Parte Terza

Capitolo 20- Privacy by design e privacy by default

20.1 Tecnologie che incorporano principi e regole

Nella seconda metà degli anni ’90 del secolo scorso si fa strada una nuova teoria nella dottrina giuridica statunitense che si propone di indagare l’impatto delle tecnologie digitali sul diritto. L’assunto di fondo è che le tecnologie digitali incorporano regole di comportamento [v. –> Capitolo 4 su diritto e tecnologia –> Capitolo 25].

La prima elaborazione della teoria si deve a Joel Reidenberg, un giurista americano recentemente scomparso [Reidenberg 1998].

Nel suo articolo del 1998 sulla Lex Informatica (espressione che riecheggia la Lex Mercatoria) Reidenberg sostiene che nel contesto delle reti telematiche e della società dell’informazione il diritto statale non è l’unica forma di regolamentazione, le tecnologie digitali e il modo in cui sono progettate incorporano principi e impongono regole di comportamento. I decisori politici dovrebbero comprendere e guidare il processo di costruzione della tecnologia.

Un anno dopo Lawrence Lessig pubblica il suo libro più celebre: «Code and Other Laws of Cyberspace» [Lessig 1999] [v. –> Capitolo 4]. Nel titolo del volume «code» sta per codice informatico, per rimarcare il fatto che, nell’era digitale, il software e più in genere le architetture tecnologiche condizionano il comportamento delle persone prima e in modo più penetrante di quanto possa fare il diritto delle leggi e dei giudici.

In quel testo afferma che il comportamento delle persone è condizionato da quattro fattori: l’architettura tecnologica, il diritto formale, le norme sociali (informali), il mercato.

Qui di seguito viene riprodotta la figura con la quale Lessig rappresentò il suo pensiero.

Figura 19-1: [Lessig 1999, 88], versione tratta da Wikepedia, voce Code and Other Laws of Cyberspace, CC-BY-SA 2.5

Pochi anni più tardi queste nuove teorie americane erano già circolate in Italia.

Giovanni Pascuzzi, nella prima edizione del suo libro intitolato «Il diritto dell’era digitale» parla della «tecnologicizzazione» come di uno dei tratti caratteristici dell’era digitale [Pascuzzi 2002, 194 ss., note omesse].

Con la parola «tecnologicizzazione» si intende alludere a diversi fenomeni.

a) [La tecnica come regola]. Tutto ciò che è possibile fare con i computer è determinato dalle istruzioni che compongono i programmi […] [Pascuzzi 2002, 194, in riferimento a Reidenberg e Lessig].
b) [I tecnici come fonte della regola (standard)]. Siamo abituati a pensare che le norme vengano poste da soggetti che hanno una qualche forma di legittimazione (o investitura). Spesso il diritto dell’era digitale si sostanzia in standard tecnologici. Gli standard tecnologici vengono definiti in base alle conoscenze considerate più avanzate in un determinato contesto storico su un certo aspetto. I soggetti in grado di definire quali siano le acquisizioni più avanzate sono gli esperti del settore: in questo caso si tratta di tecnici. Gli standard del diritto dell’era digitale sono posti da tecnici (che parlano ad altri tecnici) […] [Pascuzzi 2002, 195].
c) [La tecnica come tutela]. Meccanismi tecnologici possono garantire in via effettuale la tutela di determinati interessi più di quanto possa fare l’enforcement giurisdizionale di una norma astratta. Così nel campo della tutela della privacy, gli accorgimenti che promettono di mantenere l’anonimato. Così nel campo del copyright, gli strumenti che danno all’autore il pieno controllo sullo sfruttamento dell’opera dell’ingegno [Pascuzzi 2002, 196].

 

Uno dei campi di studio di maggiore interesse è dato dall’interazione tra tecnologia e leggi.

Un esempio è dato dall’interazione tra copyright e misure tecnologiche di protezione delle opere dell’ingegno (si pensi alle misure anticopia applicate a un DVD o alle misure che impediscono di visionare un film, una volta scaduto il periodo di noleggio).

La prima rilevante forma di tutela giuridica delle misure tecnologiche di protezione [MTP] si deve ai World Intellectual Property Organization (WIPO) Tresties del 1996. I legislatori statunitense ed europeo hanno dato attuazione al mandato internazionale emanando rispettivamente il Digital Millenium Copyright Act (DMCA) del 1998 e la Direttiva 2001/29/Ce. Semplificando, il nucleo comune delle norme sta nel triplice divieto:
1. di elusione delle MTP delle opere;
2. di produzione o diffusione di tecnologie «principalmente finalizzate» all’elusione delle MTP;
3. di rimozione o alterazione delle informazioni sul regime dei diritti [Caso, Pascuzzi 2020, 231].

