La prospettiva futura

In questo paragrafo si intendono delineare le linee guida da seguire per l’auspicabile adozione giuridica del principio di privacy by design.

Innanzitutto la norma dovrà essere chiara, vincolante e applicabile al maggior numero di situazioni possibili. All’uopo il legislatore provvederà a definire il principio con norme prima generali e poi settoriali, per esempio definendo concreti requisiti di adozione188. È suo compito assicurare che le prescrizioni siano sufficientemente chiare perché sono volte alla protezione del diritto fondamentale all’autodeterminazione e ad essere lasciati soli189. La normativa non dovrà essere statica, ma dinamica e dovrà essere aggiornata

186

KLITOU, Privacy-Invading Technologies and Privacy by Design, safeguarding privacy, liberty and security in the 21st century, cit., 322: “Companies, researchers and other stakeholders could also receive public funding to develop and validate a variety of PBD solutions, and then identify and exchange best practices and lessons learned for implementing PBD solutions, based on established facts/evidence and pilot demonstrations”.

187

PRINCIPATO, Verso nuovi approcci alla tutela della privacy: privacy by design e by default settings, cit., 215.

188

Si veda SCHARTUM, Making privacy by design operative, cit., 159: “Legislators aiming at facilitating privacy by design should thus specify as many conditions as they have confidence in, possibly on a rather detailed level, for instance by defining sub-conditions. […] Such regulations would imply concrete privacy by design requirements imposed by law”.

189

D. KREBS, “Privacy by Design”: nice-to-have or a necessary principle of data protection law?,

4 JIPITEC 2190 (2013), 80: “It is the regulator’s mandate, however, to ensure that legislative requirements are sufficiently clear and that their adherence can be tracked (and enforced). Notwithstanding this obligation, the argument that any lack of clarity on the specific meanings of PbD in every context should mean that its legislative adoption should not be encouraged, cannot stand where the right sought to be protected is as fundamental as the right to informational self-determination and to be let alone”.

98

periodicamente; allo stesso modo l’implementazione nei sistemi dovrà essere monitorata regolarmente. La previsione di sanzioni è inevitabilmente necessaria, così come la neutralità tecnologica delle disposizioni.

Secondariamente, il catalogo dei soggetti obbligati dovrebbe comprendere, oltre ai titolari dei trattamenti dei dati, i tecnici sviluppatori dei sistemi ICT. Affinché la pbd sia operativa è importante coinvolgere i tecnici, le autorità di controllo, gli incaricati del trattamento e gli interessati190. A ciò si aggiunge che la cultura della privacy dovrebbe essere alla portata di tutti.

Inoltre, i tecnici dovrebbero essere edotti a seguire la metodologia già a partire dagli studi formativi. A constatarlo sono stati gli stessi ingegneri, i quali hanno sottolineato che la privacy by design richiede una competenza particolare, una conoscenza completa dello stato dell’arte della tecnologia e del quadro normativo di riferimento191.

Le criticità prima illustrate possono essere risolte operando un bilanciamento tra i vari interessi in gioco. L’era digitale ha fatto assumere natura globale ai fatti e agli istituti giuridici. Ciò che si auspica è che l’elaborazione dottrinale possa condurre alla redazione di una norma sulla privacy by design applicabile al più alto numero di ordinamenti. Occorre allora incentivare la condivisione delle scelte operative in ambito interno e internazionale192. A vantaggio di questa visione vi è il profilo tecnologico, che può essere facilmente trasposto da un contesto all’altro. Si potrebbero sostenere le iniziative di open

innovation e open technology193.

Si è già espressa la necessità che la pbd sia percepita dai soggetti commerciali come un incentivo; in questo la politica può esercitare la propria influenza e i governi devono essere i primi ad attuarla. Il principio potrebbe essere inserito nei contratti e nelle licenze informatiche, all’interno delle condizioni sottoscritte dall’utente, per garantirne una maggiore applicazione e una responsabilità a livello contrattuale; oppure si potrebbe puntare all’introduzione esplicita nelle policies aziendali, magari associata ad una certificazione attribuita da un organismo esterno ed imparziale.

190

Ibidem, 171: “However, in my view it is important to invalidate a tacit limitation of privacy by design as something primarily being a responsibility and possibility for controllers. Instead, we should acknowledge that a system-by-design approach should also include information systems under the control of other related parties, in particular data protection authorities, processors and data subjects”.

191

GÜRSES, TRONCOSO, DIAZ, Engineering Privacy by Design, cit., 20-21: “From these

experiences we derive that engineering privacy by design requires a specific type of expertise. This expertise is necessary to develop a privacy by design engineering practice. This includes the establishment of privacy engineering methodologies and the training of future experts who are informed about the state-of-the-art research in security and privacy technologies, legal frameworks and the current privacy and surveillance discourses”.

192

MANTELERO, Regole tecniche e giuridiche: interazioni e sinergie nella disciplina di internet, cit., 686.

