L’evento di Pietrarsa ha sottolineato quanto sia necessario favorire una sempre più generale consapevolezza del legame tra tutela dei dati personali e diritti fondamentali dell’individuo.

La cultura della “Privacy” deve passare alle nuove generazioni. Saranno loro i custodi del futuro dei nostri e dei loro dati personali.

In quest’ottica si inserisce l’iniziativa promossa dal Tavolo DPO di Pietrarsa, Parliamone insieme: i giovani parlano della (loro) Privacy, nell’ambito de L’Italia si accende di privacy, pensata nelle aule dell’Università di Foggia che, nella primavera del 2023, vedrà insieme giovani laureati e laureandi, diplomati e diplomandi, confrontarsi sul loro modo di vedere e di intendere la tutela dei dati personali, sui loro dubbi, preoccupazioni, aspettative..

L’iniziativa, la prima in programma per il 2023, verrà realizzata in collaborazione con alcuni docenti e tutor che guideranno i ragazzi sui temi che più li coinvolgono (tutela dei dati e IA, social network, gaming, rischi e valore della condivisione, IOT).

Il Tavolo PA Digitale ha individuato, come prima tappa delle proprie attività per proseguire i lavori avviati a Pietrarsa, un momento di confronto e discussione in occasione di Forum PA, che si terrà a Roma dal 16 al 18 maggio 2023.

L’incontro, il cui programma è in via di definizione, si concentrerà sui processi e presidi organizzativi al fine di individuare le buone pratiche e definire un framework di regole condivise che permettano alle pubbliche amministrazioni di affrontare le tre sfide individuate dal Tavolo PA Digitale durante State of privacy ‘22 (data sharing, sicurezza dei dati, smart cities). L’evento di maggio sarà preceduto da incontri in full digital tra gli esperti e stakeholders che costituiscono il gruppo di lavoro del Tavolo.

Attorno al Tavolo Advertising, nel corso della giornata, sono state individuate tre sfide e tre azioni, che saranno riassunte all’interno di una relazione che verrà pubblicata nei prossimi giorni.

Il Tavolo Cloud ha affrontato le principali sfide che provider, pubbliche amministrazioni e imprese devono affrontare in relazione alla protezione dei dati personali con riferimento allo sviluppo, erogazione e utilizzo di servizi cloud. La relazione conclusiva dei lavori del Tavolo con le tre sfide e azioni, verrà pubblicata nei prossimi giorni.

Il Tavolo Diritti Umani, nel corso di State of privacy ’22, si è focalizzato sul rapporto tra privacy e altri diritti fondamentali, e ha individuato tre sfide e tre azioni che sono riassunte nella seguente relazione.

RELAZIONE FINALE

Alla presenza di esperti internazionali, il Tavolo Diritti umani ha focalizzato l’attenzione sul rapporto tra privacy e altri diritti fondamentali. Protezione dei dati e privacy possono infatti esercitare un ruolo autonomo, essere funzionali all’esercizio altri diritti, o, infine, trovarsi in una posizione di conflitto con altri diritti, rendendo necessario un adeguato bilanciamento. La protezione dei dati, inoltre, è sempre più frequentemente chiamata a svolgere un ruolo suppletivo rispetto ad alcune lacune del sistema, specie con riferimento alle nuove tecnologie, divenendo strumentale alla salvaguardia di diritti che altrimenti non troverebbero adeguata tutela, così ponendo ulteriori questioni sul ruolo della protezione dei dati in ambiti ancora non normati e sul rapporto tra i suoi principi e le future normative di settore.

In particolare il Tavolo ha individuato le seguenti sfide prioritarie del prossimo futuro e le relative strategie:

• 1° SFIDA – Protezione dei dati e diritti umani: come garantire una virtuosa interazione tra diritti fondamentali

Questa sfida è stata considerata da diverse angolazioni: a) quando la privacy agisce come diritto funzionale al godimento di altri diritti, in particolare il libero sviluppo ed espressione della personalità di un individuo, e la non discriminazione; b) quando entra in conflitto con altri diritti fondamentali, richiedendo in tal modo un adeguato bilanciamento dei diritti; c) quando la protezione dei dati è chiamata a svolgere un ruolo in assenza di altri specifici diritti.

