• ingranaggi.jpg
  • mondo.jpg

Norme ISO


Standard internazionali sull'organizzazione degli ambienti IT, allo scopo di certificare la qualità delle scelte tecnologiche aziendali

HomeStandardISO 27000Privacy by Design. Evoluzione e privacy 3.0

Privacy by Design. Evoluzione e privacy 3.0

L'evoluzione tocca anche il settore della privacy rispetto alla tradizionale e primaria configurazione con il riferimento alle PET (acronimo di Privacy Enhancing Technologies) che costituiscono le tecnologie utilizzate per migliorare il diritto alla privacy. Ovviamente tali tecnologie vengono considerate in maniera neutra, ovvero senza alcuna connessione con specifiche fattispecie. Tale espressione fu utilizzata per la prima volta nel report pubblicato nel 1995 dal tiolo “Privacy-enhancing technologies: the path to anonymty”, della Data Protection Authority olandese in collaborazione con il Commissario dell’Ontario (Canada).

Sul piano puramente pratico, il riferimento alle PET era rivolto a qualsiasi risorsa tecnologica che potesse ridurre i rischi di uso illecito dei dati personali. Peraltro, proprio a livello europeo il Seventh Framework Program (FP7), il programma europeo di finanziamenti per la ricerca e lo sviluppo tecnologico per il periodo 2007-2013, ha evidenziato l’importanza di adottare soluzioni tecnologiche per la protezione della privacy. Su questo fronte è chiara la voce del Garante europeo P. Hustinx che ha rilevato, invece, una mancanza di azione su questo fronte anche riguardo all’uso pratico delle PET in settori importanti.

Tuttavia, dalle PET negli anni ’90 il Commissario Privacy dell’Ontario ha iniziato a parlare di un nuovo concetto denominato “Privacy by Design” che costituisce, in estrema sintesi, l’evoluzione delle PET senza abolirle, tant’è che si parla di PET Plus. In realtà, il profilo più delicato sul piano della riservatezza è costituito proprio dall’intero sistema IT e dalle comunicazioni mediante Internet. Privacy by Design si riferisce alla filosofia e all'approccio di considerare la privacy nelle specifiche di progettazione delle varie tecnologie.
In buona sostanza il concetto di Privacy by Design trova spazio nella trilogia di applicazioni: 1) IT systems; 2) accountable business practices; and 3) physical design and infrastructure”. In sostanza:

  1. Tecnologia dell’informazione;
  2. Pratiche commerciali responsabili;
  3. Progettazione delle strutture.

In particolare, con riferimento alla tecnologia dell’informazione si afferma, come già evidenziato, che la tecnologia non può costituire una minaccia per la privacy, ma un ausilio per la riduzione dei rischi. Per le pratiche commerciali responsabili, viene evidenziato come la privacy non va interpretata come un onere, un costo che appesantisce l'attività imprenditoriale ma, al contrario, come un vantaggio per una migliore competitività. Infine, l’elemento della progettazione delle strutture assume rilevanza – secondo il Commissario dell’Ontario – poiché molto spesso siamo costretti a vedere esposti i dati personali in aree pubbliche mal progettate come, ad esempio, le sale d’attesa degli ospedali o degli uffici, ove è possibile che vengano – illecitamente – divulgate le informazioni personali.
Fermo il contesto rappresentato dai tre punti precedenti, la Privacy by Design si fonda su sette principi:

  1. Proactive not Reactive; Preventative not Remedial: l’approccio alla PbD è di tipo proattivo piuttosto che reattivo; l’obiettivo è quello di anticipare gli eventi e non attendere che essi si verifichino per proporre rimedi alle soluzioni.
  2. Privacy as the Default: questo principio consiste nella salvaguardia del soggetto poiché il bene “privacy” va considerato a priori; in sostanza, nessuna azione è richiesta all’interessato per proteggere la propria privacy, perché i dati personali vengono protetti automaticamente in ogni sistema IT o commerciale, anche se il soggetto non fa nulla.
  3. Privacy embedded into Design: la PbD è incorporata nell’architettura dei sistema e delle pratiche commerciali e non costituisce un quid pluris, un elemento da apporre successivamente: si tratta di una componente essenziale del sistema che non incide sulla sua funzionalità.
  4. Full Functionality – Positive-Sum, not Zero-Sum: la PbD mira a conciliare tutti gli interessi legittimi e gli obiettivi in una somma positiva del tipo “win-win” dove sono inutili i compromessi e non attraverso un approccio datato del tipo “zero-sum”; in sostanza in un contesto tradizionale, un soggetto vince ed uno perde, mentre nella PbD tutte le parti devono risultare vincenti. Inoltre, “Privacy by Design avoids the pretense of false dichotomies, such as privacy vs. security, demonstrating that it is possible to have both”.
  5. End-to-End Lifecycle Protection: incorporati i dati all’inizio non c’è rischio sino alla fine del processo di trattamento dei dati, con la sicurezza che, all’esito, tutti i dati saranno distrutti tempestivamente in modo sicuro. Così, la PbD assicura dalla culla alla tomba la gestione dell’intero ciclo vitale delle informazioni, “end-to-end”.
  6. Visibility and Transparency: PbD garantisce che tutti i soggetti interessati, indipendentemente dalla prassi aziendale o dalla tecnologia, potranno in qualsiasi momento effettuare le verifiche più opportune in assoluta trasparenza.
  7. Respect of user privacy: al di là di tutto, la PbD richiede agli operatori che gli interessi dei soggetti siano preminenti e quindi offrendo misure come una forte privacy di default, informazioni appropriate e potenziando opzioni di facile utilizzo; il tutto con un approcciouser-centric.

Come si può notare si tratta di una vera e propria rivoluzione della privacy che non concerne soltanto le misure tecniche per assicurare adeguata sicurezza ai dati personali, ma una serie di concetti innovativi che prescindono dall’assolutizzare la protezione dei dati personali per giungere alla considerazione che la sicurezza delle informazioni è insita nel concetto stesso di privacy.

Ad avviso di chi scrive ciò rappresenta l'evoluzione ulteriore del concetto già affermato con le PETs (Privacy Enhancing Technologies), che può determinare l'ambito operativo e di azione della privacy 3.0. In effetti, sebbene si tratti di questioni che contengono profili futuristici, il processo evolutivo è già in atto da tempo e si attesta in questi tempi con la presa di coscienza della necessità di un approccio nuovo alle questioni attinenti i dati personali.

Non si tratta soltanto di una questione nominale o teorica, poiché numerosi sono i riflessi pratici della Privacy by Design.

 

di Nicola Fabiano - All Rights Reserved

 














ITHUM, specializzata nella formazione e consulenza in ambito IT, eroga corsi di formazione in ambito ISO in collaborazione con organismi di certificazione internazionale. 

Logo Iso AcademyQuesto portale è stato ideato nell'ambito dell'ISO Academy® Program, un'insieme di iniziative di formazione e aggiornamento dedicate ai professionisti del settore, ad opera di ITHUM in collaborazione con ICT Academy.
Lo scopo è meramente divulgativo: finalizzato, cioè, ad introdurre al complesso mondo delle Norme ISO.

Non esitate a Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo. per informazioni o per segnalarci errori o informazioni non aggiornate.


Powered by ElaMedia Group
Copyright 2014