PRIVACY BY DEFAULT: PERCHÈ È COSÌ IMPORTANTE APPLICARLA?

Privacy by default: perche e cosi importante
Enisa (l'Agenzia Europea per la sicurezza delle reti e delle informazioni) ha pubblicato una interessante guida sul tema.

Si sente parlare spesso di Privacy By Design, la metodologia che impone l’obbligo di protezione dei dati personali fin dal momento della progettazione di un trattamento, da parte di chi ne decide mezzi e finalità, vale a dire il titolare.

Tradotto in termini pratici, che tu sia uno sviluppatore di un app, un fornitore di servizi o sistemi IT, o il legale rappresentante di un’impresa che tratta dati personali, dovrai tenere conto dei principi del GDPR già nella fase della creazione ed elaborazione del trattamento che intendi attuare – dalla semplice raccolta di dati anagrafici ai più complessi modelli di profilazione degli interessati.

È la logica del “privacy first”, e in questo senso il nuovo Regolamento ha un forte impatto nell’attuale tessuto imprenditoriale perchè inevitabilmente condiziona le scelte delle aziende, soprattutto di quelle realtà che fanno del trattamento dei dati personali il loro core business, e che ora dovranno mettere in cima alla loro agenda la protezione dei diritti e delle libertà degli interessati, adottando le più adeguate misure tecniche e organizzative.

Questo concetto, però, viene spesso confuso con quello di Privacy By Default; non è un caso che la locuzione più ricorrente sia “Privacy by design e by Default”, a testimoniare una tendenza nell’associare due termini lessicali che presentano, in realtà, differenze importanti e che vanno evidenziate.
Sul punto, l’Enisa (l’Agenzia Europea per la sicurezza delle reti e delle informazioni) offre un valido supporto agli operatori con la recente pubblicazione dal titolo: “Recommendations on shaping technology according to GDPR provisions. Exploring the notion of data protection by default”.
Esploriamo, dunque, la nozione di privacy by default, con l’aiuto di questo prezioso contributo, che ci farà da guida.

1. PRIVACY BY DEFAULT. LA DEFINIZIONE.

Credo che sia utile partire da un esempio concreto per focalizzare il concetto: un utente decide di installare un’app per imparare l’inglese. Al primo accesso, apre le impostazioni del profilo e, leggendo l’informativa, scopre che l’applicazione condivide alcuni suoi dati (indirizzo mail, corso di lingua selezionato, traguardi raggiunti) ad un noto social network a cui è registrato, senza prevedere alcuna forma di anonimizzazione dei dati.
Scopre, inoltre, che questo tipo di trattamento è attivo di “default”, cioè dalla sua prima interazione con l’app, sebbene gli venga concesso – in un secondo momento – di negare il trattamento mediante apposita procedura con la quale annullare la condivisione dei suoi dati a favore del social network.

La fattispecie rientra a buon titolo in un’ipotesi di “data protection by default”, o meglio di “default settings”, cioè di impostazioni predefinite che, in quanto tali, vengono attivate al primo utilizzo dell’app da parte dell’utente, senza che lo stesso possa compiere, in via preventiva, una scelta circa l’attivazione o meno del trattamento in questione.

In buona sostanza, una volta iniziato il corso di inglese, l’app – in automatico – condivide i dati dell’utente a terze parti.

Da questo esempio si possono dedurre due conclusioni fra loro connesse, ovverosia che il principio di privacy by defaut:

  • costituisce la naturale estensione della privacy by design, riferendosi alla fase di progettazione in cui si tratta di scegliere le impostazioni predefinite che determineranno il livello di protezione dei dati all’interno dell’app o del sistema/servizio IT nel corso del primo utilizzo da parte del’utente;
  • presenta le proprie specificità in termini di funzionamento del sistema o servizio IT (c.d. “usuability and expected behaviour of the system or service”).

2. PERCHÈ È COSÌ IMPORTANTE.

L’ENISA è molto chiara sul punto: le impostazioni predefinite sono di cruciale importanza perchè delineano l’iniziale funzionamento di un sistema o servizio qualora tali impostazioni non vengano modificate dall’utente; non solo, quindi, ne condizionano il suo primo utilizzo, ma se l’utente non opera alcun cambiamento ne condizioneranno la sua successiva interazione.
Nell’esempio precedente, fino a quando l’utente non si renderà conto dell’impostazione attiva di condivisione dei dati, questo tipo di trattamento è destinato a produrre i suoi effetti (peraltro illegittimi, in quanto l’app avrebe dovuto richiedere un preventivo consenso) per un tempo potenzialmente illimitato.

