Privacy by Design: effetti pratici sui sistemi IT

GIANCARLO BUTTIMilano, 29 GENNAIO 2016

#READY4EUDATAP

#READY4EUDATAP

L’evoluzione

Ideato dall’ Information and Privacy Commissioner dell’ Ontario

Recepito nel 2010 dalla 32a Conferenza Internazionale dei Garanti privacy

Recepito come privacy by design e by default dal Regolamento UE

#READY4EUDATAP

(61 The protection of the rights and freedoms of individuals with regard to the processing of personal datarequire that appropriate technical and organisational measures are taken to ensure that the requirements of

this Regulation are met. In order to be able to demonstrate compliance with this Regulation, the

controller should adopt internal policies and implement measures, which meet in particular the

principles of data protection by design and data protection by default. Such measures could consist inter aliaof

•minimising the processing of personal data•pseudonymising personal data as soon as possible•transparency with regard to the functions and processing of personal data,

•enabling the data subject to monitor the data processing•enabling the controller to create and improve security features.

When developing, designing, selecting and using applications, services and products that are either

based on the processing of personal data or process personal data to fulfil their task, producers of theproducts, services and applications should be encouraged to take into account the right to dataprotection when developing and designing such products, services and applications and, with due regard to

the state of the art, to make sure that controllers and processors are able to fulfil their data protectionobligations. The principles of data protection by design and by default should also be taken into considerationin the context of public tenders.

Il Regolamento UE

…controller should adopt internal policies and

implement measures…•minimising the processing of personal data•pseudonymising personal data as soon as possible•transparency with regard to the functions and processing ofpersonal data•enabling the data subject to monitor the data processing•enabling the controller to create and improve securityfeatures

…producers of the products, services and applications should

be encouraged to take into account the right to dataprotection…

#READY4EUDATAP

Article 23Data protection by design and by default

1. Having regard to the state of the art and the cost of implementation and taking account of the nature, scope, context andpurposes of the processing as well as the risks of varying likelihood and severity for rights and freedoms of individuals

posed by the processing, the controller shall, both at the time of the determination of the means for processing and at the

time of the processing itself, implement appropriate technical and organisational measures, such as

pseudonymisation, which are designed to implement data protection principles, such as data minimisation, inan effective way and to integrate the necessary safeguards into the processing in order to meet the requirements of thisRegulation and protect the rights of data subjects.

2. The controller shall implement appropriate technical and organisational measures for ensuring that, by default,only personal data which are necessary for each specific purpose of the processing are processed; this appliesto the amount of data collected, the extent of their processing, the period of their storge and their accessibility. Inparticular, such measures shall ensure that by default personal data are not made accessible without the individual’sintervention to an indefinite number of individuals.

2a. An approved certification mechanism pursuant to Article 39 may be used as an element to demonstrate compliancewith the requirements set out in paragraphs 1 and 2.

Il Regolamento UE

…technical and organisational measures, such as

pseudonymisation, which are designed to implement dataprotection principles, such as data minimisatio…

The controller shall implement appropriate technical andorganisational measures for ensuring that, by default, onlypersonal data which are necessary for each specific purposeof the processing are processed;

#READY4EUDATAP

Art. 3. Principio di necessità nel trattamento dei datiI sistemi informativi e i programmi informatici sono configurati riducendo al minimo l'utilizzazione didati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite

nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità chepermettano di identificare l'interessato solo in caso di necessità.

Art. 11. Modalità del trattamento e requisiti dei dati1. I dati personali oggetto di trattamento sono:…d) pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati;e) conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiorea quello necessario agli scopi per i quali essi sonostati raccolti o successivamente trattati.

La situazione attuale

Autorizzazione n. 1/2014 - Autorizzazione al trattamento dei dati sensibili nei rapporti di lavoro

…

Prima di iniziare o proseguire il trattamento i sistemi informativi e i programmi informatici sono configurati riducendo al

minimo l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità

perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che

permettano di identificare l'interessato solo in caso di necessità, in conformità all'art. 3 del Codice

Art. 3. Principio di necessità nel trattamento dei datiI sistemi informativi e i programmi informatici sono configurati

riducendo al minimo l'utilizzazione di dati personali e di datiidentificativi…

Art. 11. Modalità del trattamento e requisiti dei dati1. I dati personali oggetto di trattamento sono:…

d) pertinenti, completi e non eccedenti rispetto alle finalità per le qualisono raccolti o successivamente trattati;e) conservati in una forma che consenta l'identificazionedell'interessato per un periodo di tempo non superiore a quellonecessario

