3. PRIVACY FLAG
• PF ricerca e combina il potenziale del
crowdsourcing, delle tecnologie ICT e
dell’esperienza legale dei suoi partners per
proteggere la privacy dei cittadini quando visitano
siti web, usano app o fruiscono di servizi offerti da
smart cities..
• PF abilita gli utenti a monitorare e controllare l’uso
dei propri dati personali.
• PF fornisce degli strumenti user friendly per
identificare il livello di rischio privacy corso dai
cittadini online.
• Sulla base delle segnalazioni della crowd, verrà
costituito un database contenente I rischi privacy
correlati a siti web, smart phone applications, e
smart cities.
• PF diffonderà consapevolezza in tema di privacy
tra diversi stakeholders, fornendo alle società e ai
provider di servizi web un incentivo positivo ad
adottare soluzioni privacy friendly.
COSA COME
OTE
MI
NKUA
HWC
Velti
IIPLTU
UL
CTI
AS
Web browser add-on Smartphone app
Website UPRAAT
Global and publicly
available knowledge
database on privacy
risks
Voluntary compliance
commitment tool
In-depth privacy risk
analysis on-line tool
Labelling and
certification process
On-line resources
PMI
Privacy Flag
5. IL CROWDSOURCING
«Il crowdsourcing (da crowd, "folla", e outsourcing, "esternalizzazione di una
parte delle proprie attività") è un modello di business nel quale un’azienda o
un’istituzione affida la progettazione, la realizzazione o lo sviluppo di un
progetto, oggetto o idea a un insieme indefinito di persone non organizzate
precedentemente. Questo processo viene favorito dagli strumenti che mette a
disposizione il web. Solitamente il meccanismo delle open call viene reso
disponibile attraverso dei portali presenti sulla rete internet.
A esempio, al pubblico può essere richiesto di sviluppare nuove tecnologie,
portare avanti un’attività di progettazione, definire o sviluppare un algoritmo, o
aiutare a registrare, sistematizzare o analizzare grandi quantità di dati»
(da Wikipedia)
Privacy Flag
7. IL CROWDSOURCING
Use Case in Privacy Flag
Tizio usa l’app Privacy Flag. La app compara tutte le altre applicazioni
installate nel cellulare con la lista di quelle già valutate dalla crowd
nell’ambito del progetto, opportunamente conservate nel database. Le
app considerate sicure sono contrassegnate col verde; in rosso quelle
non sicure; in grigio quelle non recensite. Per ciascuna app recensita
saranno disponibili una serie di informazioni ulteriori, quali il numero di
valutatori, informazioni riguardo il trattamento di dati, la data
monetization per l’app specifica. Tizio può inoltre aggiungere il suo
rating ad un’app non ancora recensita.
L’app PF fa anche una serie di controlli di routine sul telefono di Tizio, in
background. L’app è capace di riconoscere cambiamenti nel
funzionamento delle altre app e di avvisare Tizio quando il
rating/giudizio su una app recensita dal progetto cambia.
Privacy Flag
8. METODOLOGIA CHIAVE DEL
PROGETTO
FRAMEWORK LEGALE --- RISCHI TECNICI
UPRAAT
metodologia che consentirà anche ad utenti
inesperti di classificare siti, app e smart cities in
base ad una scala di rischio che incorporerà fin
dall’inizio valutazioni giuridiche fondate sulle
norme privacy europee applicabili.
Privacy Flag
9. IIP & PRIVACY FLAG
Privacy Flag
WP 1
Leader
T 3.4
Task leader
Strategia Interna
DESIGN DELL’ARCHITETTURA E
DEI SUI REQUISITI TECNO-
LEGALI
VOLUNTARY COMPLIANCE
COMMITMENT TOOL
PRIVACY STRATEGY AND RISK
MANAGEMENT
FOCUS
Identificare e analizzare i requisiti
tecnici e legali di Privacy Flag :
• legal requirements (personal
data protection e data
ownership);
• technical requirements
(efficienza, sicurezza,
affidabilità, scalabilità);
• societal and end-users
requirements (end-user
acceptance – societal
compliance);
• Requisiti di scalabilità (gestione
di alti numeri di input e
interazioni ).
FOCUS
Analizzare e fornire un
meccanismo legalmente
vincolante per enti stabiliti fuori
dall’UE:
• Abilitare gli enti ad impegnarsi
volontariamente e
contrattualmente a rispettare gli
standard privacy europei;
• Identificare meccanismi giuridici
capaci di rendere vincolanti
questi impegni negli ordinamenti
di stabilimento degli aderenti
(US, Giappone, Korea e Cina).
