Il progetto PDP4E, finanziato dall’UE, ha adottato il punto di vista di un ingegnere rispetto alle sfide generate dalla conformità al GDPR. Gli strumenti che esso sviluppa contribuiranno a ideare prodotti, sistemi e servizi che proteggano i diritti dei cittadini dell’UE.

Economia digitale

Il GDPR ha avuto un impatto su tutti, dagli utenti di servizi ai fornitori e persino agli ingegneri software. Per questi ultimi, tuttavia, l’ingegneria della privacy è un concetto piuttosto nuovo che potrebbe essere facilmente considerato astratto o di secondaria importanza. Ma sarebbe un errore. Dalle reti intelligenti ai megadati, ai veicoli connessi e alle banche, l’ingegneria della privacy non può mai essere scartata. «Gli ingegneri hanno bisogno di quattro tipi di strumenti», afferma Antonio Kung, co-fondatore di Trialog e coordinatore del progetto PDP4E (Methods and tools for GDPR compliance through Privacy and Data Protection Engineering). «Il primo tipo si concentra sulla gestione dei rischi per la privacy, che aiuta gli ingegneri a identificare, valutare e gestire i rischi per la privacy da una prospettiva tecnica. Il secondo si riferisce all’elicitazione di requisiti relativi alla privacy, che aiuterebbero gli ingegneri a trasformare i vincoli di privacy in requisiti tangibili. Ma non è tutto, poiché hanno anche bisogno di un framework per la privacy e la protezione dei dati fin dalla progettazione (PDPbD), come pure di un Assurance Case che garantisca che le decisioni di progettazione prese per garantire la privacy e mitigare i rischi associati possano essere verificate e valutate per la conformità al GDPR». PDP4E fornisce questi quattro strumenti con un obiettivo in mente: consentire la creazione diffusa di prodotti, sistemi e servizi che proteggano meglio la privacy e i dati personali dei cittadini dell’UE. A tal fine, utilizza l’ingegneria basata su modelli. «Il progetto fa leva su modelli, o rappresentazioni elaborabili di sistemi, che sono stati sviluppati da esperti di privacy e sono pertanto riutilizzabili dagli ingegneri. Inoltre, un modello può essere utilizzato per spiegare una capacità di privacy», spiega Kung. In concreto, il gruppo responsabile del progetto ha lavorato duramente per integrare la privacy fin dalla progettazione e la protezione dei dati con il software esistente e tradizionale e i metodi di ingegneria di sistema. E per quegli strumenti che non esistono o sono in fase di sviluppo, forniscono un software open source che guiderà un processo di sviluppo più attento alla privacy. «Presumiamo l’esistenza di due comunità aperte per il nostro ecosistema: una comunità a modello aperto per la privacy e una comunità open source per gli strumenti di ingegneria della privacy (all’interno della comunità open source Eclipse). La comunità a modello aperto può condividere sia la protezione della privacy sia i modelli di ingegneria della privacy».

Dai veicoli connessi alle reti intelligenti

Le soluzioni sono in fase di sperimentazione nei due campi innovativi dei veicoli connessi e dei megadati per reti intelligenti. Per gli ingegneri che guardano alla cooperazione tra veicoli autonomi, i compromessi che essa comporta per la privacy dei conducenti non possono essere ignorati. In questo caso, lo scopo di PDP4E sarà quello di dimostrare come tali compromessi possano essere affrontati dal punto di vista della privacy sin dalla progettazione. Nel frattempo, il caso dei megadati nelle reti intelligenti pone sfide cruciali in termini di privacy e protezione dei dati che il progetto si propone di valutare. «Un grave problema nei veicoli connessi riguarda i dati sulla posizione, mentre la condivisione dei dati nelle reti intelligenti solleva preoccupazioni relative alla de-identificazione (gli algoritmi necessari per impedire che la misurazione intelligente esponga i modelli di vita e i dispositivi in uso degli utenti). In fin dei conti, entrambi i casi d’uso implicano ecosistemi complessi che coinvolgono più organizzazioni. Ciò dimostra che i modelli di protezione della privacy devono includere anche modelli organizzativi», osserva Kung. Una volta concluso il progetto, Kung e i partner del progetto PDP4E sperano di aiutare a far crescere la comunità degli ingegneri della privacy e persino a promuovere la creazione di un’alleanza per l’ingegneria della privacy e della protezione dei dati. Il loro contributo alle attività di standardizzazione, in particolare il coinvolgimento nello sviluppo dello standard ISO 31700 (privacy sin dalla progettazione per beni e servizi di consumo), li rende certamente ben attrezzati per farlo.

Parole chiave

PDP4E, GDPR, conformità, ingegneri, open source, rete intelligente, veicolo connesso