Strategie:

• la privacy è un diritto funzionale (enabling right) all’esercizio di altri diritti fondamentali ma per poter essere proficuamente esercitato necessita di condizioni abilitanti (enabling conditions, ad es. la parità di accesso ai servizi digitali, alfabetizzazione). Questo perché la privacy non deve essere un privilegio per pochi, ma una componente fondamentale di giustizia sociale;
• nella costruzione di nuove policy, rese necessarie dalle incessanti sfide che la tecnologia pone, occorrono innovativi strumenti di protezione, in particolare l’introduzione di valutazioni di impatto sui diritti umani e nuovi modelli partecipativi;
• la protezione dei dati – pur componente essenziale della tutela della persona – non può diventare la “legge per ogni evenienza”: ove emergano nuove sfide per i diritti umani è necessario individuare adeguati strumenti anche complementari alla protezione dei dati.

• 2° SFIDA – Diritti umani e privacy nell’emergenza: come garantire una tutela persistente dei diritti fondamentali e della protezione dei dati in situazioni critiche

L’ultimo biennio ha mostrato come situazioni eccezionali quali il contenimento di una pandemia possono giustificare misure restrittive delle libertà e dei diritti delle persone, purché simili restrizioni non conducano mai allo svuotamento di tali diritti e libertà e rispondano a specifici requisiti. Siamo oggi chiamati ad operare tale delicato bilanciamento in situazioni ancora più difficili e di emergenza, tra cui guerre, conflitti, cambiamenti climatici.

Strategie:

• servono standard globali e un multilateralismo rafforzato per garantire la persistenza di principi indissolubili che devono mantenere la loro vitalità nelle emergenze, in linea con la giurisprudenza della Corte europea dei diritti dell’uomo sugli articoli 8 e 15 della CEDU;
• le misure restrittive adottate in emergenza devono essere limitate nel tempo rendendo necessari meccanismi adeguati per tornare allo status quo ante una volta venuta meno la straordinarietà delle circostanze; 
• vi sono settori, in primis quello della sicurezza nazionale, che soffrono della mancanza di garanzie adeguate per i diritti delle persone: occorre colmare tali lacune con interventi mirati nella normativa nazionale.

• 3° SFIDA – Privacy e democrazia: come reagire ai rischi di una digitalizzazione pervasiva nella costruzione e tutela della democrazia

La sfida principale qui risiede nella costruzione di una “società della sorveglianza”. A causa della trasformazione digitale e della sofisticazione della tecnologia, la sorveglianza delle comunicazioni delle persone, dei dati personali e della vita privata sembra essere diventata la nuova regola sia nel settore pubblico, sia in quello privato.

Strategie:

• nella costruzione di nuove policy è necessario un approccio olistico che comprenda non solo i diversi diritti fondamentali in gioco, ma anche diversi settori come la privacy e la concorrenza: comprendere meglio l’abuso di potere (in questo caso informativo) significa proteggere meglio il diritto alla privacy;
• è necessaria una riflessione sulle sinergie tra le diverse autorità competenti (es. autorità di protezione dati e antitrust) al fine di costruire un sistema basato su una piena ed efficiente integrazione tra privacy e concorrenza.

Attorno al Tavolo Fintech, sono state individuate tre sfide e tre azioni che sono riassunte nella seguente relazione elaborata al termine della giornata di lavori.

RELAZIONE FINALE

1. Promuovere le nuove tecnologie nell’ambito dell’operatività bancaria e finanziaria, mantenendo un punto di equilibrio tra le opportunità offerte dall’innovazione dei servizi e il rispetto del diritto alla «privacy» dei cittadini.