Si intuisce così anche la ragione per cui il GDPR richiede che tali impostazioni siano conformi ai suoi principi, a prescindere dalla scelta dell’utente; la protezione dei dati, infatti, deve essere garantita in ogni caso, senza che sia necessario l’intervento dell’utente per apportare cambiamenti migliorativi.

3. COME PROGETTARE LA PRIVACY BY DEFAULT.

Nel processo di creazione di sistemi o servizi IT, lo sviluppatore deve affrontare alcune scelte nel tipo di impostazioni da implementare per ottenere le funzionalità desiderate.

Le impostazioni vanno così suddivise:

  1. impostazioni non configurabili dall’utente (cc.dd. “wired-in”): quelle funzioni che non possono essere più modificate o configurate dopo che il sistema o il servizio è stato progettatto e ultimato dallo sviluppatore;
  2. impostazioni configurabili dall’utente, ma non predefinite (cc.dd “no default settings”): quelle funzioni rispetto alle quali viene chiesto all’utente di compiere una scelta prima di utilizzare il servizio o il sistema IT (ad esempio, scelta della lingua, oppure utilizzo o meno della posizione per fini di geolocalizzazione);
  3. impostazioni configurabili dall’utente e predefinite dallo sviluppatore (cc.dd. “default settings”): sono le funzioni che stiamo trattando in questo articolo, rispetto alle quali lo sviluppatore assegna un valore o un parametro preimpostato, che non cambierà fino a quando l’utente non deciderà di farlo, accedendo alla sezione delle impostazioni predefinite.

Il processo di conformità al GDPR dovrà dunque prevedere un attento esame di ognuna di queste impostazioni.
In particolare, per ciò che concerne le impostazioni predefinite, gioca un ruolo centrale il principio di necessità, nel senso che tali impostazioni devono essere limitate a quanto necessario per la fruibilità del servizio o sistema IT (la già citata “usuability”).

Anche qui può essere utile un esempio: si pensi ad un’applicazione che, prima del suo utilizzo, richiede all’utente di compiere decine di scelte in ordine a determinate funzioni; è evidente che l’esperienza dell’utente, a quel punto, non sarebbe soddisfacente.
Il titolare dell’app potrebbe, invece, prevedere che alcune di queste impostazioni siano già preconfigurate, per non ostacolare eccessivamente la fruibilità del sistema o servizio.

In questo senso, le impostazioni predefinite sono decisive nella creazione di sistemi “user-friendly”, ma la difficoltà sta proprio nel bilanciare questa esigenza con il principio di necessità, perchè all’utente deve essere data la possibilità, in alcuni casi, di compiere scelte consapevoli in merito al livello di protezione dei propri dati.

4. LE MIGLIORI PRASSI PER UN APPROCCIO DI PRIVACY BY DEFAULT.

In questo paragrafo, analizzeremo nel dettaglio i criteri e gli esempi forniti dall’ENISA per conformare il sistema o servizio IT ai principi di “data protection by default”.

