Ingegneria della data protection: il manuale per l’applicazione dei principi privacy

Articolo header

L’Agenzia dell'Unione Europea per la sicurezza informatica (ENISA) ha pubblicato un rapporto sull'ingegneria della protezione dei dati. Il report approfondisce il significato di “data protection engineering”, con lo scopo di aiutare professionisti ed organizzazioni nell’implementazione pratica dei concetti teorici del Regolamento Europeo in materia di protezione dei dati personali (GDPR).


A nuove tecnologie corrispondono spesso nuove tecniche per raccogliere, elaborare e conservare i dati personali. Al tempo stesso da queste tecniche derivano anche nuove minacce per la sicurezza e nuovi vettori di attacco. Fra le sfide associate alle tecnologie emergenti vi sono: la mancanza di controllo e di trasparenza, il riutilizzo non conforme o incompatibile dei dati, l’interferenza fra i dati e la re-identificazione, la profilazione e la presenza di processi decisionali automatizzati.

In tale contesto, la valutazione preventiva dell'impatto sulla privacy e sulla protezione dei dati risulta determinante al fine di soddisfare i principi chiave stabiliti dal GDPR. Ma come si implementano concretamente concetti astratti come quelli relativi alla data protection by design e by default? Ingegnerizzare questi principi nella pratica non significa solo integrarli nella progettazione dell'operazione di trattamento. Significa anche selezionare, implementare, configurare e mantenere misure tecnologiche e tecniche appropriate a tal fine.  

Dalla teoria alla pratica

La recente pubblicazione dell’ENISA “DATA PROTECTION ENGINEERING: from Theory to Practice”, si pone l’obiettivo di approfondire le tecnologie e le tecniche (di sicurezza) esistenti, in modo da analizzarne i punti di forza, le relative limitazioni e l'applicabilità nel concreto. Tecniche di sicurezza tradizionali, come il controllo degli accessi e la conservazione in archivi in grado di garantire la riservatezza dei contenuti, vengono discusse in aggiunta a nuovi concetti come, ad esempio, quello di “dati sintetici” (“synthetic data”), che introducono nuove opportunità e sfide.

Le operazioni di trattamento devono quindi essere ripensate, a volte radicalmente (in modo simile a quanto sono radicali le minacce), con l’integrazione di opportune salvaguardie e con la definizione di nuovi attori e responsabilità

L’ingegneria della data protection

Il report si apre con il dibattito sul principio di protezione dei dati sin dalla progettazione (privacy by design): un concetto poliedrico. L’ENISA evidenzia come, dal punto di vista legale, venga descritto in termini molto ampi, come principio generale. Dagli ingegneri e ricercatori, invece, il termine è sovente equiparato all’uso di specifiche tecnologie di miglioramento della privacy (le cosiddette PETS “Privacy Enhancing Technologies”). 

Tuttavia, la privacy by design non è solo un elenco di principi né può essere ridotto all'implementazione di specifiche tecnologie. Si tratta, piuttosto, di un processo che comprende componenti tecnologiche ed organizzative, e che si esplica nell’adozione di misure (anche PETS) in grado di implementare la privacy e l’applicazione dei principi generali del Regolamento (di cui all’art. 5 GDPR).

L'ingegneria della protezione dei dati può essere percepita come parte della protezione dei dati per progettazione. Ha lo scopo di supportare la selezione, l'implementazione e la configurazione di misure tecniche e organizzative appropriate al fine di soddisfare specifici principi di protezione dei dati. In passato è stata descritta come un insieme di strategie e metodologie, guidate dalla analisi e gestione dei rischi, volte a raggiungere dei “data protection goals”, ovvero degli obiettivi chiave per la protezione dei dati di una organizzazione.