L’ innovazione tecnologica rappresenta una leva importante per il settore finanziario perché in grado di stimolare la continua evoluzione dei processi interni e dei servizi offerti alla clientela. I big data, i data analytics, il machine learning, sono strumenti ampiamente diffusi all’interno del settore bancario e finanziario, che attraggono ingenti investimenti da parte degli operatori, poiché possono migliorare sensibilmente, non solo i processi di business ma anche la gestione dei rischi specifici del settore (es. rischi di credito); Il loro utilizzo non può prescindere naturalmente dalla conformità delle soluzioni scelte alle normative applicabili a questi ambiti e ai meccanismi di assurance necessari per garantire il rispetto dei diritti e delle libertà dei soggetti coinvolti. In questo senso, le riflessioni sulla conformità devono procedere di pari passo con la “dinamicità” e l’evoluzione delle nuove tecnologie. Il settore, dunque, sembra spingersi verso un modello di banca sempre più “data-driven”. Tutto ciò pone nuove sfide di compliance, in particolare nell’ambito del rispetto del principio di minimizzazione del dato e dell’adeguata responsabilizzazione del titolare del trattamento nello svolgimento di procedure e analisi anche automatizzate. Per quanto rappresentato, potrà essere opportuno:

• avviare ogni iniziativa utile per assicurare un confronto costante con l’Industry bancaria, delle Fintech e le Autorità Garanti Privacy e di vigilanza del mondo bancario al fine diaumentare la consapevolezza delle specificità dell’attività bancaria e dei benefici derivanti dal potenziale utilizzo di tecnologie innovative, se correttamente bilanciato con la tutela della privacy dei propri clienti;
• creare nuove competenze per comprendere e gestire la complessità delle nuove tecnologie e la loro velocità di evoluzione in ottica data-protection;
• rafforzare la relazione tra titolari del trattamento e tutte le parti coinvolte nella gestione dei dati;
• innescare un processo di “pedagogia digitale” al fine di offrire alla clientela strumenti pratici per comprendere il valore dei dati personali e finanziari e le logiche poste alla base degli algoritmi di analisi, cercando di aumentare la trasparenza di questi ultimi.

2. Abilitare un eco-sistema di scambio di dati (Open Data) che garantisca il rispetto della normativa privacy e faciliti le procedure di trasferimento dei dati in tutta sicurezza.

Il tema del trasferimento dei dati personali in Paesi Extra UE risulta essere di grande attualità anche all’interno del settore bancario e finanziario, soprattutto a seguito della decisione della Corte di Giustizia Europea (cd. “Schremes II”) e dei recenti Provvedimenti che hanno riguardato l’utilizzo di Google Analytics. In questo contesto, deve essere gestita l’esigenza che può verificarsi nell’operatività, tra gli altri, degli operatori finanziari di dover trasferire dati al di fuori dello Spazio Economico Europeo; tutto ciò avviene, quasi sempre, con modalità del tutto similari tra i diversi istituti, sfruttando flussi di dati rilevabili e comporta la necessità di un numero estremamente elevato di TIA (Transfert Impact Analysis) che, nella maggior parte dei casi, si avvalgono anche di ricostruzioni della normativa, da parte di soggetti terzi il cui consulto non ha un valore “legale”. Allo stato attuale, dunque, non è possibile avvalersi di un valido strumento, anche di assunzione del rischio, che possa essere fornito come evidenza di accountability. D’altro canto, si ritiene che una maggiore valorizzazione dei cosiddetti “dati aperti” o “Open Data” potrebbe facilitare le procedure di trasferimento dei dati in paesi terzi, tra società dello stesso gruppo bancario/finanziario e con le terze parti, sempre mantenendo un adeguato grado di sicurezza. Tale approccio, potrebbe anche facilitare le attività svolte nell’ambito della sicurezza dei servizi finanziari. Per quanto rappresentato, potrà essere opportuno:

• rappresentare nelle sedi europee la necessità di decisioni di adeguatezza della Commissione UE, almeno rispetto agli Stati Uniti e ad alcuni Paesi di rilevanza in ambito Extra UE;
• creare un contesto normativo che sia in grado di fornire strumenti pratici che aiutino il titolare del trattamento a condurre le TIA, contribuendo così a fornire un orientamento comune e certezza sulla tenuta e sulla solidità giuridica degli strumenti di trasferimento e che aiuti la valorizzazione, anche nel contesto bancario/finanziario degli Open Data;
• rafforzare la possibilità che un dato personale possa essere condiviso in ambito cybersecurity e antifrode al fine di garantire una maggiore tutela della clientela.