• Privacy policy interna;
• Identificazione dei rischi;
• Strategie per la sicurezza;
• Gestione di reclami;
• Training interno;
11. L’ARCHITETTURA DI
PRIVACY FLAG
• Metodologia (WP2)
• Strumenti di Analisi
(WP 3)
• Enablers Tecnici
(app, browser add-
on WP4)
Come data protection officer,
definiamo i requisiti legali di
Privacy Flag
Come data protection designer,
assicuriamo che gli output del
progetto siano in linea con le
norme privacy europee
3 componenti principali:
Privacy Flag
PRIVACY AS A
SERVICE
12. PF COME ESPERIMENTO DI
PRIVACY BY DESIGN
Che cos’è la privacy by design (PbD)?
• Privacy By Design (PbD) è un processo focalizzato sullo user control e
sulla libertà di scelta circa il “come” e il “quando” condividere I propri
dati personali.
• PbD è un concetto inventato da Ann Cavoukian, già Commissioner for
Information and Privacy dell’ Ontario (Canada), attualmente
executive director del Privacy and Big Data Institute presso la Ryerson
University
• Sia l’Onu che il governo statunitense hanno concluso che PBD è
vitale per mantenere un livello accettabile di privacy nelle app
tecnologiche
Privacy Flag
13. RISOLUZIONE SULLA PRIVACY BY
DESIGN
PbD is “a holistic concept that may be applied to operations
throughout an organization, end-to-end, including its
information technology, business practices, processes,
physical design and networked infrastructure”
(Resolution on Privacy by Design)
Dalla 32esima International Conference of Data Protection
and Privacy Commissioners
Gerusalemme, Israele 27-29 Ottobre, 2010
Privacy Flag
14. I 7 PRINCIPI DELLA PRIVACY BY
DESIGN
1) Proattivo non reattivo; prevenire per correggere
2) Privacy come impostazione di default
3) Privacy incorporata nella progettazione
4) Massima funzionalità − Valore positivo, non valore zero
5) Sicurezza fino alla fine - Piena protezione del ciclo vitale
6) Visibilità e trasparenza - Mantenere la trasparenza
7) Rispetto per la privacy dell’utente − Centralità dell’utente
Privacy Flag
15. 1) Proattivo non reattivo; prevenire
per correggere
L’approccio PbD è caratterizzato dall’adozione di misure proattive invece
che reattive
Esso anticipa e previene eventi invasivi per la privacy prima che
avvengano. PbD non attende la materializzazione del rischio, nè offre
rimedi alle infrazioni privacy, in quanto esso previene che tali infrazioni
avvengano.
In breve, Privacy by Design precede il fatto, non lo segue.
Applicazione in Privacy Flag: pseudonimizzazione degli users
(ma anche meccanismi preventivi di potenziale diffamazione
online)
Privacy Flag
16. 2) Privacy come impostazione di
default
PbD prova a fornire il massimo livello di privacy assicurando che i dati
personali siano automaticamente protetti in qualsiasi Sistema IT o
pratica di business.
Anche quando un individuo rimane inerte rispetto alle impostazioni dei
sistemi che utilizza, la sua privacy rimane comunque intatta
La privacy dell’individuo è incorporata nel sistema che esso usa
Applicazione in Privacy Flag: pseudonimizzazione degli users,
meccanismi che prevengono l’acquisizione di dati di minori
Privacy Flag
17. 3) Privacy incorporata nella
progettazione
La privacy è incastonata nel design e nell’architettura dei sistemi IT e
delle pratiche di business.
Il risultato è che la privacy diventa una componente essenziale della
funzionalità principale del Sistema
Privacy come parte integrante del Sistema, di cui non diminuisce la
funzionalità
Applicazione in Privacy Flag: set di requirements definiti sul
massimo livello di informazione (attraverso informative multistrato)
e sicurezza contro intrusione e attacchi ai dati personali.