PETS e altre misure tecniche di data protection engineering

Per sostenere l’attuazione di questi obiettivi, il GDPR ci fornisce lo strumento della valutazione d'impatto sulla protezione dei dati (DPIA), cui si abbinano le sopracitate tecnologie di miglioramento della privacy (PETS), in quanto misure tecniche ICT progettate per sostenere l'attuazione dei principi di protezione dei dati a livello sistemico e fondamentale. Poiché le PETS possono variare da un singolo strumento tecnico a un'intera implementazione a seconda del contesto, dello scopo e dell'operazione di trattamento stessa, vengono sovente categorizzate. La classificazione può basarsi, ad esempio, sulle caratteristiche della tecnologia di miglioramento utilizzata:

  • Truth-preserving: la tecnologia PET si pone l’obiettivo di preservare l’accuratezza dei dati mentre si riduce il relativo potere di identificazione, ad esempio sostituendo una data di nascita con l’età;
  • Intelligibility-preserving: in questo caso la tecnologia PET si pone l’obiettivo di preservare l'intelligibilità mediante le tecniche di iniezione di rumore (noising), questo consente di mantenere l’aspetto dei dati fornendo una salvaguardia della riservatezza sui dati veri;
  • Operable Technology: tecnologie che consentono operazioni matematiche e logiche per preservare i dati, quali ad esempio la cifratura.

Parlando di cifratura e tecniche di anonimizzazione, giova ricordare che ogni soluzione scelta deve essere adattata secondo il tipo di dati, l'operazione di trattamento, il contesto e i possibili modelli di attacco. L’ENISA cita un passaggio dell’opinion 05/2014 del WP29: “Una soluzione di anonimizzazione efficace impedisce a tutte le parti di individuare un individuo in un set di dati, di collegare due record all'interno di un set di dati (o tra due insiemi di dati separati) e di dedurre qualsiasi informazione in tale insieme di dati”. Il report si sviluppa quindi concentrandosi sulle tecniche di cifratura e di hashing, funzioni di mascheramento delle informazioni che, quando applicate ai dati, nascondono il loro vero valore.

I dati sintetici

Fra le misure che comportano il mascheramento delle informazioni, si parla di dati sintetici riferendosi a nuove modalità di trattamento: le informazioni vengono elaborate in modo da assomigliare a dati reali, ma in realtà non si riferiscono a nessun individuo specifico identificato o identificabile. Si può quindi trattare di dati interamente simulati, ad esempio per testare un servizio, un applicativo o per configurare un sistema di machine learning / Intelligenza Artificiale. Oppure di dati elaborati e combinati in modo da arricchire o implementare distinti dataset. 

Pensiamo alla ricerca in ambito medico-scientifico: per migliorare i risultati risulta fondamentale accedere a dati riferibili a casi reali, basati direttamente sulla storia clinica dei pazienti, ma avendo cura di rispettare il GDPR. La strada percorribile, in questo caso, è proprio quella della sintetizzazione. Appositi algoritmi consentono di generare, partendo da dati personali reali, nuovi dataset di informazioni non più riferite a soggetti identificati o identificabili, ma in grado, quando vengono interrogati, di produrre risposte ugualmente utili.

I dati sintetici costituiscono quindi uno strumento di ingegneria della privacy importante, in quanto in grado di ottenere informazioni granulari senza compromettere la riservatezza degli individui. La tecnica in esame, tuttavia, ha delle criticità da considerare: l’uso di dati sintetici mediante combinazione di informazioni e la creazione di nuovi set di dati, può condurre, nel tempo, a stime sempre più accurate ed esenti da errori. L’ENISA quindi mette in guardia sulla necessità di mantenere un approccio per tentativi ed errori (“trial-and-error approach”). 

Le misure organizzativo / giuridiche di ingegneria della protezione dei dati 

Un elemento chiave della protezione dei dati è la possibilità per gli individui di esercitare da soli i loro diritti privacy. Questo implica la necessità di consentire l'accesso alle informazioni sul trattamento in modo semplice e chiaro (principio di trasparenza). Fornire informazioni che siano al tempo stesso semplici ed accurate non è però un compito facile: la semplificazione delle informazioni può creare incomprensioni o fraintendimenti. Considerando che non sono ancora stati realizzati standard di riferimento che consentono di valutare la comprensibilità (comprehensibility) di una privacy policy, la valutazione resta in capo al titolare del trattamento

Quali elementi vanno dunque considerati quando si progetta una privacy policy?