A proposito della tecnologicizzazione e dell’idea di il controllo esclusivo delle informazioni attraverso le misure tecnologiche di protezione e il Digital Rights Mangement (DRM) è stato poi osservato quanto segue.

[….] va rilevato che i problemi sollevati dal DRM sono trasversali, cioè chiamano contemporaneamente in causa più materie giuridiche. Di là dalle ingannevoli e superficiali apparenze, le tecnologie digitali ed Internet non riproducono, né emulano le dimensioni del mondo non digitale, sul quale le categorie giuridiche sono state finora edificate. Ad esempio, rispetto al DRM non è molto utile parlare solo di diritto dei contratti, senza considerare le implicazioni (almeno) in termini di proprietà intellettuale e di privacy. Ciò discende dal fatto che anche una singola tecnologia (ad esempio, la crittografia) è in grado di proiettare effetti contemporaneamente in più ambiti giuridici.
In altre parole, tecnologicizzazione significa abituarsi a fare i conti con un’altra espressione della complessità che caratterizza il mondo contemporaneo. Per comprendere e governare fenomeni complessi non si può prescindere dal dialogo tra saperi.
[…] Il controllo privato dell’informazione garantito da tecnologie come il DRM ha caratteristiche completamente differenti da quelle del controllo discendente dal copyright. Il controllo tecnologico è conformante, preventivo, perpetuo e indiscriminato. Il controllo tecnologico spiana la strada ad un inedito potere di autotutela delle regole poste unilateralmente nel contratto [Caso 2004, 193 ss].

L’interazione tra tecnologia e legge ha nella disciplina della protezione dei dati personali uno degli esempi più interessanti. Il riferimento è alle Privacy Enhancing Technologies (PET) e al principio della privacy by design che verrà approfondito nel –> Paragrafo 20.2.

[Le PET] sono state sviluppate al fine di assicurare un grado sufficiente di riservatezza (se non di anonimato) nel cyberspazio. Con siffatta locuzione si suole individuare un sistema coerente di tecnologie dell’informazione e della comunicazione che proteggono la privacy eliminando o riducendo i dati personali o prevenendo un trattamento non necessario di dati personali senza compromettere la funzionalità del sistema [Pascuzzi 2020, 97].

Va peraltro rilevato che l’idea di incorporare regole e principi nella tecnologia sta diventando pervasiva.

La fiducia in una progettazione (design) tecnologica che incorpori principi giuridici va anche oltre l’esempio [della privacy by design] fatto:
- ethic by design. Nella Carta etica europea per l’uso dell’intelligenza artificiale nei sistemi di giustizia e nei relativi ambienti […] si dice che la preferenza dovrà essere data agli approcci: ethical by design o human rights by design;
- security by design. Nelle «Proposte per una strategia italiana per l’intelligenza artificiale» (elaborate dal gruppo di esperti del MISE sull’intelligenza artificiale) si sostiene […] che l’attenzione va spostata dal concetto di ethics by design a un approccio più completo, di secuity by design, concentrandosi non tanto sul tipo di approccio (cioè, l’approccio etico volto a garantire un adeguato livello di sicurezza), quanto sul risultato;
- safety by design. Vengono definite in questo modo delle iniziative tese a porre la sicurezza e i diritti degli utenti al centro della progettazione, dello sviluppo e dell’implementazione di prodotti e servizi online […] [Pascuzzi 2020, 367].

20.2 Privacy by design

In un libro recente Giorgia Bincoletto ricostruisce l’origine del principio della privacy by design [Bincoletto 2019, 40 ss. note omesse in riferimento a Cavoukian 2009].

[…] il concetto di privacy by design è stato inizialmente elaborato in Canada durante l’ultimo decennio del secolo scorso, grazie alla riflessione di Ann Cavoukian, la quale è attualmente uno dei maggiori esperti mondiali in materia di privacy. Ann ha ricoperto il ruolo di Information and Privacy Commissioner dell’Ontario (d’ora in avanti: IPC) dal 1997 al 2014, per l’eccezionale durata di tre mandati. […]
A parere dell’autrice canadese, è intesa privacy by design […], la realizzazione di un progetto che consideri la protezione dei dati personali e della riservatezza sin dal principio, a partire dalla creazione del prodotto o dell’esecuzione di un servizio. L’approccio è caratterizzato dall’adozione di misure proattive, con lo scopo di anticipare e prevenire le invasioni della privacy prima che accadano; per l’appunto la privacy by design non consente di attendere la materializzazione del rischio di invasione alla sfera giuridica del soggetto e non intende offrire rimedi successivi, ma mira alla prevenzione, ossia ad operare «before-the-fact»

.

