". Secondo il testo di questo articolo è chiaro che la Commissione Europea esamini i termini "by design" e "by default" come concetti diversi, anche se vengono utilizzati nella medesima espressione.

Ad oggi, nonostante la risoluzione sulla Privacy by Design sia stata adottata nel 2010 anche con la partecipazione del Garante italiano, non risultano provvedimenti dell'Autorità che richiamino i principi contenuti nella citata risoluzione e sarebbe auspicabile che in essi si possano leggere considerazioni e determinazioni in ordine ad applicazioni concrete dei principi della Privacy by Design rispetto ai casi specifici.

Livello Internazionale[modifica | modifica wikitesto]

Nel resto del mondo, però, la descrizione ben definita della Privacy by Design è stata elaborata dalla Dott.ssa Ann Cavoukian, membro della Information and Privacy Commissioner of Ontario, Canada. Secondo la Dott.ssa, l'utente è considerato il centro del sistema privacy (per definizione, quindi, è user centric).

Definizione[modifica | modifica wikitesto]

Qualsiasi progetto (sia strutturale sia concettuale) va realizzato considerando dalla progettazione (appunto by design) la riservatezza e la protezione dei dati personali. La PbD comprende una trilogia di applicazioni:

  1. Sistemi IT
  2. Pratiche commerciali corrette
  3. Progettazione Strutturale e Infrastrutture di rete

e ben 7 principi definiti fondazioni che definiscono pienamente il senso di questa direttiva:

  1. Proattivo non reattivo – prevenire non correggere
  2. Privacy come impostazione di default
  3. Privacy incorporata nella progettazione
  4. Massima funzionalità − Valore positivo, non valore zero
  5. Sicurezza fino alla fine − Piena protezione del ciclo vitale
  6. Visibilità e trasparenza − Mantenere la trasparenza
  7. Rispetto per la privacy dell'utente − Centralità dell'utente

È una metodologia strutturata che garantisce una neutra e solida funzionalità operativa indipendente dalla soluzione tecnologica adoperata, rimanendo conforme con i valori fondamentali dell'individuo.

Obiettivi[modifica | modifica wikitesto]

L'obiettivo principale è quello di elaborare due concetti:

  1. La protezione dei dati
  2. La protezione degli utenti

prestando molta attenzione sull'aspetto della privacy e, successivamente, su quello dei diritti. L'utente diventa il punto di partenza per sviluppare il progetto in base alla legge sulla privacy e quindi con un approccio user centric. Ogni volta che un progetto inizia deve prendere in considerazione, prima di tutto, il ruolo dell'utente, progettando tutto attorno alla persona fisica. Secondo questo metodo è molto semplice evitare i rischi privacy e di sicurezza. La PbD esclude, pertanto, che si possa effettuare una valutazione di conformità alla normativa successivamente alla redazione del progetto o comunque posteriormente in occasione di un evento, in quanto la privacy va considerata già nella fase di progettazione. La valutazione di "PbD compliance" costituisce un valore aggiunto di rilievo perché attesta che tutti i processi sono stati seguiti considerando adeguatamente la protezione dei dati personali[3]. .

Note[modifica | modifica wikitesto]