Data protection engineering ENISA: report e tecnologie

Le nuove tecnologie dell’informazione hanno cambiato i rischi per la privacy e la protezione dei dati ed e sono emersi nuovi rischi (ad esempio attraverso la facilità di ricerca, l’archiviazione dei dati a basso costo), ma la tecnologia può anche aiutare a ridurre al minimo o evitare i rischi per la privacy e la protezione dei dati.

Il mese scorso l’Enisa (Agenzia dell’Unione europea per la cyber sicurezza) ha pubblicato un report tramite il quale ha fornito delle indicazioni tecniche finalizzate ad impostare una corretta compliance in linea con il principio “privacy by design e by default” descritto dall’art. 25 GDPR 679/2016, il cui rispetto appare spesso molto complesso in quanto connesso sia a fattori tecnici che organizzativi.

L’ENISA è attiva da molti anni nel settore delle PETs – Privacy Enhancing Technologies (tecnologie per supportare la privacy e la protezione dei dati), collaborando a stretto contatto con esperti di privacy del mondo accademico e industriale e seguendo importanti attività di ricerca e sviluppo attraverso piattaforme come Internet Privacy Engineering Network (IPEN).

L’“ingegnerizzazione dei principi di data protection” deve riguardare sia la fase di progettazione del trattamento, che le fasi di selezione, implementazione, configurazione e mantenimento delle misure e tecniche tecnologiche considerate appropriate.
Nel Report ENISA vengono presi in considerazione sei diversi obiettivi di data protection, al fine di identificare le principali garanzie che i sistemi IT devono avere quando trattano i dati personali:

  • “riservatezza”
  • “integrità”
  • “disponibilità”
  • “scollegabilità” (unlinkability);
  • “trasparenza”
  • “intervenibilità” (intervenability).

L’aggiunta di 3 obiettivi ulteriori, rispetto a quelli tipicamente presi in considerazione nella fase di valutazione del rischio e dell’impatto del trattamento, permette al titolare di condurre un’analisi più accurata del trattamento che vuole porre in essere, assicurando maggiore tutela all’interessato.

In merito alle Privacy Enhancing Technologies – PETs (tecnologie per supportare la privacy e la protezione dei dati), ENISA svolge un’ulteriore categorizzazione delle medesime, sulla base delle caratteristiche della tecnologia utilizzata, in relazione al tipo di dato che viene elaborato, partendo dal presupposto che non può esistere un approccio “one-size fits all” quando di parla di PETs:

  • Truth-preserving: l’obiettivo è preservare l’accuratezza dei dati riducendo al contempo il loro potere di identificazione;
  • Intelligibility-preserving: i dati sono conservati in un formato che ha un significato solo per il titolare del trattamento, ma che non consente di rivelare i dati reali degli interessati;
  • Operable Technology: le operazioni matematiche e logiche sui dati (ad esempio una somma o un confronto) possono essere eseguite sui risultati delle loro applicazioni, spesso senza che i dati siano intelligibili.

Fonte: ENISA (Agenzia dell’Unione europea per la cybersicurezza)

Per maggiori informazioni o contatti – Servizio Privacy e Cyber Security

Potrebbe interessarti anche

ASSOCIATI