  • i dispositivi degli utenti e la dimensione degli schermi; 
  • l’accessibilità delle informazioni, che devono essere fornite in modo compatibile con le tecnologie assistive utilizzate da persone con disabilità;
  • la progettazione in base al contesto. Non sempre fornire informazioni in forma testuale rappresenta una soluzione appropriata (pensiamo alle chiamate telefoniche o ad alcuni contesti in una casa intelligente o in un'auto connessa);
  • l’inserimento nel processo di realizzazione della policy di controlli e test di comprensibilità che dovrebbero coinvolgere i Responsabili della Protezione dei Dati e persone con specifiche conoscenze di usabilità.

L’ENISA, seppure non vi sia ancora uno standard, incoraggia l’uso di icone o simboli grafici. Auspica uno sviluppo delle cosiddette “sticky policies” ovvero privacy policy integrate ai dati stessi e che viaggiano con loro. Illustra i vantaggi dell’adozione di “segnali di preferenza per la privacy”, che consentono agli utenti di esprimere preferenze nella gestione dei dati. Raccomanda l’uso delle cd. “privacy dashboard”, strumenti con cui rendere agli interessati tutte le informazioni in forma sintetica e immediatamente comprensibile.

Rispetto alle modalità di gestione del consenso al trattamento dei dati personali, l’Agenzia dell'Unione Europea per la sicurezza informatica mostra come i sistemi di gestione del consenso automatizzati (“consent management systems”) possano effettivamente ridurre gli sforzi di gestione da parte di titolari e responsabili del trattamento, lasciando libere risorse umane esperte di concentrarsi su altri compiti. Inoltre, tali sistemi hanno il vantaggio di integrarsi bene con altri strumenti di gestione, come i sistemi CRM, i sistemi di audit e di verifica delle certificazioni o gli affari legali. D'altra parte, implementare e integrare un tale sistema di gestione del consenso può richiedere grandi risorse, e ripaga solo parzialmente nel lungo periodo. 

L’ausilio del DPO

Ingegnerizzare la protezione dei dati nella pratica, non è così semplice. I fattori da considerare sono tanti (il contesto del trattamento, gli scopi, il volume di dati personali, i mezzi e la scala di elaborazione, etc.) e la traduzione dei principi privacy in requisiti attuabili richiede una valutazione multidisciplinare importante. Inoltre, il panorama tecnologico in evoluzione e le tecnologie emergenti manifestano nuove sfide.

Il report dell’ENISA rappresenta sicuramente un importante ausilio per il DPO che si impegna a supportare concretamente il titolare nell’attuazione di misure di sicurezza tecniche ed organizzative, nonché di linee guida strategiche che consentano di dimostrare la conformità attraverso l’effettiva applicazione pratica dei principi e la presenza di garanzie agli utenti finali

La progettazione di un trattamento e il relativo processo decisionale richiedono la presenza di figure esperte e dotate di competenze trasversali. A tal fine risulta “Proficua anche la promozione di una formazione adeguata e continua rivolta ai Responsabili della Protezione dei Dati da parte delle Autorità di controllo” (si vedano le Linee guida WP243 sul sui responsabili della protezione dei dati). 

Negli anni il Congresso Annuale Internazionale di ASSO DPO ha visto la partecipazione di speakers di prestigio, fra cui componenti dell’Autorità Garante e membri delle Associazioni internazionali di Data Protection Officer. L’8° edizione del Congresso ASSO DPO (12 maggio 2022) rappresenta un’importante occasione di aggiornamento delle competenze privacy e data protection e di confronto tra professionisti del settore. Consulta la pagina web dedicata alla nuova edizione e dai un’occhiata al programma degli anni precedenti. Le iscrizioni sono aperte!

Altre news