Alcuni casi di utilizzo della privacy by design da parte dell’Office of the Privacy

A differenza degli Stati Uniti, in cui la FTC ha elaborato un Report sulla privacy by design, l’Office of the Privacy Commissioner of Canada (d’ora in avanti OPC), l’autorità federale preposta alla promozione e alla tutela della privacy, non ha emesso alcun parere dedicato alla tematica, ma ha espresso più volte la necessità che il principio venga adottato dall’industria canadese61.

Ricercando le tracce del principio nelle decisioni e pubblicazioni dell’OPC si può rilevare che l’autorità si è servita dell’approccio di pbd per interpretare il principio di minimizzazione del Model Code e la natura delle misure di safeguards, con lo scopo di chiarire quali siano le pratiche conformi alla PIPEDA e di condannarne invece delle altre.

Nel 2010, l’OPC ha compiuto un’indagine su Google Street View, ed è emerso che durante la rilevazione fotografica dei territori canadesi Google ha inavvertitamente raccolto delle informazioni riservate sia da luoghi pubblici sia provenienti da abitazioni di privati, perché dotati di rete wireless non protetta62. Google Street View è un servizio fornito da Google Inc. dal 2007 che, attraverso delle fotografie montate in successione e raccolte grazie a delle fotocamere su

61

Ad esempio si veda il Report on the 2010 Office of the Privacy Commissioner of Canada’s, Consultations on Online Tracking, Profiling and Targeting, and Cloud Computing, available at <https://www.priv.gc.ca/media/1961/report_201105_e.pdf>, 20: “The OPC will work with Industry Canada to consider how best to integrate privacy by design principles and PIAs into private sector practices”. L’OPC è l’autorità federale preposta alla promozione e alla protezione

della privacy in Canada. Per le informazioni si veda il sito di riferimento:

<https://www.priv.gc.ca/en/>.

62

Office of the Privacy Commissioner of Canada, PIPEDA Case Summary #2011-001, available

at: <https://www.priv.gc.ca/en/opc-actions-and-decisions/investigations/investigations-into-

businesses/2011/pipeda-2011-001/>: “The central issue concerning the investigation was the unlawful collection of personal information. In May 2010, Google discovered that it had collected payload data from unsecured wireless networks in several countries, including Canada, during data gathering operations for its location-based services. "Payload" data constitutes the core information carried within a transmission unit (or "packet") over the internet. It can, depending on the nature of the communication, contain personal information. As such, our Office focused its investigation on the extent to which payload data collected by Google included the personal information of Canadians”.

125

automobili, mostra agli utenti del web le strade di moltissime città del mondo con una vista panoramica a 360 gradi63.

L’OPC ha emesso un lungo reclamo contro Google lamentando le seguenti violazioni della PIPEDA: la raccolta dei dati non è stata limitata a quanto fosse necessario agli scopi identificati dall’organizzazione; è stata operata senza una previa definizione e denuncia degli scopi; è avvenuta senza che gli individui ne fossero a conoscenza o che potessero esprimere il loro consenso64.

Tra le righe del compliant dell’OPC si afferma che gli incidenti per la privacy dei canadesi potevano essere evitati dalla preventiva predisposizione di adeguate procedure, garanzie e da corrette privacy policies65. Sul punto, come si legge nel case summary dell’OPC, Google ha deciso di rivedere le misure a protezione della privacy intervenendo a livello di progettazione dei prodotti e dei servizi e di formazione dei propri dipendenti66. La società ha così implementato diverse misure applicative del principio di privacy by design67.

È interessante sottolineare che nel progetto di intervento è stata prevista la stesura di “Privacy Design Documents” da parte dei dipendenti della società, per assicurare che al suo interno gli ingegneri e gli sviluppatori fossero in grado di stimare l’impatto sulla privacy dei prodotti e dei servizi realizzati, dall’inizio della progettazione fino al loro lancio sul mercato, dovendoli poi aggiornare

63

Per le norme sulla privacy di Google Street View si veda in Rete:

<https://www.google.it/intl/it/streetview/privacy/>.

64

PIPEDA Case Summary #2011-001, cit.: “On all three allegations - limiting collection, identifying purpose, and consent - our Office found Google to be in contravention of the Personal Information Protection and Electronic Documents Act, and concluded that the Commissioner-initiated complaints were well-founded”.

65

CAVOUKIAN, JONES HARBOUR, White paper for regulators, decision-makers, policy-makers.,

cit., 186.