#READY4EUDATAP

I principi fondamentali

1. Proactive not Reactive; Preventative not RemedialThe Privacy by Design (PbD) approach is characterized by proactive rather than reactive measures. It anticipates and prevents privacyinvasive events before they happen. PbD does not wait for privacy risks to materialize, nor does it offer remedies for resolving privacyinfractions once they have occurred — it aims to prevent them from occurring. In short, Privacy by Design comes before-the-fact, notafter.2. Privacy as the Default SettingWe can all be certain of one thing — the default rules! Privacy by Design seeks to deliver the maximum degree of privacy by ensuringthat personal data are automatically protected in any given IT system or business practice. If an individual does nothing, their privacy stillremains intact. No action is required on the part of the individual to protect their privacy — it is built into the system, by default.3. Privacy Embedded into DesignPrivacy by Design is embedded into the design and architecture of IT systems and business practices. It is not bolted on as an add-on,after the fact. The result is that privacy becomes an essential component of the core functionality being delivered. Privacy is integral tothe system, without diminishing functionality.4. Full Functionality — Positive-Sum, not Zero-SumPrivacy by Design seeks to accommodate all legitimate interests and objectives in a positive-sum “win-win” manner, not through a dated,zero-sum approach, where unnecessary trade-offs are made. Privacy by Design avoids the pretense of false dichotomies, such as privacyvs. security, demonstrating that it is possible to have both.5. End-to-End Security — Full Lifecycle ProtectionPrivacy by Design, having been embedded into the system prior to the first element of information being collected, extends securelythroughout the entire lifecycle of the data involved — strong security measures are essential to privacy, from start to finish. This ensuresthat all data are securely retained, and then securely destroyed at the end of the process, in a timely fashion. Thus, Privacy by Designensures cradle to grave, secure lifecycle management of information, end-to-end.6. Visibility and Transparency — Keep it OpenPrivacy by Design seeks to assure all stakeholders that whatever the business practice or technology involved, it is in fact, operatingaccording to the stated promises and objectives, subject to independent verification. Its component parts and operations remain visibleand transparent, to users and providers alike. Remember, trust but verify.7. Respect for User Privacy — Keep it User-CentricAbove all, Privacy by Design requires architects and operators to keep the interests of the individual uppermost by offering suchmeasures as strong privacy defaults, appropriate notice, and empowering user-friendly options. Keep it user-centric.

Information and Privacy Commissioner of Ontario

Web: www.ipc.on.ca • www.privacybydesign.ca

1. Proactive not Reactive; Preventative not Remedial2. Privacy as the Default Setting3. Privacy Embedded into Design4. Full Functionality — Positive-Sum, not Zero-Sum5. End-to-End Security — Full Lifecycle Protection6. Visibility and Transparency — Keep it Open7. Respect for User Privacy — Keep it User-Centric

#READY4EUDATAP

Ripensare il modo di progettare

BY DESIGN e RE DESIGN

Oggi il coinvolgimento degli aspetti privacy avviene (se avviene…) alla conclusione della progettazione/realizzazione di un prodotto/servizio e riguarda in genere solo aspetti formali (informative, clausole contrattuali…)

Con il nuovo Regolamento UE la valutazione degli impatti privacy (PIA) e la valutazione degli interventi tecnici (oltre che organizzativi e formali) deve avvenire dalla fase di progettazione

Data Oriented StrategiesMinimise

HideSeparate

Aggregate

Process Oriented StrategiesInformControlEnforce

Demonstrate

#READY4EUDATAP

Esempio

Implementazione di soluzioni di Firma grafometricaPROATTIVO NON REATTIVO; PREVENIRE NON CORREGGERE - PRIVACY COME IMPOSTAZIONE DI DEFAULT -

PRIVACY INCORPORATA NELLA PROGETTAZIONEUn progetto di firma grafometrica, tipo particolare di FEA, è pensato da subito nel rispetto della privacy degli interessati in quanto deve sottostare oltre che a normative specifiche (CAD e Regole tecniche) anche al Provvedimento del Garante privacy sui dati biometrici.

SICUREZZA FINO ALLA FINE − PIENA PROTEZIONE DEL CICLO VITALESono previste misure per la crittografia dei dati biometrici sin dal momento della loro raccolta e per tutto il loro processo di elaborazione e conservazione. L’accesso ai dati biometrici può avvenire solo ricorrendo a terzi (le chiavi di accesso ai dati non sono nella disponibilità del Titolare). I dati in chiaro non sono conservati, neanche per periodi limitati, sui dispositivi hardware utilizzati per la raccolta. La trasmissione dei dati biometrici tra sistemi avviene esclusivamente tramite canali di comunicazione crittografati.