Privacy Flag
18. 4) Massima funzionalità − Valore
positivo, non valore zero
PbD cerca di contemperare tutti gli interessi e gli obiettivi legittimi in un
gioco win-win a somma positiva invece che attraverso un datato zero-
sum approach, nel quale vengono effettuati dei trade-offs non necessary
PbD Evita la pretesa di false dicotomie, come privacy vs. security,
dimostrando che è possibile raggiungere entrambi gli obiettivi
Applicazione in Privacy Flag: garanzia di anonimato per gli utenti
che compongono la crowd e garanzia di qualità dei giudizi che
questi esprimono su app e siti web al fine di evitare interventi
diffamatori (il sistema riconoscerà degli indicatori di criticità che
faranno scattare approfondimenti sui feedback di determinati utenti
sospettati di dichiarazioni false)
Privacy Flag
19. 5) Sicurezza fino alla fine - Piena
protezione del ciclo vitale
Dal momento che la PbD viene inserita nel sistema prima che sia raccolta la
prima informazione, si estende nell'intero ciclo di vita dei dati coinvolti,
dall'inizio alla fine
Questo assicura che alla fine del processo, tutti i dati vengono distrutti in
modo sicuro e tempestivo
Così, Privacy by Design garantisce la gestione del ciclo di vita delle
informazioni dalla culla alla tomba, end-to-end
Applicazione in Privacy Flag: la raccolta di dati è minimizzata (non include
dati sensibili, ad esempio) e vincolata al rispetto del principio di finalità. Le
app e i tool del progetto coadiuvano l’utente nel controllo dei propri dati,
affinchè sia assicurato il rispetto del principio di finalità anche dai siti/app
che egli usa.
Privacy Flag
20. 6) Visibilità e trasparenza -
Mantenere la trasparenza
PbD assicura a tutti gli stakeholders che qualsiasi sia la pratica di
business o la tecnologia utilizzata, entrambe operano nel rispetto degli
obiettivi e delle finalità dichiarate, soggette a verifiche indipendenti
Le component e le operazioni rimangono visibili e trasparenti sia per gli
users che per I fornitori di servizi e sistemi di comunicazione
Approccio trust but verify
Applicazione in Privacy Flag: PF promuove il principio di purpose
limitation sia tecnicamente (con le app) che legalmente (attraverso
l’adozione di strumenti contrattuali rivolti a providers stabiliti fuori
dall’UE).
Privacy Flag
21. 7) Rispetto per la privacy dell’utente
− Centralità dell’utente
La PbD richiede agli architetti e agli operatori di mantenere gli interessi
dell’individuo al primo posto, offrendo quali misure forti la riservatezza
come valore predefinito, notifiche informative, e abilitazione di opzioni
user-friendly
Applicazione in Privacy Flag: la user centricity è il postulato fondante
del progetto PF. Tutti i requirements legali e tecnici sono stati congegnati
in modo da garantire un livello appropriato di informazione (multi
layered notices) e di controllo sui dati personali degli utenti, sia come
contributori del progetto che come soggetti passivi del trattamento
quando navigano.
Privacy Flag
22. PbD nel Regolamento Europeo
Articolo 23
Protezione fin dalla progettazione e protezione di default
1. Al momento di determinare i mezzi del trattamento e all’atto del
trattamento stesso, il responsabile del trattamento, tenuto conto
dell’evoluzione tecnica e dei costi di attuazione, mette in atto adeguate
misure e procedure tecniche e organizzative in modo tale che il
trattamento sia conforme al presente regolamento e assicuri la tutela
dei diritti dell’interessato.
2. Il responsabile del trattamento mette in atto meccanismi per garantire
che siano trattati, di default, solo i dati personali necessari per ciascuna
finalità specifica del trattamento e che, in particolare, la quantità dei dati
raccolti e la durata della loro conservazione non vadano oltre il minimo
necessario per le finalità perseguite. In particolare detti meccanismi
garantiscono che, di default, non siano resi accessibili dati personali a un
numero indefinito di persone.
Privacy Flag
23. Privacy Flag
Giurista europeo specializzato in diritto ICT, privacy e protezione dei dati personali
Research Fellow e membro del Cda dell’Istituto Italiano Privacy, Lucio svolge attività di
consulenza legale in Italia e in Europa per clienti multinazionali e start-ups innovative su
un ampio spettro di questioni giuridiche legate al diritto delle nuove tecnologie. E’
associato presso lo studio legle Ict Legal Consulting. Collabora al webmagazine
Stradeonline, di cui è anche redattore.
LL.M in EU Law conseguito presso l’Università di Leiden (Olanda), Lucio ha acquisito
esperienza anche in campo regolatorio lavorando presso lo European Data Protection
Supervisor, a Bruxelles.
Autore di pubblicazioni scientifiche su giornali e riviste nazionali e internazionali, è anche
fellow della European Privacy Association (EPA) e dell’Istituto Bruno Leoni.
www.istitutoitalianoprivacy.it
scudieroi@istitutoitalianoprivacy.