La riflessione di Ann Cavoukian e i sette principi della privacy by design

Come si accennava, il concetto di privacy by design è stato inizialmente elaborato in Canada durante l’ultimo decennio del secolo scorso, grazie alla riflessione di Ann Cavoukian, la quale è attualmente uno dei maggiori esperti mondiali in materia di privacy. Ann ha ricoperto il ruolo di Information and Privacy Commissioner dell’Ontario (d’ora in avanti: IPC) dal 1997 al 2014, per l’eccezionale durata di tre mandati. L’IPC è l’autorità indipendente che si occupa della tutela della privacy in quella regione canadese, con la funzione di ufficio legislativo, consultivo, decisionale e promozionale, così come è stabilito dal Freedom of Information and Protection of Privacy Act del 1990, che è un

revised statute consolidato in materia di protezione dei dati personali emanato

dal Governo dell’Ontario, ancora oggi vigente2. Nel 2014, poi, è stata nominata Executive Director of Privacy And Big Data Institute della Ryerson University, sempre in Ontario, a Toronto, iniziando ad occuparsi di ricerca anche in ambito universitario e continuando a dare impulso ad una diffusione mondiale del suo pensiero. Questo istituto è un centro d’eccellenza che persegue e promuove una formazione interdisciplinare, che sia frutto di una ricerca critica e innovativa, la quale raccoglie studenti, docenti, di vari dipartimenti, e anche partners esterni, in modo da garantire una visione d’insieme e dei risultati concreti che possano essere impiegati, perché no, nelle iniziative commerciali delle aziende3. L’approccio interdisciplinare offerto dalla Ryerson University coglie appieno le poche parole proposte sul tema nel secondo paragrafo del precedente capitolo e dimostra ancora una volta l’importante ricchezza

2

No. 4 (1), Part I Administration, Freedom of Information and Protection of Privacy Act, R.S.O. 1990, c. F.31, “Information and Privacy Commissioner”: “There shall be appointed, as an officer of the Legislature, an Information and Privacy Commissioner to exercise the powers and perform the duties prescribed by this or any other Act. R.S.O. 1990, c. F.31”. I poteri del Commissario sono elencati nel No 59, Part V, “Powers and duties of Commissioner”: “The Commissioner may, (a) offer comment on the privacy protection implications of proposed legislative schemes or government programs; (b) after hearing the head, order an institution to, (i) cease collection practices, and (ii) destroy collections of personal information, that contravene this Act; (c) in appropriate circumstances, authorize the collection of personal information otherwise than directly from the individual; (d) engage in or commission research into matters affecting the carrying out of the purposes of this Act; (e) conduct public education programs and provide information concerning this Act and the Commissioner’s role and activities; and (f) receive representations from the public concerning the operation of this Act. R.S.O. 1990, c. F.31, s. 59”.

3

Si veda il sito del Privacy and Big Data Institute della Ryerson University: <http://www.ryerson.ca/pbdi/about/exec_message/>: “The Privacy and Big Data Institute, will pursue and promote critical interdisciplinary education, training, research, innovation, commercialization and related activities in Privacy and Big Data. The Institute will bring together students, faculty and staff from departments and academic units within Ryerson, and initiate and strengthen collaboration with partners from outside Ryerson”.

41

ottenibile dall’incontro e dalla collaborazione tra soggetti muniti di un bagaglio culturale e formativo tra loro differente e differenziato.

A parere dell’autrice canadese, è intesa privacy by design (d’ora in avanti anche con l’acronimo: pbd), la realizzazione di un progetto che consideri la protezione dei dati personali e della riservatezza sin dal principio, a partire dalla creazione del prodotto o dell’esecuzione di un servizio. L’approccio è caratterizzato dall’adozione di misure proattive, con lo scopo di anticipare e prevenire le invasioni della privacy prima che accadano; per l’appunto la privacy by design non consente di attendere la materializzazione del rischio di invasione alla sfera giuridica del soggetto e non intende offrire rimedi successivi, ma mira alla prevenzione, ossia ad operare “before-the-fact”4. Al

fine di rendere più chiara la metodologia proposta, Ann Cavoukian ha elaborato sette principi fondativi che reggono il suo sistema della privacy, che è concepito ponendo al centro la figura dell’utente. I sette principi proposti sono i seguenti5:

4

A. CAVOUKIAN, Privacy by design, Information & Privacy Commissioner, Ontario, Canada,

2009, 1 in <www.privacybydesign.ca>: “The privacy by design framework employs an approach that is characterized by proactive rather than reactive measures. It anticipates and prevents privacy invasive events before they appen. Privacy by Design does not wait for privacy risks to materialize, nor does it offer remedies for resolving privacy infractions once they have occurred – it aims to prevent them from occurring. In short, Privacy by Design comes before-the-fact, not after”.

