2023-02-05 02:53:55
Domenica 04:32:13
Febbraio 05 2023

Privacy by Design e il suo ruolo attuale nella promozione della fiducia nella tecnologia

View 2.5K

word 1.8K read time 9 minutes, 1 Seconds

La svolta del secolo ha portato con sé l'innovazione che si basa sulla tecnologia e sulla raccolta e l'elaborazione dei dati, comprese le informazioni personali, come non abbiamo mai visto prima. L'aumento delle nuove tecnologie, in particolare l'intelligenza artificiale ("AI") e l'apprendimento automatico, e i nuovi usi di queste tecnologie hanno influito sui modi in cui le entità del settore pubblico e privato interagiscono con le informazioni personali degli individui. Di conseguenza, una sfida importante nella protezione dei dati è stata come bilanciare il diritto alla privacy con l'innovazione[1]. Probabilmente, senza tale equilibrio, la fiducia nella tecnologia non può essere stabilita o mantenuta. Il concetto di 'Privacy by Design' ('PbD') tenta di armonizzare il diritto alla privacy con il crescente desiderio commerciale di innovazione[2]. Fornisce un potenziale strumento per i governi e le organizzazioni che desiderano creare fiducia nella tecnologia e nell'innovazione.

David Krebs e Amanda Cutinha, di Miller Thomson LLP, spiegano il concetto di PbD (Privacy by Design) come teorizzato dalla dott.ssa Ann Cavoukian, l'adozione dei concetti di PbD nella legislazione sulla privacy su scala globale e l'utilità dei principi PbD per organizzazioni e legislatori che vanno avanti .

L'innovazione digitale e la necessità di una protezione proattiva della privacy

La tecnologia digitale ha e sta continuando a trasformare i modi in cui interagiamo con noi stessi, gli altri e il mondo in generale. Tuttavia, i vantaggi della tecnologia digitale devono essere bilanciati con i diritti degli individui alla privacy.

Questo sforzo di equilibrio è stato visto più di recente nell'adozione di nuove tecnologie durante la pandemia di COVID-19. L'ex commissario per la privacy del Canada, Daniel Therrien, ha osservato che la pandemia ha "accelerato la rivoluzione digitale", portando nuove tecnologie che hanno alimentato il bene sociale ma che hanno comportato rischi per i diritti alla privacy degli individui[3].

L'articolazione più chiara del bilanciamento dei rischi rispetto ai benefici durante la pandemia ha comportato l'adozione di applicazioni di tracciamento dei contatti e di notifica dell'esposizione che avevano il potenziale per reprimere la trasmissione di COVID-19, ma hanno sollevato campanelli d'allarme per gli studiosi della privacy date le ramificazioni del monitoraggio e tracciare i movimenti degli individui. Inoltre, la scarsa diffusione di queste applicazioni da parte del pubblico indicava una mancanza di fiducia sia nei governi che nelle organizzazioni che hanno creato queste applicazioni.

Un esempio recente delle conseguenze derivanti da una violazione della fiducia da parte di un'organizzazione può essere trovato nel rapporto dell'Office of the Privacy Commissioner of Canada ("OPC") sulle pratiche di un rivenditore di articoli per la casa che circondano la divulgazione non consensuale di informazioni personali dai clienti. In particolare, è stato scoperto che il rivenditore condivideva i dettagli del cliente da ricevute elettroniche come indirizzi e-mail e informazioni sugli acquisti in negozio con una piattaforma di social media. L'OPC ha commentato questa violazione osservando che "è improbabile che [...] i clienti si aspettassero che le loro informazioni personali sarebbero state condivise con una piattaforma di social media di terze parti semplicemente perché hanno optato per una ricevuta elettronica"[4].

Al fine di promuovere la fiducia, un'adeguata protezione della privacy deve essere al primo posto sia per i governi incaricati di proteggere i diritti alla privacy individuali sia per le organizzazioni che generano nuove tecnologie. PbD tenta di affrontare proprio questo problema.

Che cos'è PbD?

PbD è un concetto del 1997 coniato dall'ex Commissario per l'informazione e la privacy dell'Ontario, la dott.ssa Ann Cavoukian[5], ed è considerato un "gold standard", un approccio proattivo alla protezione della privacy che sostiene che la privacy sia incorporata nelle nuove tecnologie anziché sovrapposta come ripensamento[6] .

