L A “P RIVACY BY D ESIGN ”: ORIGINI E PRINCIPI GENERAL

Ispirata al concetto di “Privacy-Enhancing Technology”, l’espressione “Privacy by

Design” (PbD) è stata coniata, negli anni Novanta, da Ann Cavoukian301. Da allora, e fino alla “32nd

International Conference of Data Protection and Privacy Commissioners” del

2010302, in occasione della quale la “Privacy by Design” fu formalmente riconosciuta come “global privacy standard”, su diversi fronti è stata confermata l’importanza di questo

framework, nel quale è centrale il ruolo che le componenti tecnico-informatiche hanno ai

fini della tutela dei dati personali303.

Ann Cavoukian ha sinteticamente illustrato il concetto di “Privacy by Design” attraverso “The 7 Foundational Principles” (2002): “1. Proactive not Reactive; 2.

Preventative not Remedial; 3. Privacy as the Default; 4. Privacy Embedded into Design; 5. Full Functionality: Positive-Sum, not Zero-Sum; 6. End-to-End Lifecycle Protection; 7. Visibility and Transparency; 8. Respect for User Privacy”304.

Un approccio “Privacy by Design” può apportare - secondo Cavoukian - evidenti benefici al mercato (“Privacy is good for business”); esso, però, richiede anzitutto il rispetto di una pratica universale: l’utilizzo di prassi informative corrette305

.

301

La necessità di sistematizzare “buone pratiche” sul fronte della tutela dei dati personali è alla base dei seguenti due studi, propedeutici alla creazione di questo nuovo “framework”: OFFICE OF THE INFORMATION AND PRIVACY COMMISSIONER OF ONTARIO, Privacy Protection Makes Good Business Sense, 1994 e OFFICE OF THE INFORMATION AND PRIVACY COMMISSIONER OF ONTARIO, Privacy: The Key to Electronic Commerce, 1998. Altrattanto importante il documento OFFICE OF THE INFORMATION AND PRIVACY COMMISSIONER OF

ONTARIO, Smart, Optical and Other Advanced Cards: How to Do a Privacy Assessment, 1997, in cui la metodologia della “PbD” è presentata come “right from the start”.

Per ulteriori approfondimenti sul tema, si rinvia a: A.CAVOUKIAN, Privacy by Design: Origins, Meaning,

and Prospects for Assuring Privacy and Trust in the Information Era, in G.O.M.YEE, Privacy Protection Measures and Technologies in Business Organizations: Aspects and Standards, IGI Global, Hershey, 2012, pp. 170-208; A. CAVOUKIAN, Privacy by Design … Take the Challenge, 2009, pp. 361; OFFICE OF THE

INFORMATION AND PRIVACY COMMISSIONER OF ONTARIO, 7 Essential Steps for Designing Privacy into

Technology, 2002; A.CAVOUKIAN (presentation by), Privacy by Design: Building Trust into Technology, 1st

Annual Privacy and Security Workshop. Centre for Applied Cryptographic Research, Toronto, 2000; OFFICE OF THE INFORMATION AND PRIVACY COMMISSIONER OF ONTARIO, REGISTRATIERKAMER THE NETHERLANDS,

Intelligent Software Agents: Turning a Privacy Threat into a Privacy Protector. Result of a joint project of the Office of the Information and Privacy Commissioner/Ontario and the Registratierkamer, The Netherlands, 1999.

302

Cfr. 32ND

INTERNATIONAL CONFERENCE OF DATA PROTECTION AND PRIVACY COMMISSIONERS, Resolution

on Privacy by Design, Jerusalem - Israel, 27-29 October 2010.

303

Secondo quanto affermato dalla stessa “Information and Privacy Commissioner of Ontario”, settori di applicazione della PbD sono: “1) IT systems; 2) accountable business practices; and 3) physical design and

infrastructure”.

304

Cfr. A.CAVOUKIAN, Privacy by Design. The 7 Foundational Principles. Implementation and Mapping of

Fair Information Practices, Toronto, 2010, pp. 12.

305

Cavoukian evidenzia l’importanza, in tal senso, de “The 1980 OECD Guidelines on the Protection of

Secondo il paradigma, tanto gli enti pubblici quanto gli enti privati sono sollecitati a ripensare, individualmente e collettivamente, la privacy seguendo un approccio “proattivo” e “preventivo”, che anticipi ed eviti i possibili rischi ai quali i dati sono esposti; le suddette organizzazioni sono, in particolare, invitate ad introdurre la privacy “by default” nella progettazione di sistemi IT e processi informatici, a vantaggio di una riduzione/eliminazione di interventi architetturali successivi. Grazie a questo meccanismo, i dati dell’utente sono salvaguardati “a priori” dai sistemi stessi, senza, dunque, la necessità di interventi attivi da parte degli interessati306.

Al modello proposto è, altresì, sottesa una visione “positive-sum win-win”, in cui predomina la riduzione di possibili false dicotomie, come quelle tra privacy e security, che, al contrario, in questa logica, sono da intendere non come componenti antitetiche ma come aspetti complementari nell’implementazione dei sistemi informativi307

.