3. Garantire un maggior coordinamento tra le normative, di rango nazionale ed europeo, applicabili al settore bancario e finanziario e la normativa sul trattamento dei dati.

La normativa sul trattamento dei dati personali (si consideri, ad esempio, il General Data Protection Regulation e il Codice Privacy italiano) è caratterizzata da un ambito di applicazione trasversale. Questa particolarità, nell’ambito del settore bancario e finanziario, è stata oggetto di contemperamento con altre normative che recano disposizioni ad hoc quanto alla legittimità o meno del trattamento dei dati personali. Si pensi, come esempi pratici, all’interazione tra:

• GDPR e normativa Antiriciclaggio (AML): se, da un lato, si riconosce il diritto di accesso ai propri dati personali da parte dell’interessato, imponendo una disclosure di informazioni, dall’altro lato la legge stessa riconosce delle limitazioni a tale diritto proprio per evitare la compromissione delle indagini in corso e per salvaguardare in generale gli interessi tutelati dalla normativa AML (imponendo una non disclosure di talune informazioni invece richiedibili con il diritto di accesso).Tuttavia, in alcuni casi “il confine” può essere labile;
• GDPR e PSD2, ove, oltre ai temi già noti, trattati dalle Linee Guida 06/2020 dell’EDPB, restano al centro del dibattito altre questioni di rilevanza come, ad esempio, la verifica dell’identità digitale degli utenti e gli aspetti privacy collegati.

Per quanto rappresentato, potrebbe essere opportuno:

avviare ogni iniziativa utile per garantire un maggiore coordinamento tra le discipline e un confronto costante con l’Autorità Garante nazionale per illustrare la specificità di alcune discipline rispetto al GDPR e segnalare, in ambito europeo, la necessità di una maggiore “coerenza” delle regole.

RELAZIONE FINALE

Quello che stiamo vivendo è il millennio delle scienze della vita. Siamo e saremo sempre di più inondati da dati genetici. Già ad oggi 30 milioni di persone nel mondo hanno depositato il loro DNA. Aumenteranno.

La prima sfida, dunque, è di ordine quantitativo. Il fenomeno di crescente diffusione ed utilizzo dei dati genetici richiede di essere governato prevedendo regole specifiche per il loro trattamento. Il tavolo condivide l’idea che il dato genetico debba essere considerato come una categoria autonoma, benché presenti punti di contatto con i dati sanitari e con quelli biometrici.

Se l’utilizzo dei dati genetici in campo clinico è sufficientemente regolato, ci sono svariati utilizzi secondari e diversi che attendono l’attenzione del decisore politico e del Garante. Occorre effettuare ancora una mappatura degli usi possibili dei dati genetici e di conseguenza elaborare le relative policies.

La disciplina relativa alla protezione di questa categoria di dati si pone al punto di intersezione fra la tutela della salute, la libertà di ricerca e di sperimentazione scientifica, la sicurezza pubblica, richiedendo complesse operazioni di bilanciamento.

Soprattutto nell’ambito della ricerca scientifica è ancora da individuare il punto di equilibrio ottimale fra utilizzo del dato e rispetto del GDPR. Si registra qui un’estrema disomogeneità di regole in Europa che non favorisce il settore della ricerca e la qualità delle cure in Italia. È perciò opportuno anche sollecitare l’adozione di linee guida da parte dello European Data Protection Board.

Sembra anche necessario superare l’idea concettuale del consenso come “sgravio” o come adempimento per favorire piuttosto la diffusione di strumenti di governance che sappiano sia rendere effettiva la tutela dei dati nei diversi contesti in cui il dato genetico si rende utile sia salvaguardare la caratteristica intrinseca del dato genetico di consentire una molteplicità di riutilizzi per massimizzare il suo potenziale euristico.

La seconda sfida specifica è relativa alle biobanche che, com’è noto sono di diversi tipi. Per quelle di ricerca il problema principale resta quello di un’assenza di normativa ad hoc, con la conseguente difficoltà di definire l’ampiezza del consenso alla conservazione e all’utilizzo di campioni biologici e dati (per quanto tempo? per quali finalità? deve essere prevista la revoca del consenso? chi è il proprietario di questi dati?). Una soluzione che si sta predendo sempre più spesso in considerazione è quella della re-informazione. Pare che si possa finalmente superare, adottando adeguate misure organizzative, la difficoltà tecnica, da tempo segnalata, di comunicare con l’interessato dopo tanto tempo.