66

PIPEDA Case Summary #2011-001, cit., par. 55: “Google submits that it continues to design privacy protections into all of its products and services. It has also stated that its employees will continue to receive orientation and code-of-conduct training that includes a privacy and data- security component. In order to avoid a recurrence of this incident, Google has further committed to reviewing its product launch procedures, code review procedures and other such internal processes to ensure appropriate oversight for privacy concerns”.

67

CAVOUKIAN, JONES HARBOUR, White paper for regulators, decision-makers, policy-makers.,

cit., 186-187: “After the Privacy Commissioner issued her findings and recommendations in October 2010, Google agreed to implement key privacy by design-related recommendations, including: implementing a system for tracking all projects that collect, use or store personal information and holding the engineers and managers responsible for those projects accountable for privacy; requiring engineering project leaders to draft, maintain, submit and update Privacy Design Documents for all projects in order to help ensure that engineering and product teams assess the privacy impact of their products and services, from inception through to launch; assigning an internal audit team to conduct periodic audits to verify the completion of selected Privacy Design Documents, and their review by the appropriate managers; and piloting a review process whereby members of Google’s Privacy Engineering, Product Counsel and Privacy Counsel teams review proposals involving location-based data, as well as the software programs that are to be used for the collection of data”.

126

costantemente68. Solo grazie agli interventi citati la società statunitense è riuscita dimostrare di aver provveduto a garantire la conformità delle sue pratiche alla PIPEDA e così a porre fine alla controversia con l’OPC69.

Nel case summary si ritrova chiaramente il principio di privacy by design. Questo caso dimostra che le autorità garanti per la privacy possono stimolare le imprese nell’adottare le migliori soluzioni e implementare le loro garanzie fin dall’origine dei prodotti e dei servizi, anche quando non è presente nell’ordinamento giuridico una norma esplicita e diretta in questo senso; certo è che il lavoro interpretativo richiede l’utilizzo di vari espedienti indiretti e non scontati e che l’elaborazione di soluzioni sempre innovative è lasciata in gran parte alla discrezionalità delle società commerciali.

Per fornire una guida interpretativa alle società e agli altri soggetti coinvolti per la protezione della privacy, l’OPC elabora ed aggiorna annualmente degli Interpretation Bulletins sui principi della PIPEDA70. Queste interpretazioni dell’OPC non sono legalmente vincolanti, ma fungono da guida per comprendere la conformità alla legge71. Per quanto riguarda le misure di sicurezza, si può rilevare che la privacy by design è un principio sotteso e implicito quando l’autorità affronta i casi in cui sono presenti le tecnologie di Internet72. Ad esempio, l’OPC afferma nel Bollettino sulle safeguards che le organizzazioni che conservano le informazioni online devono assicurare che i

68

Ibidem, par. 65: “In November of 2010, Google began requiring engineering project leaders ("Tech Leads") to draft, maintain, submit and update Privacy Design Documents for each and every project they are responsible for. If the project operates as intended, it will ensure mandatory privacy documentation for user-facing products, experimental projects, and services that are internal to Google. These documents should play an important role in ensuring that engineering and product teams assess the privacy impact of their products and services from inception through launch. Specifically, the Privacy Design Documents will require Google's Tech Leads to describe the types of data that their projects collect, handle or process as well as how that data is to be protected. Privacy Design Documents are to be regularly reviewed by managers and will be considered during employee performance review cycles. Google expects the first set of manager reviews to occur in 2011”.

69

Ibidem, par. 69: “All in all, our Office is satisfied that, once fully implemented, Google's proposed remedial measures as set out above will meet the privacy issues underscoring our recommendations”.

70

Per l’elenco dei Bollettini si veda in Rete: <https://www.priv.gc.ca/en/privacy-topics/privacy- laws-in-canada/the-personal-information-protection-and-electronic-documents-act-

pipeda/pipeda-compliance-help/pipeda-interpretation-bulletins/>.

71

Office of the privacy Commissioner of Canada, OPC, Interpretation Bulletin: Safeguards, June 2015 available at: <https://www.priv.gc.ca/en/privacy-topics/privacy-laws-in-canada/the- personal-information-protection-and-electronic-documents-act-pipeda/pipeda-compliance- help/pipeda-interpretation-bulletins/interpretations_08_sg/>: “These Interpretation Bulletins are not binding legal interpretations, but rather, they are intended as a guide for compliance with PIPEDA”.

72

Office of the privacy Commissioner of Canada, OPC, Interpretation Bulletin: Safeguards,

2015 available at: <https://www.priv.gc.ca/en/privacy-topics/privacy-laws-in-canada/the-

personal-information-protection-and-electronic-documents-act-pipeda/pipeda-compliance- help/pipeda-interpretation-bulletins/interpretations_08_sg/>. I casi in cui si è rilevato l’utilizzo implicito dell’approccio sono contenuti nella categoria interpretative “Internet and Technology”.