QUANTITÀ MINIMA DI DATI PERSONALI TRATTATI:
  1. Meno dati trattiamo, meglio è.
    È il concetto di minimizzazione dei dati (art. 5, pgf 1, lett. d GDPR), secondo cui vanno trattati solo i dati necessari rispetto alle finalità perseguite con il relativo trattamento.
    Es.: il form di raccolta dati per la registrazione dell’utente. I campi obbligatori dovrebbero essere ridotti al minimo. Seguendo questo principio una testata giornalistica non dovrebbere richiedere la residenza dell’interessato ai fini dell’abbonamento online. Inoltre, i campi facoltativi dovrebbero prevedere scelte multiple pre-configurate dal titolare, senza dare la possibilità all’utente di inserire qualsiasi dato che potrebbe rivelarsi non necessario;
  2. Raccolta granulare di dati sulla base delle singole necessità.
    Es: Torniamo al caso precedente: se l’utente richiede l’abbonamento cartaceo al quotidiano, in luogo o in aggiunta a quello on-line, a quel punto appare congruo la richiesta della residenza per la consegna a domicilio, quale dato necessario in relazione alla finalità del trattamento (eseguire la prestazione derivante dalla sottoscrizione del contratto di abbonamento);
  3. Utilizzo di tecnologie che aumentano la tutela dei dati personali (cc.dd. privacy enhancing technologies – PETs).
    La minimizzazione dei dati si può ottenere anche con l’impiego di tecnologie che rafforzano le tutele a favore degli interessati, quali la pseudonimizzazione o i sistemi di crittografia.
    Es: si sostiene spesso che l’azienda titolare di un e-commerce dovrebbe acquisire  anche la data di nascita dell’interessato, per evitare, tra le altre, che un minorenne possa aquistare bevande alcoliche. In realtà, sono oggi in commercio tecnologie che permettono di proteggere i dati personali senza interrompere il flusso delle informazioni necessarie alla funzionalità di un servizio, come quello della vendita online (nel caso di specie, si potrebbero utilizzare protocolli crittografici denominati “a conoscenza zero” – Zero Knowledge Proof (ZKP) – che permettono di verificare se la condizione della maggiore età è soddisfatta, trasferendo al titolare del trattamento solo il risultato della verifica, senza fornire a questi il dato di nascita dell’interessato).
  4. Quantità minima in relazione allo scopo.
    L’obiettivo è di ri-modulare i valori predefiniti, valutando ogni finalità di trattamento.
    Es.: i dati sulla posizione raccolti da un’app probabilmente sono necessari solo in relazione ad alcune finalità.
  5. Minimizzare il rischio.
    In questo caso occorre la sensibilità di un giurista, che deve prendere in esame i singoli dati trattati e valutare se, ad esempio, un dato sensibile è necessario per ogni finalità di trattamento; se lo stesso dato può essere sostituito da altri dati meno invasivi; se, ancora, alcuni dati possono essere pseudonimizzati o addirittura anonimizzati anche in relazione alla loro conservazione.
  6. Altre best practices.
    Occorre ridurre al minino la conservazione di copie anche solo temporanee di dati o l’ipotesi di trasferimento di dati, valutando le singole finalità del trattamento.
MINIMIZZARE LA PORTATA DEL TRATTAMENTO.
  1. Meno trattamenti, meglio è.
    Es: un social network non dovrebbe prevedere come impostazione predefinita l’analisi biometrica dei volti nel caso in cui si volesse condividere una foto, al solo fine di agevolare le operazioni di tag dell’utente.
  2. Empowering tools.
    La limitazione della portata del trattamento è strettamente collegata alla fornitura, da parte del titolare, di strumenti adeguati (user empowering tools) che gli interessati possono utilizzare per esercitari i loro diritti  (artt. 12-20 GDPR).
PERIODO MINIMO DI CONSERVAZIONE DEI DATI.
  1. Più è breve, meglio è.
    Es.: nel caso in cui un titolare decida di effettuare un sondaggio online, una buona pratica sarebbe quella di non prevedere, per impostazione predefinita, che le singole risposte degli utenti siano memorizzate localmente nei loro computer (una volta che gli stessi hanno inviato le loro risposte), per evitare che si possa ottenere un collegamento tra l’utente e le sue risposte.
ACCESSIBILITÀ MINIMA AI DATI PERSONALI.
  1. Limitazione dell’accesso ai dati.
    Si collega alle politiche di controllo degli accessi ai dati predisposti dal titolare, che dovrebbero conformarsi al principio “need to know” secondo cui le persone autorizzate a trattare dati accedono soltanto a quei dati che sono a loro necessari per poter svolgere la propria mansione. Al riguardo occorre ricordarsi che, utilizzando fonitori di servizi di terze parti (ad esempio “cloud providers”) si amplia la platea di coloro che potrebero accedere ai dati del titolare, con maggiori rischi qualora i data center siano ubicati in Paesi Extra Ue che non prevedono leggi adeguate in materia.
  2. Limitare le possibilità di condivisione dei dati.
    L’accessibilità di terzi aumenta se viene data la possibilità di condividere dati personali a fornitori di servizi, motori di ricerca o altri soggetti che possono copiare o trasferire a loro volta le informazioni in possesso del titolare.
  3. Garanzia prevista dall’art. 25 pgf 2. GDPR
    Il titolare deve garantire che, per impostazione predefinita, non siano resi accessibili dati personali ad un numero indefinito di persone fisiche senza l’intervento della persona fisica interessata. Es.: seguendo questa logica le foto di una festa pubblicata sulla pagina privata di un social network non dovrebbe essere rese pubbliche a tutti gli utenti, nè a fornitori terzi o motori di ricerca senza un preventivo consenso.

Questi, dunque, i criteri elencati dall’Enisa per mettere in atto le misure tecniche e organizzative adeguate al fine di garantire che siano trattati (per impostazione predefinita) solo i dati personali necessari per ogni specifica finalità di trattamento.
La lettura è di grande interesse per tutti gli sviluppatori di nuove app, sistemi e servizi IT, che potranno attingere a piene mani da questo manuale per attuare un corretto trattamento dei dati in ottica di privacy by default.