La PbD, come descritta dal Dr. Cavoukian, può essere realizzata praticando sette principi fondamentali[7]:

  1. Proattivo non reattivo; Preventivo non correttivo: PbD cerca di anticipare i rischi per la privacy nello sviluppo di nuove tecnologie e migliorarli prima che si materializzino.
  2. Privacy come impostazione predefinita: PbD non richiede alcuna azione da parte degli individui per ricevere la massima protezione della privacy.
  3. Privacy incorporata nel design: PbD richiede che la tecnologia sia progettata tenendo presente la privacy. La protezione della privacy dovrebbe essere integrale piuttosto che aggiuntiva.
  4. Funzionalità completa – Somma positiva, non somma zero: il mantenimento dei diritti individuali alla privacy non dovrebbe avere un costo per la funzionalità della nuova tecnologia.

  5. Sicurezza end-to-end – Protezione dell'intero ciclo di vita: anche la privacy dovrebbe essere incorporata in ogni aspetto del ciclo di vita di detta tecnologia.

  6. Visibilità e trasparenza: gli utenti dovrebbero comprendere i modi in cui la loro privacy è protetta ed essere in grado di verificare in modo indipendente che le assicurazioni fornite sulla protezione della privacy siano vere.

  7. Rispetto della privacy dell'utente: l'utente dovrebbe essere in grado di navigare nella tecnologia per soddisfare le proprie esigenze e interessi individuali.

Non c'è gerarchia tra questi principi. Invece, costituiscono l'obiettivo PbD nella progettazione del sistema: garantire la privacy, ottenere il controllo sulle proprie informazioni e, per le organizzazioni, ottenere un vantaggio competitivo sostenibile.

Inoltre, PbD è una responsabilità a livello di organizzazione; per essere efficace, coinvolge individui in diversi settori per ideare tecnologie di protezione della privacy e stabilire un rapporto di fiducia con gli utenti finali.

Tensioni su PbD

Nonostante la grande promessa di una protezione proattiva della privacy, PbD non è immune alle critiche.

In particolare, capire cosa significhi PbD da un punto di vista tecnico rimane vago e manca una metodologia uniforme o universalmente concordata che supporti l'ingegnerizzazione sistematica della privacy nei sistemi.

Alcuni potrebbero obiettare che affinché la PbD venga incorporata con successo nel quadro della legge sulla privacy in Canada e altrove, non è necessario solo il riconoscimento del requisito organizzativo generale, ma l'imposizione di soluzioni tecnologiche specifiche obbligatorie come le tecnologie di miglioramento della privacy ("PET" ). I PET possono svolgere un ruolo importante nella PbD poiché consentono buoni obiettivi di progettazione per qualsiasi sistema o tecnologia, ma non dovrebbero essere "imbullonati" a sistemi o tecnologie che invadono la privacy. Un esempio attuale di dove la tecnologia può essere uno strumento nella protezione della privacy sono i dati sintetici generati dall'intelligenza artificiale, che sarebbero un'alternativa alle informazioni personali effettive in applicazioni che si basano su informazioni individualizzate, non aggregate (ricerca sanitaria, ad esempio).

L'assorbimento del PbD nella legislazione sulla protezione della privacy

Sebbene abbia avuto origine in Ontario, PbD si è espansa a livello globale e si è fatta strada nella protezione della privacy in tutto il mondo.

Nell'ottobre 2010, l'Assemblea internazionale dei commissari per la privacy e le autorità per la protezione dei dati ha approvato all'unanimità una risoluzione che riconosce la PbD come uno standard internazionale di protezione della privacy e una componente essenziale della protezione fondamentale della privacy[8]. Ciò è stato seguito dal riconoscimento della PbD da parte della Federal Trade Commission degli Stati Uniti nel 2012 come una delle sue tre pratiche raccomandate per proteggere la privacy online nel suo rapporto intitolato Protecting Consumer Privacy in an Era of Rapid Change[9].