127

dati siano adeguatamente protetti da terzi non autorizzati attraverso l’utilizzo di password o protezioni di crittografia, che, si intuisce dal caso citato dall’autorità, devono essere adottate in ogni tempo73. Ciò vale anche per la conservazione su dispositivi mobili: le organizzazioni devono assicurare che gli strumenti siano correttamente sicuri in ogni momento, criptati, protetti da password e bloccati74. Tutte queste misure sono tipicamente delle soluzioni di privacy by design e il fattore temporale di implementazione è aderente con i suoi ideali.

Nello stesso Bollettino l’OPC ha riportato un altro caso in cui sono state richieste maggiori e più affinanti misure tecniche di sicurezza ad una famosa società statunitense. Nel 2012 l’OPC ha intrapreso un’indagine sull’applicazione per messaggi denominata WhatsApp. Secondo l’interpretazione dell’autorità canadese, le organizzazioni che trasferiscono via Internet delle informazioni contenenti dati personali sensibili devono impiegare sufficienti e adeguate tutele, come ad esempio la criptazione75. Invece, a parere dell’OPC la società, oggi appartenente al proprietario di Facebook, aveva creato un’applicazione in cui i messaggi potevano essere facilmente intercettati e letti di nascosto76. Perciò, applicando il settimo principio sulla sicurezza, le informazioni non risultavano protette con misure adeguate al loro carattere sensibile e non erano volte a prevenire l’accesso non autorizzato, la perdita, il furto e la copia77. In parte grazie alle osservazioni dell’OPC, nel 2012 è stato aggiunto a WhatsApp un protocollo di criptazione78. Successivamente alla verifica di conformità

73

Ibidem: “Organizations that store personal information online must ensure that the information is adequately protected from unauthorized individuals through the use of passwords or encryption protection”. Sotto il principio l’OPC cita il PIPEDA Case Summary #2009-017.

74

Ibidem: “Organizations that use portable electronic devices to store personal information must ensure that the devices are properly secured at all times. Devices with personal information on them must be encrypted, password protected and backed up”. Il caso citato sotto il principio è: PIPEDA Case Summary #2008-393 Laptop theft at bank and long delay before informing victims were both avoidable.

75

Ibidem: “Organizations that transfer information containing sensitive personal information via the Internet must employ sufficient safeguards such as data encryption. Il caso WhatsApp è PIPEDA Report of Findings #2013-001 Investigation into the personal information handling practices of WhatsApp Inc.

76

PIPEDA Report of Findings #2013-001, cit., par. 86: “Based on a technical analysis of the application, our Office initiated a complaint to investigate whether WhatsApp was adequately protecting personal information, in contravention of Principle 4.7 of Schedule 1 of the Act. More specifically, it was alleged that messages sent and received using the WhatsApp service were not being encrypted, rendering personal information contained in such messages subject to eavesdropping or interception”.

77

Ibidem, par. 90: “In making our determination on this issue, we applied Principle 4.7 of Schedule 1 of the Act. Principle 4.7 requires that personal information be protected by security safeguards appropriate to the sensitivity of the information. Principle 4.7.1 provides that security safeguards must protect personal information against loss or theft, as well as unauthorized access, disclosure, copying, use or modification”.

78

Ibidem, par. 93-94: “In partial response to our concerns, in September 2012 WhatsApp began adding protocol encryption to its mobile messaging service. If properly applied, the end-to-end encryption would appropriately safeguard messages from eavesdropping or interception. As at the time our investigation concluded, WhatsApp had implemented encryption for several

128

dell’autorità, il reclamo è così stato ritirato79. Se oggi si apre una chat di questa applicazione si può leggere la frase seguente: “i messaggi che invii in questa chat e le chiamate sono ora protetti con la crittografia end-to-end”80. Ancora una volta l’adozione della pbd è stata sollecitata da un’interpretazione attenta e pragmatica di un’autorità garante.

Ad oggi molti colossi di Internet sono stati costretti ad adeguarsi alle varie prescrizioni delle autorità di diversi ordinamenti per non subire dei pesanti svantaggi economici, o essere condannati dall’opinione pubblica. Eppure, si può rilevare che le violazioni della riservatezza sono ancora estremamente diffuse e il bilancio induce a pensare che c’è ancora molta strada da fare per proteggere efficacemente i diritti degli individui. Il punto di partenza è sempre il diritto e il suo potere di conformare la tecnologia alle sue regole.