La terza sfida è, invece, legata alla diffusione dei test genetici diretti al consumatore, per i quali – anche in considerazione del problema della transnazionalità del fenomeno – è complicato individuare forme di regolamentazione. Si tratta, tuttavia, di un ambito in netta espansione all’interno del quale i confini sono spesso labili (come per esempio ancestry tests, ma i dati vengono poi condivisi e impiegati anche per altre finalità).

Il Tavolo Gig Economy, nel corso della giornata, ha individuato tre sfide e tre azioni che sono riassunte nella seguente relazione.

RELAZIONE FINALE

Le tre sfide del tavolo Gig Economy

1. È emersa l’esigenza di meglio comunicare la consistenza ed il perimetro di questo mercato che negli ultimi 7-8 anni si sta con forza affermando. A partire dalle definizioni: non solo, non più GIG economy, ma anche Platform economy e Piattaforme di lavoro fluido, con un elevato numero di sottomercati e un’elevata eterogeneità dei modelli di business.

2. Sfatare alcuni miti e leggende frutto anche di una crescita prorompente e di una percezione a tratti distorta del settore, a partire dalla consapevolezza che se non funziona l’algoritmo e produce inefficienze ed illiceità è perché a monte è l’azienda che non funziona.

3. Pertanto, tutti abbiamo convenuto sulla utilità di avviare i lavori per un Codice di Condotta, ai sensi del GDPR, ma che abbia anche una forte componente etica e di attenzione all’individuo, inteso sia come utente sia come lavoratore addetto al mercato, diffondendo la consapevolezza del valore dello spazio privato.
Dovrebbe trattarsi di un codice di condotta, programmaticamente in versione beta perenne, con una discussione multistakeholder, unificata da obiettivi e incentivi condivisi. Attraverso di esso occorrerebbe anche provare a bilanciare l’accesso all’informazione per esigenze di efficienza di mercato, per qualità ed efficienza del servizio, per garanzia di diritti fondamentali, per giustizia sociale. Occorrerebbe poi valorizzare i dati per tutti gli stakeholders attraverso innovazione sui seguenti temi: trasparenza, anonimizzazione, condivisione e diritto all’analisi scientifica. Sarebbe anche utile pensare ad una struttura incentivante: consorzio intermediario dei dati (previsto da Data Governance Act e Data Act) al quale partecipano gli stakeholder,al fine di creare un bene comune da gestire con una regola multistakeholder scritta nel Codice di condotta, senza dimenticare, il riuso dei dati opportunamente anonimizzati e aggregati come potente strumento conoscitivo alla base delle scelte delle amministrazioni locali.

Il Tavolo Intelligenza Artificiale, durante State of privacy ’22, ha individuato tre sfide e tre azioni, che saranno riassunte all’interno di una relazione che verrà pubblicata nei prossimi giorni.

Il Tavolo IOT, durante i lavori, si è focalizzato sui rischi legati alla gestione ed alla raccolta dei dati derivanti dall’Internet of Things ma anche sulle opportunità legate ad un uso corretto di informazioni acquisite in maniera coerente con norme e buone pratiche. In tale contesto ha tracciato tre sfide e tre azioni che sono riassunte nella seguente relazione.

RELAZIONE FINALE

Tre problemi e punti di vista sui problemi dell’Internet delle Cose

The Hidden Powers of IOT

Una delle sfide uniche che l’utilizzo delle tecnologie IoT pone in essere è la pervasività e la ubiquità delle applicazioni e degli utilizzi, che la rendono – potenzialmente – estremamente impattante nella raccolta e catalogazione di informazioni.

Alcune delle problematiche da tenere presenti valutando l’IoT:

• Una tecnologia ad alto rischio, poiché in grado di non essere percepita, integrante e silente nella vita delle persone;
• Le potenzialità di ascolto e osservazione passiva e la possibilità di desumere comportamenti e pattern, spesso non conosciuti dal soggetto stesso analizzato;
• Le problematiche di “Inventory attack”, con device presenti su reti private che possono arrivare a conoscere una molteplicità di informazioni sull’ambiente locale.

