Rimettere la privacy dei dati nelle mani dei cittadini
Il GDPR rappresenta un grande passo avanti per la privacy dei dati, ma lascia ancora agli utenti pochi mezzi per monitorare e controllare precisamente il modo in cui i loro dati vengono utilizzati. Il gruppo del progetto PoSeID-on (Protection and control of Secured Information by means of a privacy enhanced Dashboard) si è proposto di colmare le lacune grazie a ciò che i ricercatori hanno definito «Cruscotto ottimizzato per la privacy». Grazie a questa piattaforma, i consumatori potranno riassumere il controllo sui propri dati e decidere in che misura condividerli e con chi. Francesco Paolo Schiavo, direttore generale del Ministero italiano dell’Economia e delle finanze e coordinatore del progetto, ha accettato il nostro invito a rispondere ad alcune domande sul nuovo cruscotto e sui vantaggi che potrebbe apportare sia ai cittadini europei che ai fornitori di servizi digitali.
Perché le persone hanno bisogno di un cruscotto ottimizzato per la privacy come quello da voi proposto?
Francesco Paolo Schiavo: Il cruscotto ottimizzato per la privacy è finalizzato alla protezione dei dati personali. Si tratta di una soluzione integrata e completa per la salvaguardia dei diritti degli interessati. A coloro che utilizzeranno il cruscotto ottimizzato per la privacy sarà garantito un accesso ai propri dati personali conciso, trasparente, intelligibile e semplice. Essi conosceranno il modo in cui tali dati vengono tracciati, controlleranno e gestiranno le proprie informazioni di identificazione personale elaborate da organizzazioni pubbliche e private, e agiranno concretamente da titolari e/o fornitori dei dati. Si tratta di prendere decisioni consapevoli su chi può elaborare i vostri dati: sarete in grado concedere, limitare o revocare i permessi conformemente al principio di minimizzazione dei dati, oltre a essere avvisati in caso di esposizione della privacy.
Secondo Lei, quali sono gli elementi che rendono questa soluzione particolarmente innovativa?
Il cruscotto ottimizzato per la privacy integra le tecnologie all’avanguardia necessarie per garantire responsabilità e conformità al GDPR per quanto riguarda l’elaborazione e lo scambio dei dati. Un’innovazione chiave è la messa in sicurezza della nostra architettura aperta, per mezzo di blockchain dotate di permessi e contratti intelligenti, il che fornisce responsabilità, trasparenza e conformità alla normativa sulla protezione dei dati. Sul piano concreto, il cruscotto traccia tutte le transazioni: registra il consenso degli utenti e assegna una garanzia contestuale sulla cancellazione dei dati e sulla ridotta tracciabilità delle identità, il tutto grazie al meccanismo delle «pseudo-identità cancellabili». Un’altra innovazione è l’integrazione nel cruscotto ottimizzato per la privacy di tecnologie all’avanguardia: gestione in cloud degli accessi in base alla normativa dell’UE sull’identificazione elettronica e sui servizi fiduciari per le transazioni elettroniche nel mercato interno (eIDAS , electronic IDentification, Authentication and trust Services) e gestione della privacy con analisi dell’apprendimento automatico. Per ridurre le possibilità di frode, un modulo di gestione dei rischi analizza le richieste di dati e invia avvisi su possibili usi fraudolenti. Inoltre, disponiamo di un analizzatore dei dati personali che monitora il rischio per la privacy grazie all’elaborazione del linguaggio naturale per convalidare comunicazioni e messaggi. Tutte queste funzionalità consentono al cruscotto ottimizzato per la privacy di offrire la maggior parte delle più recenti tecnologie TIC innovative pronte all’uso. Inoltre, l’utilizzo del cruscotto ottimizzato per la privacy è intuitivo e utilizzabile anche da organizzazioni che desiderano integrare le loro procedure in uno strumento conforme al GDPR.
Come riuscite a garantire che questo strumento sia in grado di interfacciarsi con l’ampia varietà di metodi per il tracciamento dei dati attualmente utilizzata online?
Ci sono tre aspetti principali da considerare: in primo luogo, il cruscotto ottimizzato per la privacy è un prototipo integrato che consente agli utenti di stabilire il modo in cui i propri dati personali vengono condivisi con organizzazioni pubbliche e private. Si tratta di una procedura semplice e accessibile a tutti gli utenti. In secondo luogo, utilizziamo componenti sorgente: ciò significa che potenzialmente siamo in grado di integrare il cruscotto con qualsiasi architettura TIC pubblica o privata. I singoli componenti o le serie di strumenti sono resi disponibili individualmente affinché le organizzazioni europee possano integrarli nei loro sistemi. Questa opzione può garantire un livello elevato di sviluppo tecnologico e competitività, nonché la creazione di nuove opportunità di business nel mercato dell’UE. Infine, il cruscotto ottimizzato per la privacy è anche un servizio basato su cloud (PEDaaS). Lo strumento è utilizzabile anche da organizzazioni che non dispongono di blockchain e/o cloud proprietari o che non possono sostenere i costi di gestione di strumenti conformi al GDPR: basterà accedere al servizio cloud PoSeID-on e utilizzare il cruscotto ottimizzato per la privacy al fine di monitorare e controllare l’elaborazione dei dati.
Come funziona esattamente lo strumento?
Il cruscotto web degli utenti è composto dalla gestione delle informazioni e dei servizi di elaborazione delle informazioni di identificazione personale: la prima parte ne mostra il tracciamento, mentre la seconda è utilizzata per la gestione dei permessi. Per accedere, è possibile utilizzare i propri account di identificazione elettronica, il che riduce il rischio di furti d’identità e protegge la privacy degli utenti. Dal cruscotto web è immediatamente visibile un punteggio di rischio che indica il livello di esposizione della privacy. Il cruscotto mostrerà anche i risultati di valutazione provenienti da vari algoritmi che misurano quanto sia rischioso consentire a terze parti di vedere i dati personali dell’utente. Viene assegnato un punteggio di rischio per ogni servizio e uno per l’insieme dei dati.
Quali sono ad oggi i risultati più importanti del progetto?
Siamo riusciti a sviluppare il cruscotto ottimizzato per la privacy, ad attivare quattro diversi casi d’uso e a integrare il cruscotto ottimizzato per la privacy con altri sistemi. Inoltre, il sistema è del tutto conforme al GDPR per i servizi digitali tecnologici, tra cui l’amministrazione digitale. Oggi siamo orgogliosi di disporre di una soluzione che consente alle persone di controllare i propri dati personali, aumenta la loro fiducia nei servizi digitali e fornisce nuovi metodi per semplificare l’impiego di tali servizi.
Quali obiettivi dovete ancora raggiungere?
Stiamo completando i nostri quattro casi d’uso e procedendo alla piena integrazione del cruscotto ottimizzato per la privacy. L’applicazione finale è prevista per il mese di dicembre 2020.
Parole chiave
PoSeID-on, GDPR, privacy, dati, cloud, cruscotto