#Ready4EUdataP Data Processor: nuove responsabilità per i fornitori di serviz...
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
1. Privacy by Design: effetti pratici sui sistemi IT
GIANCARLO BUTTI
Milano, 29 GENNAIO 2016
#READY4EUDATAP
2. #READY4EUDATAP
L’evoluzione
Ideato dall’ Information and Privacy
Commissioner dell’ Ontario
Recepito nel 2010 dalla 32a Conferenza
Internazionale dei Garanti privacy
Recepito come privacy by design e by default
dal Regolamento UE
3. #READY4EUDATAP
(61 The protection of the rights and freedoms of individuals with regard to the processing of personal data
require that appropriate technical and organisational measures are taken to ensure that the requirements of
this Regulation are met. In order to be able to demonstrate compliance with this Regulation, the
controller should adopt internal policies and implement measures, which meet in particular the
principles of data protection by design and data protection by default. Such measures could consist inter alia
of
•minimising the processing of personal data
•pseudonymising personal data as soon as possible
•transparency with regard to the functions and processing of personal data,
•enabling the data subject to monitor the data processing
•enabling the controller to create and improve security features.
When developing, designing, selecting and using applications, services and products that are either
based on the processing of personal data or process personal data to fulfil their task, producers of the
products, services and applications should be encouraged to take into account the right to data
protection when developing and designing such products, services and applications and, with due regard to
the state of the art, to make sure that controllers and processors are able to fulfil their data protection
obligations. The principles of data protection by design and by default should also be taken into consideration
in the context of public tenders.
Il Regolamento UE
…controller should adopt internal policies and
implement measures…
•minimising the processing of personal data
•pseudonymising personal data as soon as possible
•transparency with regard to the functions and processing of
personal data
•enabling the data subject to monitor the data processing
•enabling the controller to create and improve security
features
…producers of the products, services and applications should
be encouraged to take into account the right to data
protection…
4. #READY4EUDATAP
Article 23
Data protection by design and by default
1. Having regard to the state of the art and the cost of implementation and taking account of the nature, scope, context and
purposes of the processing as well as the risks of varying likelihood and severity for rights and freedoms of individuals
posed by the processing, the controller shall, both at the time of the determination of the means for processing and at the
time of the processing itself, implement appropriate technical and organisational measures, such as
pseudonymisation, which are designed to implement data protection principles, such as data minimisation, in
an effective way and to integrate the necessary safeguards into the processing in order to meet the requirements of this
Regulation and protect the rights of data subjects.
2. The controller shall implement appropriate technical and organisational measures for ensuring that, by default,
only personal data which are necessary for each specific purpose of the processing are processed; this applies
to the amount of data collected, the extent of their processing, the period of their storge and their accessibility. In
particular, such measures shall ensure that by default personal data are not made accessible without the individual’s
intervention to an indefinite number of individuals.
2a. An approved certification mechanism pursuant to Article 39 may be used as an element to demonstrate compliance
with the requirements set out in paragraphs 1 and 2.
Il Regolamento UE
…technical and organisational measures, such as
pseudonymisation, which are designed to implement data
protection principles, such as data minimisatio…
The controller shall implement appropriate technical and
organisational measures for ensuring that, by default, only
personal data which are necessary for each specific purpose
of the processing are processed;
5. #READY4EUDATAP
Art. 3. Principio di necessità nel trattamento dei dati
I sistemi informativi e i programmi informatici sono configurati riducendo al minimo l'utilizzazione di
dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite
nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che
permettano di identificare l'interessato solo in caso di necessità.
Art. 11. Modalità del trattamento e requisiti dei dati
1. I dati personali oggetto di trattamento sono:
…
d) pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati;
e) conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore
a quello necessario agli scopi per i quali essi sono
stati raccolti o successivamente trattati.
La situazione attuale
Autorizzazione n. 1/2014 - Autorizzazione al trattamento dei dati sensibili nei rapporti di lavoro
…
Prima di iniziare o proseguire il trattamento i sistemi informativi e i programmi informatici sono configurati riducendo al
minimo l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità
perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che
permettano di identificare l'interessato solo in caso di necessità, in conformità all'art. 3 del Codice
Art. 3. Principio di necessità nel trattamento dei dati
I sistemi informativi e i programmi informatici sono configurati
riducendo al minimo l'utilizzazione di dati personali e di dati
identificativi…
Art. 11. Modalità del trattamento e requisiti dei dati
1. I dati personali oggetto di trattamento sono:
…
d) pertinenti, completi e non eccedenti rispetto alle finalità per le quali
sono raccolti o successivamente trattati;
e) conservati in una forma che consenta l'identificazione
dell'interessato per un periodo di tempo non superiore a quello
necessario
6. #READY4EUDATAP
I principi fondamentali
1. Proactive not Reactive; Preventative not Remedial
The Privacy by Design (PbD) approach is characterized by proactive rather than reactive measures. It anticipates and prevents privacy
invasive events before they happen. PbD does not wait for privacy risks to materialize, nor does it offer remedies for resolving privacy
infractions once they have occurred — it aims to prevent them from occurring. In short, Privacy by Design comes before-the-fact, not
after.