5

Ibidem, 2. Le descrizioni dei principi sono state tradotte per poterli esplicitare nel miglior modo possibile. Si è lavorato a partire dal documento del 2009 sopra citato e si è tenuto conto della sua revisione pubblicata nel settembre del 2013 sullo stesso sito riferito. Si è cercato di fornire delle parole equivalenti, ma non necessariamente uguali, per superare il rischio della tautologia dei concetti. Per completezza, ora si riporta l’elenco dei principi con le parole dell’autrice del 2009: “1. Proactive not reactive: preventative not remedial: The Privacy by Design (Pbd) framework is characterized by the taking of proactive rather than reactive measures. It anticipates the risks and prevents privacy invasive events before they occur. Pbd does not wait for privacy risks to materialize, nor does it offer remedies for resolving privacy infractions once they have occurred — it aims to identify the risks and prevent the harms from arising. In short, Privacy by Design comes before-the-fact, not after. 2. Privacy as the default setting: We can all be certain of one thing — the default rules! Privacy by Design seeks to deliver the maximum degree of privacy by ensuring that personal data are automatically protected in any given IT system or business practice, as the default. If an individual does nothing, their privacy still remains intact. No action is required on the part of the individual in order to protect their privacy — it is already built into the system, by default. 3. Privacy embedded into design: Privacy measures are embedded into the design and architecture of IT systems and business practices. These are not bolted on as add-ons, after the fact. The result is that privacy becomes an essential component of the core functionality being delivered. Privacy is thus integral to the system, without diminishing functionality. 4. Full functionality: positive-sum, not zero-sum: Privacy by Design seeks to accommodate all legitimate interests and objectives in a positive- sum “win-win” manner, not through the dated, zero-sum (either/or) approach, where unnecessary trade-offs are made. Privacy by Design avoids the pretense of false dichotomies, such as privacy vs. security, demonstrating that it is indeed possible to have both. 5. End-to-end security: full lifecycle protection: Privacy by Design, having been embedded into the system prior to the first element of information being collected, extends securely throughout the entire lifecycle of the data involved — strong security measures are essential to privacy, from start to finish. This ensures that all data are securely collected, used, retained, and then securely destroyed at the end of the process, in a timely fashion. Thus, Privacy by Design ensures cradle to grave, secure lifecycle management of information, end-to-end. 6. Visibility and transparency:

42

1. Proactive not reactive, Preventative not remedial (Proattivo non reattivo, preventivo non correttivo). L’approccio è proattivo perché le misure in materia di privacy devono essere adottate nella fase di progettazione del prodotto tecnologico, per prevenire le violazioni e non doverne cercare un rimedio successivo. Il focus è anche sul ruolo giocato dalle scelte organizzative della direzione di un’azienda nel programma di protezione della privacy6;

2. Privacy as the Default Setting (Privacy come impostazione predefinita). È necessario assicurare che i dati personali siano automaticamente protetti in ogni sistema ICT e in qualsiasi pratica commerciale, in modo che, anche quando non sia richiesta un’azione positiva da parte dell’individuo, la sua privacy sia protetta per impostazione predefinita. A questo proposito sono destinate varie tecnologie, tra cui quelle per la regolazione della geolocalizzazione, per l’anonimizzazione del segnale digitale e la crittografia del dato biometrico;

3. Privacy Embedded into design (Privacy incorporata nella progettazione). La privacy deve essere integrata nel design e così rappresentare un essenziale componente della funzionalità della tecnologia, essendo appunto inserita nella sua architettura;

4. Full functionality – Positive-sum, Not zero-sum (Massima funzionalità, valore positivo e non valore zero). Questo approccio intende soddisfare tutti gli interessi e gli obiettivi in gioco, dimostrando che non sempre è imposto scegliere a vantaggio di una singola posizione ed escluderne un’altra, come nel caso della relazione tra privacy e sicurezza;

5. End-to-end security – full lifecycle protection (Sicurezza fino alla fine, durante tutto il ciclo del prodotto o servizio). L’approccio deve essere mantenuto per tutta la durata del trattamento dei dati, affinché il dato sia

keep it open: Privacy by Design seeks to assure all stakeholders that whatever the business practice or technology involved, it is in fact, operating according to the stated promises and objectives, subject to independent verification. The data subject is made fully aware of the personal data being collected, and for what purpose(s). All the component parts and operations remain visible and transparent, to users and providers alike. Remember, trust but verify! 7. Respect for user privacy: keep it user-centric: Above all, Privacy by Design requires architects and operators to keep the interests of the individual uppermost by offering such measures as strong privacy defaults, appropriate notice, and empowering user-friendly options. The goal is to ensure user-centred privacy in an increasingly connected world. Keep it user-centric”.