193

Il carattere “open” contraddistingue quelle posizioni di pensiero che spingono verso una maggiore condivisione delle ricerche scientifiche a vantaggio di tutti.

99

Nelle pagine precedenti sono stati citati contributi dottrinali di giuristi, economisti, informatici ed ingegneri; ancora una volta si desidera ribadire la potenziale ricchezza insista nel lavoro che allacci più discipline. La pbd può servire per creare un ponte tra diverse figure professionali e per superare le separazioni tra gli attori commerciali unendo gli sforzi per la protezione della privacy194.

A questo punto si procede con l’illustrazione di alcune metodologie generali per applicare il principio nel design dei sistemi informatici. Inizialmente si deve distinguere tra i processi front-end e back-end: un sistema si compone di funzionalità visibili all’utente, come gli strumenti per condividere i dati personali in un social network, e invisibili/nascoste, che sono quei processi che garantiscono la conformità al diritto, al regolamento interno all’azienda e alle preferenze espresse dal consumatore195. Poi, sono stati indicati cinque tranelli da evitare nel design dei prodotti informatici, divisi in understanding e action:

1. Il design non dovrebbe oscurare all’utente la natura e la quantità dei flussi di informazione potenziali, perché l’utente può utilizzare il sistema in modo informato solo se capisce le ripercussioni sulla sua privacy;

194

KLITOU, Privacy-Invading Technologies and Privacy by Design, safeguarding privacy, liberty and security in the 21st century, cit., 323: “If successful, PBD in the end could serve as a bridge between lawmakers, policy-makers, practitioners, engineers/designers and academics, and thus potentially evolve into a policy instrument for overcoming the separation of the variety of relevant stakeholders and actors, for minimizing the excessive division of their efforts to protect privacy and for identifying the concurrences, synergies and overlaps of their endeavors”. Per l'importanza di coniugare le diverse professionalità si veda MASSEY, Why understanding technology is essential for privacy law, cit., 710: “Effective communication between engineers and policy makers must become commonplace to protect privacy and improve the state of technology policy. Engineers must seek to better understand and incorporate laws and regulations into the design of their technologies; this is not only an ethical imperative, but it is also a critical aspect of developing professional standards for software engineering. Policy makers and lawyers must seek to understand the technologies beyond a surface level. Far too often policy makers identify a general policy solution or principle and then fail to state it with enough specificity to be accessible to the engineers building tomorrow's technologies”. Ciò che risulta molto interessante è il fatto che l’incorporazione delle regole della privacy nella tecnologia non sia solo una questione di conformità alla normativa, o un imperativo etico, ma anche di rispetto di standard della professione ingegneristica. D’altra parte il panorama giuridico dovrebbe far sì che le norme e i principi siano più chiari e spendibili da parte dei tecnici.

195

RUBINSTEIN, Regulating privacy by design, cit., 1422: “Front-end activities are a design process for customer-facing products and services (i.e., those with which customers interact by downloading software, using a web service, and/or sharing personal data or creating user content). Back-end practices consist of data management processes that ensure that information systems (for both internal use and for sharing data with affiliates, partners, and suppliers) comply with privacy laws, company policies (including published privacy policies), and customers’ own privacy preferences. Although distinctive, the two lifecycles overlap in that most products and services designed for the Internet combine a front-end component with back-end data handling”.

100

2. Il design non dovrebbe oscurare all’utente l’effettiva portata della divulgazione delle informazioni attraverso il sistema, permettendo all’utente di sapere quali e a chi sono condivise;

3. Il design non dovrebbe richiedere un’eccessiva configurazione all’utente per gestire la privacy, la quale deve essere una naturale conseguenza del normale utilizzo del sistema;

4. Il design non dovrebbe rinunciare ad un meccanismo esplicito e di massimo livello per fermare e riprendere la condivisione dei dati; 5. Il design non dovrebbe inibire gli utenti dal trasferire le pratiche

sociali nelle tecnologie196.

Probabilmente il più approfondito contributo in materia è stato prodotto dall’ENISA nel 2014 attraverso il Report intitolato Privacy and Data Protection

by Design, from policy to engineering197. L’agenzia europea ha stabilito un insieme di linee guida tenendo conto sia degli aspetti legali che di quelli ingegneristici. Per lavorare al livello dell’architettura i criteri chiave sono: la scelta del tipo di relazione di fiducia tra i portatori di interessi, la scelta del tipo di interazione con gli utenti, la considerazione dei limiti tecnici e la definizione dell’architettura stessa198. La pbd deve essere inserita in un processo di continuo adeguamento alla normativa e dunque l’ENISA ha indicato delle strategie data oriented, qui di seguito riportate:

1. Minimizzare, ossia restringere la quantità dei dati personali trattati al minor numero possibile. Concreti esempi di design sono gli strumenti che implementino l’anonimizzazione, l’utilizzo di pseudonimi e la selezione prima della raccolta.