2. Privacy as the Default Setting
We can all be certain of one thing — the default rules! Privacy by Design seeks to deliver the maximum degree of privacy by ensuring
that personal data are automatically protected in any given IT system or business practice. If an individual does nothing, their privacy still
remains intact. No action is required on the part of the individual to protect their privacy — it is built into the system, by default.
3. Privacy Embedded into Design
Privacy by Design is embedded into the design and architecture of IT systems and business practices. It is not bolted on as an add-on,
after the fact. The result is that privacy becomes an essential component of the core functionality being delivered. Privacy is integral to
the system, without diminishing functionality.
4. Full Functionality — Positive-Sum, not Zero-Sum
Privacy by Design seeks to accommodate all legitimate interests and objectives in a positive-sum “win-win” manner, not through a dated,
zero-sum approach, where unnecessary trade-offs are made. Privacy by Design avoids the pretense of false dichotomies, such as privacy
vs. security, demonstrating that it is possible to have both.
5. End-to-End Security — Full Lifecycle Protection
Privacy by Design, having been embedded into the system prior to the first element of information being collected, extends securely
throughout the entire lifecycle of the data involved — strong security measures are essential to privacy, from start to finish. This ensures
that all data are securely retained, and then securely destroyed at the end of the process, in a timely fashion. Thus, Privacy by Design
ensures cradle to grave, secure lifecycle management of information, end-to-end.
6. Visibility and Transparency — Keep it Open
Privacy by Design seeks to assure all stakeholders that whatever the business practice or technology involved, it is in fact, operating
according to the stated promises and objectives, subject to independent verification. Its component parts and operations remain visible
and transparent, to users and providers alike. Remember, trust but verify.
7. Respect for User Privacy — Keep it User-Centric
Above all, Privacy by Design requires architects and operators to keep the interests of the individual uppermost by offering such
measures as strong privacy defaults, appropriate notice, and empowering user-friendly options. Keep it user-centric.
Information and Privacy Commissioner of Ontario
Web: www.ipc.on.ca • www.privacybydesign.ca
1. Proactive not Reactive; Preventative not Remedial
2. Privacy as the Default Setting
3. Privacy Embedded into Design
4. Full Functionality — Positive-Sum, not Zero-Sum
5. End-to-End Security — Full Lifecycle Protection
6. Visibility and Transparency — Keep it Open
7. Respect for User Privacy — Keep it User-Centric
7. #READY4EUDATAP
Ripensare il modo di progettare
BY DESIGN e RE DESIGN
Oggi il coinvolgimento degli aspetti
privacy avviene (se avviene…) alla
conclusione della
progettazione/realizzazione di un
prodotto/servizio e riguarda in genere
solo aspetti formali (informative,
clausole contrattuali…)
Con il nuovo Regolamento UE la
valutazione degli impatti privacy
(PIA) e la valutazione degli
interventi tecnici (oltre che
organizzativi e formali) deve
avvenire dalla fase di progettazione
Data Oriented Strategies
Minimise
Hide
Separate
Aggregate
Process Oriented Strategies
Inform
Control
Enforce
Demonstrate
8. #READY4EUDATAP
Esempio
Implementazione di soluzioni di Firma grafometrica
PROATTIVO NON REATTIVO; PREVENIRE NON CORREGGERE - PRIVACY COME IMPOSTAZIONE DI DEFAULT -
PRIVACY INCORPORATA NELLA PROGETTAZIONE
Un progetto di firma grafometrica, tipo particolare di FEA, è pensato da subito nel rispetto della privacy degli interessati in quanto deve
sottostare oltre che a normative specifiche (CAD e Regole tecniche) anche al Provvedimento del Garante privacy sui dati biometrici.
SICUREZZA FINO ALLA FINE − PIENA PROTEZIONE DEL CICLO VITALE
Sono previste misure per la crittografia dei dati biometrici sin dal momento della loro raccolta e per tutto il loro processo di elaborazione e
conservazione. L’accesso ai dati biometrici può avvenire solo ricorrendo a terzi (le chiavi di accesso ai dati non sono nella disponibilità del
Titolare). I dati in chiaro non sono conservati, neanche per periodi limitati, sui dispositivi hardware utilizzati per la raccolta.