Al fine di rendere più chiara la metodologia proposta, Ann Cavoukian ha elaborato sette principi fondativi che reggono il suo sistema della privacy, che è concepito ponendo al centro la figura dell’utente. I sette principi proposti sono i seguenti:
1. Proactive not reactive, Preventative not remedial (Proattivo non reattivo, preventivo non correttivo). L’approccio è proattivo perché le misure in materia di privacy devono essere adottate nella fase di progettazione del prodotto tecnologico, per prevenire le violazioni e non doverne cercare un rimedio successivo. Il focus è anche sul ruolo giocato dalle scelte organizzative della direzione di un’azienda nel programma di protezione della privacy;
2. Privacy as the Default Setting (Privacy come impostazione predefinita). È necessario assicurare che i dati personali siano automaticamente protetti in ogni sistema ICT e in qualsiasi pratica commerciale, in modo che, anche quando non sia richiesta un’azione positiva da parte dell’individuo, la sua privacy sia protetta per impostazione predefinita. A questo proposito sono destinate varie tecnologie, tra cui quelle per la regolazione della geolocalizzazione, per l’anonimizzazione del segnale digitale e la crittografia del dato biometrico;
3. Privacy Embedded into design (Privacy incorporata nella progettazione). La privacy deve essere integrata nel design e così rappresentare un essenziale componente della funzionalità della tecnologia, essendo appunto inserita nella sua architettura;
4. Full functionality–Positive-sum, Not zero-sum (Massima funzionalità, valore positivo e non valore zero). Questo approccio intende soddisfare tutti gli interessi e gli obiettivi in gioco, dimostrando che non sempre è imposto scegliere a vantaggio di una singola posizione ed escluderne un’altra, come nel caso della relazione tra privacy e sicurezza;

 

5. End-to-end security – full lifecycle protection (Sicurezza fino alla fine, durante tutto il ciclo del prodotto o servizio). L’approccio deve essere mantenuto per tutta la durata del trattamento dei dati, affinché il dato sia acquisito, trattenuto e distrutto in sicurezza e così la gestione dei dati sia conforme dall’inizio alla fine;

6. Visibility and transparency – keep it Open (Visibilità e trasparenza). La protezione deve essere verificabile dall’individuo grazie alla visibilità delle misure e alla loro trasparenza, nel senso che l’individuo può costantemente controllare che le operazioni sui suoi dati siano conformi alle previsioni e agli obiettivi;
7. Respect for User Privacy – keep it User-Centric (Rispetto per la privacy dell’utente, centralità dell’utente). La privacy by design richiede che l’utente, l’individuo, sia al centro, perciò devono essere implementate le misure di protezione per impostazione predefinita, la presenza di notifiche appropriate e delle opzioni di policy facili da utilizzare. Tutto ciò perché si deve assicurare la protezione dell’utente indipendentemente dalla sua partecipazione spontanea, ma con opzioni che la rendono in un certo senso obbligatoria.

20.3 L’art. 25 del GDPR

L’Unione Europea ha tradotto nell’art. 25 del GDPR il principio della privacy by design.

L’art. 25 (Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita) del GDPR così recita.

1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati.
2. Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica.
3. Un meccanismo di certificazione approvato ai sensi dell’articolo 42 può essere utilizzato come elemento per dimostrare la conformità ai requisiti di cui ai paragrafi 1 e 2 del presente articolo.

Il considerando nr. 78 del GDPR così spiega il principio.

La tutela dei diritti e delle libertà delle persone fisiche relativamente al trattamento dei dati personali richiede l’adozione di misure tecniche e organizzative adeguate per garantire il rispetto delle disposizioni del presente regolamento. Al fine di poter dimostrare la conformità con il presente regolamento, il titolare del trattamento dovrebbe adottare politiche interne e attuare misure che soddisfino in particolare i principi della protezione dei dati fin dalla progettazione e della protezione dei dati di default. Tali misure potrebbero consistere, tra l’altro, nel ridurre al minimo il trattamento dei dati personali, pseudonimizzare i dati personali il più presto possibile, offrire trasparenza per quanto riguarda le funzioni e il trattamento di dati personali, consentire all’interessato di controllare il trattamento dei dati e consentire al titolare del trattamento di creare e migliorare caratteristiche di sicurezza. In fase di sviluppo, progettazione, selezione e utilizzo di applicazioni, servizi e prodotti basati sul trattamento di dati personali o che trattano dati personali per svolgere le loro funzioni, i produttori dei prodotti, dei servizi e delle applicazioni dovrebbero essere incoraggiati a tenere conto del diritto alla protezione dei dati allorché sviluppano e progettano tali prodotti, servizi e applicazioni e, tenuto debito conto dello stato dell’arte, a far sì che i titolari del trattamento e i responsabili del trattamento possano adempiere ai loro obblighi di protezione dei dati. I principi della protezione dei dati fin dalla progettazione e di default dovrebbero essere presi in considerazione anche nell’ambito degli appalti pubblici.