Privacy by Design: l’evoluzione della privacy

Di Nicola Fabiano, Avvocato specialista in civile e privacy

La privacy ha modificato le nostre abitudini poiché non eravamo abituati a convivere con l'idea di salvaguardare le informazioni personali. Le nuove tecnologie hanno contribuito a migliorare la nostra riservatezza e le informazioni personali. Oggi si deve pensare alla privacy prima di qualsiasi altro processo. Ciò che si chiama privacy "by design".

Non è difficile riuscire ad individuare attraverso Internet i dati personali (o comunque almeno alcuni) di un soggetto, attribuendo così alla rete una presunta pericolosità. Un simile approccio, però, è certamente scorretto, posto che Internet costituisce una risorsa preziosa e l'attenzione va spostata sul comportamento dell'utente piuttosto che sul mezzo. Un dato è certo: non si può imputare alla rete Internet la diffusione e la divulgazione dei dati personali di un soggetto, poiché necessariamente essi saranno stati canalizzati da qualcuno. Peraltro, non va dimenticato che ciascuna delle numerosissime risorse presenti sulla rete Internet (social network, forum, chat, siti web, ecc.) dovrebbe essere regolamentata da una privacy policy, ossia da una sorta di regolamento che disciplini le modalità con cui i dati personali vengono trattati. Spesso, però, le informative che riguardano queste privacy policy non vengono lette, anzi "saltate a pie' pari", optando per un più celere e semplice clic per spuntare la voce "accetto" o similare. La fonte normativa a livello europeo che quanto riguarda la privacy è individuata nella Direttiva 95/46/EC, mentre a livello italiano il riferimento è costituito dal D.Lgs. 196/2003. Siamo stati tutti testimoni di come la privacy abbia rivoluzionato la nostra vita quotidiana, posto che non eravamo assolutamente abituati a convivere con l'idea di salvaguardia delle informazioni personali. Non può sottacersi che nella fase iniziale (ma probabilmente accade ancora oggi) addirittura la privacy è stata vista come una sorta di ostacolo alle nostre vicende quotidiane; il sentirsi opporre la tutela dei dati personali in determinate circostanze ha irritato non pochi. Tuttavia, si tratta di una vera e propria evoluzione culturale che si è sviluppata unitamente alle nuove tecnologie. Spesso si presuppone (ma erroneamente) che la tecnologia determina (anche potenzialmente) la violazione della privacy: non è così, perché dipende dall'uso che si fa della risorsa tecnologica. La tecnologia, infatti, è neutra ed assume la colorazione che viene attribuita dall'utente. Nel corso degli anni si è tentato di utilizzare le tecnologie per migliorare la tutela della privacy. In effetti, già nel 1995 si è iniziato a parlare, da parte del Commissioner dell'Ontario Ann Cavoukian (Information and Privacy Commissioner dell'Ontario) e della DPA olandese, di Privacy Enhancing Technologies (il cui acronimo è PETs) per fare riferimento a tutti quegli accorgimenti tecnici e tecnologici che possono salvaguardare i dati personali. In pratica, le PETs sono qualsiasi risorsa tecnologica che possa ridurre i rischi di uso illecito dei dati personali. Dal concetto di PETs è scaturito, sempre ad opera della Dr. Cavoukian, quello di Privacy by Design che costituisce l'evoluzione della elaborazione teorica della privacy: la privacy, quindi, sta cambiando. Infatti, di recente, la 32ma Conferenza mondiale dei Garanti privacy, che si è tenuta a fine ottobre 2010 a Gerusalemme, ha adottato proprio la risoluzione sulla Privacy by Design proposta dalla Information and Privacy Commissioner dell'Ontario (Canada), Dr. Ann Cavoukian.

Privacy by Design

In buona sostanza, cos'è la Privacy by Design (PbD) ? La PbD è fondamentalmente un nuovo approccio concettuale alla privacy che pone le basi per uno sviluppo futuro con risvolti concreti sul piano pratico. La PbD è strutturata secondo uno schema che la colloca in tre grandi azioni (o aree operative) e 7 principi fondamentali. Le azioni sono:

• Tecnologia dell'informazione; 
• Pratiche commerciali responsabili; 
• Progettazione delle strutture. 

I sette principi sono: 

1. atteggiamento proattivo e non reattivo; prevenzione e non rimedio; 
2. privacy by default; 
3. privacy incorporata nell'architettura; 
4. completa funzionalità – positive sum, not zero sum; 
5. protezione per l'intero ciclo vitale delle informazioni; 
6. visibilità e trasparenza; 
7. rispetto della riservatezza dell'utente. 

La PbD ha numerosi risvolti pratici attuali e non futuri; lo sviluppo industriale coinvolge sempre l'utente finale, il consumatore. Si può immaginare, ad esempio, il contesto della videosorveglianza per la quale, salvaguardando l'esigenza di sicurezza e al contempo di privacy degli individui, si adottano in concreto delle soluzioni tecnologiche tali da evitare rischi per la perdita di dati o per la riservatezza delle persone. Altro riferimento può essere quello che riguarda la progettazione degli ambienti in cui spesso le informazioni personali vengono ascoltate da chi ci è vicino all'interessato (il caso di un soggetto che in un ufficio pubblico o in un ospedale riferisce informazioni personali che sono ascoltate da chi gli è vicino). Infine, gli investimenti che le aziende fanno sulla privacy vanno considerati come un valore aggiunto e non come un costo improduttivo. La PbD è importante perché rappresenta il futuro prossimo della privacy. Difatti, è già in atto in ambito europeo la revisione della normativa sulla privacy (Direttiva 1995/46/ CE) per ottenere la necessaria armonizzazione con gli strumenti normativi dei singoli Stati membri, nonché per semplificare le procedure. Pertanto, la PbD si va ad inserire a pieno titolo in un processo di riforma che, da poco avviato, porterà ad un radicale cambiamento nei prossimi 10 anni. Come si può notare si tratta di una vera e propria rivoluzione della privacy che non concerne soltanto le misure tecniche per assicurare adeguata sicurezza ai dati personali, ma una serie di concetti innovativi che prescindono dall'assolutizzare la protezione dei dati personali per giungere alla considerazione che la sicurezza delle informazioni è insita nel concetto stesso di privacy. Pertanto, in conclusione, il quadro che si va delineando a livello europeo ed internazionale è di una evidente evoluzione del concetto di privacy e delle tecnologie a supporto. Non va, tuttavia, dimenticato che comunque l'attuale assetto normativo europeo e, conseguentemente quello nazionale con il codice privacy (art. 31 e segg.), impone l'utilizzo di misure tecniche ed organizzative appropriate con un evidente richiamo alle PET. Le PET non vanno, quindi, considerate come una soluzione obsoleta e sorpassata, ma quale strumento sinergico del più evoluto concetto di Privacy by Design. L'approccio della PbD va inteso come un processo che non abbia il suo fulcro nel dato normativo, ma piuttosto nella concreta tutela dei dati personali, ponendo al centro unicamente l'individuo. Difatti, l'approccio user-centric fa chiarezza sui principi della PbD nel senso che essa vada considerata ontologicamente come elemento essenziale nella sfera dell'individuo. I tempi sono maturi per discutere appieno di Privacy by Design e ciò si può già verificare con quanto è recentemente emerso dalle iniziative svoltesi il 28 gennaio scorso in occasione della celebrazione del "Privacy Day".