6

A. CAVOUKIAN, Operationalizing privacy by design: a guide to implementing strong privacy

practices, Information and Privacy Commisioner, Ontario, 2012, in <www.privacybydesign.ca>, 3: “The focus is on the role played by organizational leadership/senior management in the formation, execution and measurement of an actionable privacy program. Research and case studies pertaining to the role of Boards of Directors, the definition of an effective privacy policy, the execution of a “Pbd Privacy Impact Assessment” (a truly holistic approach to privacy and privacy risk management) and a “Federated PIA,” as well as a variety of other applications contribute to further implementation guidance”.

43

acquisito, trattenuto e distrutto in sicurezza e così la gestione dei dati sia conforme dall’inizio alla fine;

6. Visibility and transparency – keep it Open (Visibilità e trasparenza). La protezione deve essere verificabile dall’individuo grazie alla visibilità delle misure e alla loro trasparenza, nel senso che l’individuo può costantemente controllare che le operazioni sui suoi dati siano conformi alle previsioni e agli obiettivi;

7. Respect for User Privacy – keep it User-Centric (Rispetto per la privacy dell’utente, centralità dell'utente). La privacy by design richiede che l’utente, l’individuo, sia al centro, perciò devono essere implementate le misure di protezione per impostazione predefinita, la presenza di notifiche appropriate e delle opzioni di policy facili da utilizzare. Tutto ciò perché si deve assicurare la protezione dell’utente indipendentemente dalla sua partecipazione spontanea, ma con opzioni che la rendono in un certo senso obbligatoria7.

Gli scenari applicativi considerati da Ann Cavoukian per la sua pbd sono principalmente tre, ossia la tecnologia dell’informazione, le pratiche commerciali e le strutture di rete. Questa trilogia coinvolge sia il settore pubblico, sia quello privato; si dovrebbe considerare la privacy by design non come la temuta assunzione di costi eccessivi per le aziende, ma come piuttosto un vantaggio in termini di competitività e farne perciò una questione di business e non di compliance8.

La ricerca canadese sulla pbd ha consentito la produzione di molti articoli scientifici da parte di professionisti di varia formazione, tra i quali giuristi, informatici, economisti, o esperti di sanità, coinvolgendo così nove aree chiave di applicazione più concreta: la videosorveglianza, l’utilizzo di dati biometrici, i contatori e le reti intelligenti, i dispositivi mobili e quelli per le comunicazioni, le tecnologie di connettività wireless, le tecnologie per la memorizzazione automatica delle informazioni, il monitoraggio remoto dei pazienti con problemi sanitari e la gestione e l’analisi dei big data9.

Inoltre, la già commissaria dell’IPC ha speso delle parole per dissipare tre miti sulla privacy molti diffusi ai giorni nostri. Innanzitutto, la privacy non è

7

Ibidem, 4: “The privacy interests of the end-user, customer or citizen are paramount. Pbd demands that application and process developers undertake a collection of activities to ensure that an individual’s privacy is protected even if they take no explicit steps to protect it. Privacy defaults are key; clear notice is equally important. Especially within complex systems (e.g. contemporary Social Network Services), users should be provided with a wide range of privacy- empowering options”.

8

CAVOUKIAN, Privacy by design, cit., 3.

9

Ibidem, 5: “9 Pbd Application Areas: CCTV/Surveillance cameras in mass transit systems; Biometrics used in casinos and gaming facilities; Smart Meters and the Smart Grid; Mobile Communications; Near Field Communications; RFIDs and sensor technologies; Redesigning IP Geolocation; Remote Home Health Care; Big Data and Data Analytics”.

44

morta, come alcuni vorrebbero far credere10. A suo parere, se ciò fosse vero, anche la libertà dovrebbe soccombere, ma ciò non è possibile perché la caratteristica prima dell’umanità è di essere libera. Secondariamente, non è attendibile affermare che nessuno si preoccupa più della propria privacy; infatti, ciascuno, per quanto sia sempre connesso e condivida sempre più informazioni, desidera preservare una anche minima sfera di riservatezza, che gli permetta di godere di momenti di solitudine e di intimità. Infine, non sarebbe possibile ritenere che aumentare la sicurezza significhi diminuire la privacy: la pbd intende proprio promuovere un valore positivo tra i due concetti, ovverosia un connubio tra i due valori, e ciò potrebbe davvero realizzarsi se si seguissero i sette principi fondativi citati. La protezione della privacy sarebbe, sempre secondo Ann Cavoukian, il fondamento della freedom e della liberty del nostro tempo11. Il lavoro della commissaria canadese è stato diffuso in tutto il mondo e tramite alla sua partecipazione agli eventi internazionali in tema di privacy si è giunti ad un riconoscimento formale della validità del principio di pbd nel 2010 a Gerusalemme.

1.2. La Resolution of Jerusalem e il riconoscimento internazionale