Ulteriore caratteristica di sistemi informativi concepiti secondo il paradigma della “Privacy by Design” è quella di preservare i dati sensibili lungo l’intero ciclo di vita. Gli interessi del singolo, persona fisica o giuridica, consumatore o ente pubblico/privato, paziente o azienda sanitaria, sono, in questo senso, conciliati.

Inoltre, come più volte ricordato, in questa prospettiva il consumatore assume un ruolo centrale, non soltanto in quanto beneficiario finale delle misure considerate, ma anche in quanto artefice del rispetto della privacy, grazie a strumenti “privacy-friendly” a lui disponibili.

Soffermandosi sulla “Privacy by Design”, il commissario federale tedesco per la protezione dei dati e per la libertà dell’informazione, Peter Schaar, ha opportunamente osservato che l’idea di provvedere alla protezione dei dati personali trattati da sistemi informativi attraverso l’utilizzo di tecnologie appropriate è già espressa nella direttiva 95/46/CE; il fine per il quale essa è introdotta è quello di garantire la sicurezza308. Con la

306

Secondo quanto, infatti, sostenuto dalla stessa Cavoukian: “Privacy by Design refers to the philosophy

and approach of embedding privacy into the design specifications of various technologies. This may be achieved by building the principles of Fair Information Practices [come “1980 OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data” e “Global Privacy Standard Privacy Principles” del 2006] into the design, operation and management of information processing technologies and systems” (in A.CAVOUKIAN, Privacy by Design … Take the Challenge, cit., p. 3).

307

Sul tema della convergenza di paradigma tra la “Privacy by Design” e la c.d. “Security by Design” (in G. KREIZMAN,B.ROBERTSON, Incorporating Security into the Enterprise Architecture Process, Gartner, 2006) vedasi: A. CAVOUKIAN, M. CHANLIAU, Privacy and Security by Design: A Convergence of Paradigms,

Toronto, 2013, pp. 19.

308

Il “considerando 46” della direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995 relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati così recita: “considerando che la tutela dei diritti e delle libertà delle persone interessate relativamente al trattamento di dati personali richiede l’adozione di adeguate misure tecniche ed

PbD, invece, si va oltre: alla sicurezza dei singoli, infatti, si aggiunge l’evitare o, in ogni caso, il ridurre al minimo il trattamento di dati personali a mezzo dei sistemi informativi309. La “data minimization” è, infatti, secondo Schaar così come secondo altri autori, il nodo centrale in tema di PbD, dal momento che consente un’effettiva riduzione dei rischi per la

privacy310.

Pensare, dunque, in termini di “Privacy by Design” significa, in un certo senso, “riassegnare” alla privacy il ruolo che le è proprio; la protezione ed il trattamento dei dati personali devono, dunque, essere al centro del design dei sistemi. Idealmente andrà superato anche il principio della sicurezza, sebbene questo costituisca presupposto o, comunque, pre-requisito della PbD. A tal fine, il suddetto paradigma incoraggia, in generale, un vero e proprio meccanismo di prevenzione, raggiungibile, tra gli altri, attraverso la separazione tra identificazione personale e contenuto dei dati stessi, l’uso di pseudonimi e di tecniche di anonimizzazione nonché l’eliminazione dei dati personali in tempi rapidi.

La teorizzazione di qualsiasi modello richiede, però, una lettura critica, al fine di cogliere aspetti positivi ed eventuali limiti sottesi. In proposito risultano interessanti le osservazioni di Pagallo311, il quale, in un certo senso, propone una lettura ristretta della PbD, a suo dire più compatibile con i profili tecnici, etici e giuridici. Tale soluzione nasce da alcune criticità individuate dal giurista ne “The 7 Foundational Principles” di Cavoukian: a) le difficoltà, anzitutto, nella creazione di sistemi neutri, improntati ad una logica “privacy zero-sum” e ciò, dal momento che, a parere di Pagallo, è impossibile operare una protezione dei dati in modo automatico, scevra cioè dell’intervento dei organizzative sia al momento della progettazione che a quello dell’esecuzione del trattamento, in particolare per garantirne la sicurezza ed impedire in tal modo qualsiasi trattamento non autorizzato; che spetta agli Stati membri accertarsi che il responsabile del trattamento osservi tali misure; che queste devono assicurare un adeguato livello di sicurezza, tenuto conto delle conoscenze tecniche e dei costi dell’esecuzione rispetto ai rischi che i trattamenti presentano e alla natura dei dati da proteggere”.

309

“It is very important to examine early in the planning process whether and how to limit the amount of

personal data to the absolute minimum necessary. The tendency to reproduce increasingly complicated bureaucratic systems exactly in information technology […] can lead to major problems for data protection”

in P.SCHAAR, Privacy by Design, Identity in Information Society, 2010, 3:267-274.