Un importante sviluppo della PbD è il suo utilizzo nella legislazione sulla protezione dei dati. In particolare, la PbD è un obbligo legale esplicito ai sensi del regolamento generale sulla protezione dei dati (regolamento (UE) 2016/679) ("GDPR"). L'articolo 25 impone alle organizzazioni di attuare misure tecniche e organizzative da utilizzare per attuare i principi di protezione dei dati in modo efficace e con le garanzie necessarie per proteggere i diritti dei cittadini dell'UE e soddisfare i requisiti del #GDPR [10]. Pone l'onere dell'implementazione della PbD sui titolari del trattamento dei dati, tuttavia, altri attori, come i responsabili del trattamento e i produttori di prodotti, servizi e applicazioni, che non sono direttamente interessati dall'articolo 25, potrebbero dover consultare le linee guida del GDPR per creare prodotti conformi e servizi che consentono ai responsabili del trattamento di adempiere ai propri obblighi in materia di protezione dei dati[11]. I requisiti di documentazione di cui all'articolo 30 in materia di Privacy by Default sono soddisfatti[12]. Nonostante l'incorporazione di PbD nel GDPR, tuttavia, permane una mancanza di requisiti espliciti relativi agli standard tecnici che devono essere soddisfatti per garantire la conformità.

Nonostante il suo status di gold standard per la protezione della privacy, PbD non è ancora diventato un obbligo legale esplicito ai sensi della legge canadese sulla privacy. Il disegno di legge 64 del Quebec, una legge per modernizzare le disposizioni legislative in materia di protezione dei dati personali, apporta modifiche significative alla legge del settore privato del Quebec, compresa l'introduzione di una nuova sezione che richiede alle organizzazioni di garantire "che i parametri dei prodotti o servizi tecnologici che essi l'uso per raccogliere informazioni personali fornisce il massimo livello di riservatezza per impostazione predefinita, senza alcun intervento da parte della persona interessata'[13]. Inoltre, la legislazione federale sulla privacy del settore privato è stata oggetto di iniziative di riforma, Bill C-11 per il Digital Charter Implementation Act nel 2020 e Bill C-27 per il Digital Charter Implementation Act nel 2022, che miravano entrambi ad attuare la protezione della privacy dei consumatori Legge per sostituire il Personal Information and Protection of Electronic Documents Act 2000. Sebbene nessuno dei due sia ancora approvato, in un precedente rapporto del Comitato permanente sull'accesso alle informazioni, alla privacy e all'etica riguardante le modifiche necessarie alle leggi sulla privacy del Canada, il Comitato ha raccomandato che PbD diventi una parte esplicita della legge canadese sulla privacy[14,] osservando che il Comitato "ritiene che la privacy fin dalla progettazione sia un modo efficace per proteggere la privacy e la reputazione dei canadesi"[15]. Inoltre, l'OPC e Innovation, Science and Economic Development Canada hanno entrambi raccomandato che la PbD sia al centro della riforma della legge sulla privacy16.

Tendenze future

PbD è uno strumento efficace per difendere i diritti alla privacy promuovendo al contempo l'innovazione digitale. Il suo utilizzo è importante ora più che mai data l'accelerazione della rivoluzione digitale dovuta al necessario passaggio alla società digitale durante la pandemia di COVID-19.

In un'era di riforma della privacy, PbD è un concetto utile per garantire che la protezione della privacy sia bilanciata con l'innovazione. Seguendo l'esempio del GDPR, la riforma della legge sulla privacy canadese può trarre vantaggio dal rafforzamento della PbD nella legislazione sulla protezione dei dati.

Inoltre, i principi fondamentali di PbD possono fare molto per garantire la fiducia dei consumatori. In un momento in cui i consumatori sono più consapevoli dei loro diritti alla privacy e, allo stesso tempo, la fiducia dei consumatori è ai minimi storici, PbD può favorire una reputazione positiva per le organizzazioni che seguono i suoi principi fondamentali.

David Krebs Partner
dkrebs@millerthomson.com

Amanda Cutinha Associata
acutinha@millerthomson.com

Miller Thomson LLC, Toronto

1. Vedere: www.aclu.org/other...rivacy-digital-age; e: www.ohchr.org/en/s...privacy-digital-age

2. www.journals.uchic...full/10.1086/663156

3. Vedi: www.priv.gc.ca/en/...x/201920/ar_201920/

4. www.priv.gc.ca/en/...s/2023/nr-c_230126/

5. www.ipc.on.ca/wp-c...acybyDesignBook.pdf

6. Ibid.

7. www.ipc.on.ca/wp-c...ionalprinciples.pdf

8. edps.europa.eu/sit...vacybydesign_en.pdf

9. www.ftc.gov/sites/...26privacyreport.pdf

10 edpb.europa.eu/sit...default_v2.0_en.pdf

11. Ibid.

12. www.ourcommons.ca/...42-1/ETHI/report-12

13. Ibid.

14. ised-isde.canada.c...privacy-digital-age

Source by Redazione

Similar Articles / Privacy ...ecnologia