La European Union Agency for Cybersecurity (ENISA) ha pubblicato un rapporto sul tema della ingegnerizzazione del processo di protezione dei dati personali.
Dopo aver discusso alcune sfide nella condivisione di dati personali, il rapporto mostra come ingegnerizzare tecnologie e tecniche specifiche per consentire la condivisione di dati che preservano i dati personali.
In particolare, il rapporto analizza casi d’uso specifici per la condivisione di dati nel settore sanitario, con l’obiettivo di dimostrare come i principi di protezione dei dati personali possano essere rispettati attraverso l’uso corretto di soluzioni tecnologiche basate su tecniche crittografiche avanzate.
Il rapporto ragiona poi sulla condivisione dei dati che avviene come parte di un altro processo o servizio, in cui i dati vengono elaborati attraverso un canale o un’entità secondaria prima di raggiungere il destinatario principale.
Vengono infine affrontati altri aspetti quali il diritto alla cancellazione e il diritto alla rettifica quando si condividono i dati.
Ruolo dell’ingegnerizzazione nella protezione dei dati personali
La protezione dei dati personali è un elemento integrante della fiducia che le persone e le organizzazioni dovrebbero riporre nello sviluppo di ecosistemi di condivisione dei dati.
Come evidenziato dal parere congiunto del EDPB e del EDPS, il successo dipenderà anche dall’istituzione di una solida governance dei dati e di tutele efficaci per i diritti e gli interessi delle persone fisiche che siano pienamente conformi al GDPR.
È qui che l’ingegneria della protezione dei dati personali ha un ruolo molto importante da svolgere, potendo rappresentare un fattore chiave per la costruzione di un ambiente di condivisione affidabile, in cui le organizzazioni possono inviare dati senza rivelare dati personali o informazioni aziendali sensibili o rivelare dati personali con un livello di protezione adeguato.
Ciò rientra nello spirito del concetto di protezione dei dati personali “by-design” previsto dall’art. 25 del GDPR; le garanzie devono essere integrate e progettate nel trattamento.
L’ingegneria della protezione dei dati offre la possibilità di far fronte alle crescenti capacità delle tecnologie di trasmissione, archiviazione ed elaborazione senza diminuire il loro potenziale di innovazione e, allo stesso tempo, di mitigare i rischi emergenti per la privacy delle persone e i rischi economici delle imprese.
La posizione dell’EDPB
Come ha sottolineato il Comitato europeo per la protezione dei dati (EDPB) nelle sue linee guida sulla data protection by design e by default, in un mondo sempre più digitale, l’adesione alla protezione dei dati personali per progettazione svolge un ruolo cruciale nella promozione della privacy e della protezione dei dati.
È fondamentale che i titolari dei dati comprendano i principi di protezione dei dati e i diritti e le libertà degli interessati, e che mettano in atto misure adeguate e le garanzie necessarie per rafforzare tali principi e consentire l’esercizio di tali diritti.
Ogni misura tecnica e organizzativa deve produrre i risultati previsti nel contesto specifico in cui avviene il trattamento.
È quindi necessario prestare particolare attenzione all’identificazione dei principali paradigmi di ingegneria della protezione dei dati nella condivisione dei dati e alla comprensione dei tipi di garanzie da implementare in tutti i possibili scenari.