310

Su questo tema, e, in particolare, su una reingegnerizzazione dei sistemi informativi fondata sul principio della “minimizzazione dei dati” è lo studio S.GÜRSES, C.TRONCOSO,C. DIAZ, Engineering Privacy by

Design, in Conference of Computers, Privacy & Data Protection, 2011, pp. 25.

311

Cfr. U.PAGALLO, On the Principle of Privacy by Design and its Limits: Technology, Ethics and the Rule

of Law, in S. Gutwirth et al. (eds.), European Data Protection: In Good Health?, Springer Science+Business

Media B.V, 2012, pp. 331-346. Si veda inoltre, U.PAGALLO,Privacy e Design, in M. Pietrangelo (a cura di),

Diritti di libertà nel mondo virtuale della rete, Fascicolo monografico di Informatica e diritto, 2009, 1, pp. 123-134 nonché U.PAGALLO, Designing Data Protection Safeguards Ethically, in Information, 2011, 2, pp. 247-265 e U.PAGALLO,E. BASSI, The Future of EU Working Parties’ “The Future of Privacy” and the

Principle of Privacy by Design, in M. Bottis (eds.), An Information Law for the 21st Century, Atene, Nomiki Bibliothiki, 2011, pp. 286-305.

responsabili del trattamento dei dati; b) la presenza di una dicotomia tra la libertà di scelta individuale e la sua compressione ad opera di terzi (seppur nel presunto interesse collettivo); c) la possibile lesione del diritto individuale all’autodeterminazione, a seguito del prevaricare di forme automatiche nella protezione dei dati. Sebbene i rischi evidenziati, Pagallo riconosce però la consistenza del concetto di “positive sum” o “win-win game” nel quale, aboliti i falsi conflitti tradizionali come, ad esempio, quello tra privacy e security, l’empowerment del consumatore assume un ruolo vitale.

3.1 IL MODELLO DELLA “PRIVACY BY DESIGN” ED IL FASCICOLO SANITARIO

ELETTRONICO

L’analisi condotta consente di trarre alcune conclusioni relative al rapporto tra protezione dei dati personali, sicurezza dei sistemi, diritto alla salute e Fascicolo Sanitario Elettronico. Come rappresentato in figura 14, esistono molteplici equilibri di cui è necessario tenere conto, è ciò, considerata la complessità che lo scenario sanitario, come altri settori del resto, presenta: gli interessi, i bisogni, i diritti in gioco sono non soltanto cospicui ma, frequentemente, antitetici. Occorre, dunque, agire adottando un vero e proprio bilanciamento di diritti: quelli del paziente, principale fruitore dei servizi sanitari nonché quelli di tutti gli stakeholder direttamente o indirettamente coinvolti nell’erogazione delle varie forme di assistenza; di non secondaria importanza, lo sviluppo crescente di modelli di

business anch’essi, in un certo senso, attori dei sistemi sanitari.

Per queste ragioni, si ritiene che i principi della “Privacy by Design” rappresentino uno strumento essenziale nel contemperamento di tutti gli interessi summenzionati; in particolare, se efficacemente tradotti, tali principi contribuiscono a creare modelli di prevenzione nella tutela della privacy. La “data minimization”, la separazione tra identificazione e contenuto dei dati, l’uso di pseudonimi e di tecniche di anonimizzazione, la cancellazione dei dati personali in tempi brevi sono tutti esempi concreti da utilizzare nel

design di sistemi informativi e, specialmente, nel design del FSE312.

Affinché la “privacy by default” diventi prassi, è, però, centrale creare un vero e proprio

framework giuridico e tecnologico comunitario, vincolante per gli Stati membri, per: (i)

312

La fattibilità nel recepire ed adattare i principi della PbD al settore sanitario, ed in particolare, al FSE, trova una concreta manifestazione nella piattaforma canadese “PHEMI Health System” che, utilizzando i dati dei pazienti, persegue gli obiettivi di migliorare la produttività clinica, i risultati per i pazienti e la ricerca medica. Designata nel 2013 da Cavoukian come “azienda ambasciatrice della Privacy by Design”, PHEMI, infatti, incorpora nelle definizione delle proprie tecnologie privacy e security. La homepage dell’azienda è raggiungibile all’indirizzo http://www.phemi.com/.

l’armonizzazione delle norme esistenti in materia di protezione dei dati sanitari, (ii) l’armonizzazione delle regole tecniche e giuridiche in uso (tra cui rientrano le security

policy), (iii) l’armonizzazione del design degli strumenti informatici e tecnologici (cfr. fig. 1).

In questo contesto si colloca, ad esempio, il processo di revisione della direttiva 95/46/CE, avviato il 25 gennaio 2012, ed ancora in essere, da parte della Commissione Europea con la proposta della “General Data Protection Regulation”, il cui obiettivo è, appunto, armonizzare le regole esistenti in materia di trattamento dei dati personali in accordo con i progressi tecnologici e i nuovi metodi di collezione, accesso ed utilizzo dei dati. La Commissione è, infatti, convinta che la protezione dei dati personali del cittadino sia un diritto fondamentale e che, al contempo, la libera circolazione dei dati personali sia un bene comune313.