2. Nascondere, ossia impedire la semplice e aperta visualizzazione dei dati personali e delle loro relazioni congiunte, per impedirne gli abusi. Alcune

196

Si veda S. LEDERER ET AL., Personal privacy through understanding and action: five pitfalls

for designers, 8 Pers. & Ubiquitous Computing 440 (2004). Il paper è interamente dedicato all’esplicazione dei cinque tranelli del design, di cui si riportano:

Understanding

1. Obscuring potential information flow. Designs should not obscure the nature and extent of a system’s potential for disclosure. Users can make informed use of a system only when they understand the scope of its privacy implications.

2. Obscuring actual information flow. Designs should not conceal the actual disclosure of information through a system. Users should understand what information is being disclosed to whom.

Action

3. Emphasizing configuration over action. Designs should not require excessive configuration to manage privacy. They should enable users to practice privacy as a natural consequence of their normal engagement with the system.

4. Lacking coarse-grained control. Designs should not forgo an obvious, top-level mechanism for halting and resuming disclosure.

5. Inhibiting established practice. Designs should not inhibit users from transferring established social practice to emerging technologies.

197

EUROPEAN UNION AGENCY FOR NETWORK AND INFORMATION SECURITY (ENISA), Privacy and

Data Protection by Design–from policy to engineering, 2014, in Rete: <www.enisa.europa.eu>.

198

101

esemplificazioni sono il crittaggio dei dati, l’insieme delle tecniche per nascondere il traffico delle informazioni e per scollegarle le une dalle altre.

3. Separare, ossia trattare i dati personali in modo distribuito, possibilmente in compartimenti separati, affinché non siano ricreabili dei profili completi degli interessati. Al momento non si conoscono degli esempi concreti che implementino questa strategia. Rimane perciò tra gli obiettivi dell’ENISA individuare delle eventuali tecniche innovative. 4. Aggregare, ossia trattare i dati personali al più alto livello di

aggregazione e con il minor dettaglio possibile con il quale siano ancora utili, in modo da diminuire le informazioni sul singolo e lavorare sui gruppi. Le esemplificazioni sono: “aggregation over time, dynamic

location granularity, k-anonymity, differential privacy and other anonymization techniques”199.

5. Informare, ossia garantire la trasparenza nel trattamento dei dati personali. Delle possibili tecniche di design sono la piattaforma P3P, gli avvisi alle violazioni dei dati, la predisposizione di strumenti interattivi per la gestione delle informazioni.

6. Controllare, ossia l’interessato dovrebbe essere in grado di tenere sotto controllo il trattamento dei propri dati, anche attraverso la rappresentanza. Delle utili tecniche di design sono: “user centric identity management and end-to-end encryption support control”200.

7. Far rispettare, ossia si dovrebbe porre in essere e applicare una privacy

policy compatibile con i requisiti legali. Gli esempi sono il controllo

all’accesso ai dati personali e delle regolamentazioni stringenti per la gestione interna degli stessi.

8. Infine, dimostrare, ossia richiedere al titolare del trattamento di provare la conformità con la privacy policy e ogni requisito legale applicabile. Concretamente si richiede un sistema adeguato di gestione organizzativa, e l’utilizzo delle tecniche di logging e auditing201.

Queste strategie, a parere dell’Agenzia, devono essere promosse dai legislatori perché la privacy by design non può essere semplicemente adottata dagli sviluppatori dei sistemi ICT e dai titolari del trattamento dei dati; in ogni caso, dovranno essere previsti degli incentivi e dei modelli successivamente adottati dagli stessi soggetti pubblici, con l’azione diretta delle agenzie degli Stati Membri202. L’ENISA suggerisce anche una revisione delle policies per 199 Ibidem, 19. 200 Ibidem, 21. 201

Ibidem, 19 e ss. Tutte le strategie elencate sono state tradotte e sistematizzate dalle pagine centrali del Report.

202

Ibidem, 50: “In today’s information and communication technology landscape, privacy by design usually does not happen by itself, but it needs to be promoted. Policy makers need to support the development of new incentive mechanisms and need to promote them. System

102

evitare delle facili scappatoie: se il prodotto o il servizio non soddisfano il paradigma della privacy by design, non potranno essere conformi alla legge; affinché tutto ciò sia attuabile, le autorità preposte alla protezione dei dati personali e dei consumatori dovrebbero disporre dei poteri necessari per cercare ed occuparsi attivamente delle violazioni203. L’approccio multidisciplinare è prerogativa di questa agenzia ed è altrettanto consigliato per lo sviluppo della privacy engineering204. Tale branca dell’ingegneria dovrebbe fornire gli strumenti per un’intuitiva implementazione della privacy, facendo sì che tutto risulti più semplice205. È infine chiaro che la pbd debba essere promossa dai legislatori e inserita nelle loro normative206.

In queste pagine si è cercato di dimostrare che la privacy by design è l’approccio del futuro della protezione dei dati personali e della riservatezza. La pbd è probabilmente la migliore opzione oggi presente per bilanciare il potenziale trade-off tra privacy e libertà da un lato e la sicurezza pubblica, commercio, dall’altro207.