VISIBILITÀ E TRASPARENZA − MANTENERE LA TRASPARENZA•Il Titolare è obbligato a Informare l’utente su:

•le caratteristiche del sistema•le caratteristiche delle tecnologie utilizzate e come queste consentono di ottemperare a quanto prescritto dalla normativa

pubblicando anche sul sito internet tutte le precedenti informazioni•L’utente deve accettare le condizioni del servizio e può revocarlo•Vi è una connessione univoca della firma al firmatario ed un controllo esclusivo del firmatario del sistema di generazione della firma•Vi è un obbligo di segnalazione sulla violazioni dei dati o su incidenti informatici

MASSIMA FUNZIONALITÀ − VALORE POSITIVO, NON VALORE ZERO - RISPETTO PER LA PRIVACY DELL’UTENTE −

CENTRALITÀ DELL’UTENTELa soluzione è win-win sia per l’interessato sia per il Titolare•L’utente non deve disporre di alcuno strumento particolare•Il tipo di esperienza nell’apposizione della firma è simile a quello della firma tradizionale•La riconoscibilità della firma in caso di contenzioso è più elevata rispetto a quella tradizionale in quanto vengono archiviati un maggior numero di parametri; sia l’interessato, sia il Titolare sono quindi maggiormente tutelati•Vi è un risparmio sulla stampa dei documenti e sulla loro archiviazione•Viene eliminato il rischio di perdita di documenti

• Librerie software ed implementazioni pensate per proteggere il dato biometrico nell’intero ciclo di vita

• Massima trasparenza per il cliente che può accettarne o meno l’uso sul singolo documento

• Pubblicità della soluzione implementata dal punto di vista tecnico ed organizzativo sul sito del Titolare che adotta tale soluzione

• Vantaggi sia per il Titolare, sia per il cliente

#READY4EUDATAP

Framework di riferimento: gli aspetti ICT

2 Engineering Privacy 2.1 Prior art on privacy engineering

2.2 Deriving privacy and data protection principles from the legal

framework

2.3 Definition of the context and objectives

2.4 Methodologies

2.5 Evaluation means

3 Privacy Design Strategies 3.1 Software design patterns, strategies, and technologies

3.2 Eight privacy design strategies

4 Privacy Techniques4.1 Authentication

4.2 Attribute based credentials

4.3 Secure private communications

4.4 Communications anonymity and pseudonymity

4.5 Privacy in databases

4.6 Technologies for respondent privacy: statistical disclosure control

4.7 Technologies for owner privacy: privacy-preserving data mining

4.8 Technologies for user privacy: private information

4.9 Storage privacy

4.10 Privacy-preserving computations

4.11 Transparency-enhancing techniques acy: private information

#READY4EUDATAP

Framework di riferimento

GoalsGoals

Balance

• Benefits

• Risks

• Optimal resourcemanagement

Stakeholder

• Consult

• Comunicate

Perf. Measurement

• Goals KPI’s

OperateOperate

Where

• Processes /Practice / Activity

• Principles – Policies

• Systems

• Persons

• Organization

• Available Information

• Culture / ethic

How

• Base Practices / Activities

• Universally accepted

• Based on Standards

• Priority based on Business Goals

Life cycleLife cycle

EVALUATE, DIRECT AND MONITOR

PLAN AND ORGANIZE

DESIGN/ BUILD / ACQUIRE

USE / OPERATE

MONITOR / CONTROL

ResponsibilityResponsibility

ROLES

• BOARD

• BUSINESS

• IT / IS

• AUDIT

ACTIVITY

• R esponsible

• A ccountable

• C onsulted

• I nformed

#READY4EUDATAP

1.Consent and choice2.Purpose legitimacy and specification3.Collection limitation4.Data minimization5.Use, retention and disclosure limitation 6.Accuracy and quality7.Openness, transparency and notice8.Individual participation and access9.Accountability 10.Information security 11.Privacy compliance

Standard

Ambito Privacy ISO 2910-Ambito Sicurezza ISO 2700-Ambito Identity management ISO 2470-Ambito Risk Management ISO 3100-…

#READY4EUDATAP

Certificazioni attuali pre Regolamento UE

Article 23Data protection by design and by default

…2a. An approved certification mechanism pursuant to Article 39 may be used as anelement to demonstrate compliance with the requirements set out in paragraphs 1 and 2.

#READY4EUDATAP

Facci una domanda sul Blog

Contattaci su Twitter