NECESSITÀ: Rendere sempre più trasparenti i dati collezionati, rendendoli COMPLETAMENTE visibili, e non solo parzialmente in base alle volontà delle piattaforme, creando visualizzazioni di dashboard e di profili che rendano ogni informazione collezionata visibile, modificabile, ed eliminabile. La disponibilità di repository di dati affidabili e ottenuti correttamente, pratica comune nella comunità accademica su altri temi, potrebbe essere una soluzione/incentivo.

• Sottoproblema: Il Trend sempre più diffuso di offrire servizi di accesso e/o di osservazione a Law Enforcement;
• Sottoproblema: Sempre più spesso i dati vengono utilizzati per il training di sistemi di AI, ascritti a training dataset di cui quasi mai il proprietario dei dati è a conoscenza.

Privacy by Design in limited power devices

Quando si discute di IoT si discute spesso – anche se non sempre – di dispositivi affetti da endemica resource limitation: le potenze di calcolo, di storage, di elaborazione sono obbligatoriamente limitate da vincoli costruttivi ed economici, condizioni che spesso incentivano scorciatoie elaborazionali, che sempre più spesso si muovono nella direzione di spostare le operazioni in Cloud tramite Cloud Computing.

Per evitare breach della confidenzialità del dato in movimento e/o at rest è necessario che la Resource limitation venga mitigata con una fortissima adesione ai principi di Privacy by design.

NECESSITÀ: Diventa necessario registrare e gestire i singoli dispositivi utilizzando strong authentication per evitare rogue nodes nella infrastruttura, ed è necessario forzare data storage policies e cifratura del dato in movimento e a riposo per evitare attacchi multi stakeholder sui data lake o in movimento sui dispositivi. Sarebbe utile ipotizzare un marchio “P-EC” Privacy-Tested in EC per verificare la conformità di tali device alla normativa EU e incentivare la creazione di sandbox per sperimentare soluzioni soprattutto in settori sensibili come quello sanitario.

• Sottoproblema: Il rilevamento dei dispositivi deve essere possibile in qualunque condizione, per evitare installazioni occulte, ed è quindi necessario prevedere un meccanismo obbligatorio di “announce” dei device, che sia audiovisivo o tramite annunciazione di rete.

Selling and Sellers (Business Model)

Il mondo dell’IoT, soprattutto domestico, si basa sulla acquisizione di servizi innovativi con scambio di dati che nella grande parte dei casi vengono utilizzati per la creazione di profili di marketing sempre più sofisticati.

L’intero sistema è ben ricapitolato nell’opinione 8/2014 “Recent Developments on the Internet of Thing” del WP29 in cui la condizione viene definita “Lack of control and information asymmetry” (Mancanza di controllo e asimmetria informativa), una mancanza di controllo ed una asimmetria che abilitano atteggiamenti virtuosi o meno – a secondo del player – nella vasta prateria della Vendita dei dati.

NECESSITÀ: Necessario è analizzare la qualità del consenso dell’utente, le modalità di rilevamento invasivo di modelli di comportamento e profilazione e soprattutto comprendere una volta per tutte se la “vendita di dati per ottenere un bene o servizio” rappresenta o no un modello di business lecito e da incentivare.

• Sottoproblema: Comprendere se la vendita dati alle Forze dell’Ordine rappresenta o meno, e in che modalità, un modello di business lecito e da incentivare

FONTI

Guidelines for Securing the Internet of Things (Novembre 2020)
https://www.enisa.europa.eu/publications/guidelines-for-securing-the-internet-of-things

EDPS: Parere 4/2015 Verso una nuova etica digitale Dati, dignità e tecnologia
https://edps.europa.eu/sites/edp/files/publication/15-09-11_data_ethics_it.pdf

Opinion 8/2014 on the on Recent Developments on the Internet of Things (ARTICLE 29 DATA PROTECTION WORKING PARTY)
https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp223_en.pdf