La trasmissione dei dati biometrici tra sistemi avviene esclusivamente tramite canali di comunicazione crittografati.
VISIBILITÀ E TRASPARENZA − MANTENERE LA TRASPARENZA
•Il Titolare è obbligato a Informare l’utente su:
•le caratteristiche del sistema
•le caratteristiche delle tecnologie utilizzate e come queste consentono di ottemperare a quanto prescritto dalla normativa
pubblicando anche sul sito internet tutte le precedenti informazioni
•L’utente deve accettare le condizioni del servizio e può revocarlo
•Vi è una connessione univoca della firma al firmatario ed un controllo esclusivo del firmatario del sistema di generazione della firma
•Vi è un obbligo di segnalazione sulla violazioni dei dati o su incidenti informatici
MASSIMA FUNZIONALITÀ − VALORE POSITIVO, NON VALORE ZERO - RISPETTO PER LA PRIVACY DELL’UTENTE −
CENTRALITÀ DELL’UTENTE
La soluzione è win-win sia per l’interessato sia per il Titolare
•L’utente non deve disporre di alcuno strumento particolare
•Il tipo di esperienza nell’apposizione della firma è simile a quello della firma tradizionale
•La riconoscibilità della firma in caso di contenzioso è più elevata rispetto a quella tradizionale in quanto vengono archiviati un maggior
numero di parametri; sia l’interessato, sia il Titolare sono quindi maggiormente tutelati
•Vi è un risparmio sulla stampa dei documenti e sulla loro archiviazione
•Viene eliminato il rischio di perdita di documenti
• Librerie software ed implementazioni pensate per
proteggere il dato biometrico nell’intero ciclo di vita
• Massima trasparenza per il cliente che può accettarne o
meno l’uso sul singolo documento
• Pubblicità della soluzione implementata dal punto di vista
tecnico ed organizzativo sul sito del Titolare che adotta
tale soluzione
• Vantaggi sia per il Titolare, sia per il cliente
9. #READY4EUDATAP
Framework di riferimento: gli aspetti ICT
2 Engineering Privacy
2.1 Prior art on privacy engineering
2.2 Deriving privacy and data protection principles from the legal
framework
2.3 Definition of the context and objectives
2.4 Methodologies
2.5 Evaluation means
3 Privacy Design Strategies
3.1 Software design patterns, strategies, and technologies
3.2 Eight privacy design strategies
4 Privacy Techniques
4.1 Authentication
4.2 Attribute based credentials
4.3 Secure private communications
4.4 Communications anonymity and pseudonymity
4.5 Privacy in databases
4.6 Technologies for respondent privacy: statistical disclosure control
4.7 Technologies for owner privacy: privacy-preserving data mining
4.8 Technologies for user privacy: private information
4.9 Storage privacy
4.10 Privacy-preserving computations
4.11 Transparency-enhancing techniques acy: private information
10. #READY4EUDATAP
Framework di riferimento
GoalsGoals
Balance
• Benefits
• Risks
• Optimal resource
management
Stakeholder
• Consult
• Comunicate
Perf. Measurement
• Goals KPI’s
OperateOperate
Where
• Processes /Practice /
Activity
• Principles – Policies
• Systems
• Persons
• Organization
• Available Information
• Culture / ethic
How
• Base Practices / Activities
• Universally accepted
• Based on Standards
• Priority based on
Business Goals
Life cycleLife cycle
EVALUATE, DIRECT
AND MONITOR
PLAN AND
ORGANIZE
DESIGN/ BUILD /
ACQUIRE
USE / OPERATE
MONITOR /
CONTROL
ResponsibilityResponsibility
ROLES
• BOARD
• BUSINESS
• IT / IS
• AUDIT
ACTIVITY
• R esponsible
• A ccountable
• C onsulted
• I nformed
11. #READY4EUDATAP
1.Consent and choice
2.Purpose legitimacy and specification
3.Collection limitation
4.Data minimization
5.Use, retention and disclosure
limitation
6.Accuracy and quality
7.Openness, transparency and notice
8.Individual participation and access
9.Accountability
10.Information security
11.Privacy compliance
Standard
Ambito Privacy ISO 2910-
Ambito Sicurezza ISO 2700-
Ambito Identity management ISO 2470-
Ambito Risk Management ISO 3100-
…
12. #READY4EUDATAP
Certificazioni attuali pre Regolamento UE
Article 23
Data protection by design and by default
…
2a. An approved certification mechanism pursuant to Article 39 may be used as an
element to demonstrate compliance with the requirements set out in paragraphs 1 and 2.