Date post: | 12-Jan-2017 |
Category: |
Law |
Upload: | europrivacy |
View: | 696 times |
Download: | 0 times |
#READY4EUDATAP
Profilazione
Profiling: “any form of automated processing of personal data consisting of using those data to evaluate
certain personal aspects relating to a natural person, in particular to analyse or predict aspects
concerning that natural person's performance at work, economic situation, health, personal preferences,
interests, reliability, behaviour, location or movements” [Art. 4.3(aa)]
Adempimenti
Applicazione delle norme del Regolamento (basi legali per il trattamento, principi privacy, ecc.), con
specifiche misure di salvaguardia (es. PIA) [Recital 58a]
Informativa per gli interessati, anche su logiche applicate al trattamento dei dati e possibili
conseguenze [Recital 48, Art. 14(h)]
Diritti di accesso (es. conoscere logiche, finalità e possibili conseguenze del trattamento dei propri
dati) [Recital 51, Art. 15(h)] e diritto di opposizione, in base alla situazione dell’interessato [Art. 19]
Data protection impact assessment, in caso di sistematica ed estensiva valutazione di aspetti
personali basata su trattamenti automatizzati, inclusa la profilazione, che costituisce la base per
decisioni aventi effetti legali o impatti significativi su un individuo [Recital 71, Art. 33.2(a)]
NOTA: le presenti slide fanno riferimento al “compromise text” di GDPR, emerso dal trilogo tra CE, PE e Consiglio
ed inviato dal Consiglio il 15 dicembre 2015
#READY4EUDATAP
Profilazione
“Automated individual decision making, including profiling” [Recital 58, Art. 20]
ammesso solo se (in alternativa):
a) necessario ai fini di un contratto stipulato con l’interessato;
b) autorizzato dalla legge di uno Stato membro;
c) basato sul consenso dell’interessato (“explicit” vs. “unambiguous” consent).
Misure idonee a proteggere i diritti degli interessati, compreso il diritto di ottenere un intervento
umano, di esprimere i propri punti di vista e di contestare le decisioni automatizzate.
Di norma non ammesso per dati sensibili (salute, opinioni politiche, orientamento sessuale, ecc.)
Possibili in futuro linee guida del EDPS [Art. 66.1(ba)]
#READY4EUDATAP
Anonimizzazione
Anonymous information: “information which does not relate to an identified or identifiable natural
person or to data rendered anonymous in such a way that the data subject is not or no longer
identifiable”
Il Regolamento non si applica al trattamento di informazioni anonime
Per stabilire se l’interessato sia identificabile, occorre tenere conto di “all the means reasonably likely
to be used”, tenendo conto dei relativi costi, tempi e tecnologie disponibili [Recital 23]
Pro: Il trattamento di informazioni anonime non è soggetto al Regolamento
Contro: Impossibilità oggettiva di correlare i dati relativi allo stesso soggetto (anonimo)
(es. è possibile rispondere a domande del tipo: “quanti utenti hanno fruito del servizio?” ma non a domande del tipo:
“degli utenti che hanno fruito del servizio X, quanti hanno anche fruito del servizio Y?”)
Possibili metodi: cancellazione di tutte le informazioni identificative, cifratura e distruzione della relativa
chiave,…
Attenzione al rischio di re-identificazione
#READY4EUDATAP
Use case: Trentino Open Living Data
Overview
Analisi di flussi di dati derivati da CDR (traffico telefonico e navigazione internet)
anonimizzati, utilizzati per varie finalità, quali correlazione tra picchi di traffico e
determinati eventi, stima delle aree di provenienza dei visitatori di una mostra, ecc.
(Parte di un più ampio progetto di creazione di una piattaforma di raccolta, analisi e
condivisione dei dati di un territorio, es. consumi di energia, traffico veicolare, traffico
telefonico, per supportare decisioni di aziende e istituzioni, offrire servizi ai cittadini,
monitorare fenomeni sociali, ecc.)
Principali misure di privacy e protezione dei dati
Struttura dedicata (Laboratorio SKIL), separata organizzativamente e fisicamente dalle funzioni di TI.
I CDR sono anonimizzati (es. cancellando i numeri chiamanti e chiamati) nei sistemi di TI, prima dell’invio allo SKIL.
Solo dati già raccolti e trattati da TI sono anonimizzati e inviati allo SKIL (i dati non sono raccolti apposta per il
progetto).
Finalità limitate alla individuazione di trend e correlazioni nei dati, senza alcun effetto su singoli individui. Solo
informazioni statistiche, aggregate e anonime, sono communicate a terzi.
Dopo la trasmissione allo SKIL, i CDR anonimizzati sono cancellati dai sistemi di TI.
Misure di sicurezza per la protezione dei dati durante la trasmissione e il trattamento.
#READY4EUDATAP
Pseudonimizzazione
Pseudonymisation: “the processing of personal data in such a way that the data can no longer be
attributed to a specific data subject without the use of additional information, as long as such additional
information is kept separately and subject to technical and organisational measures to ensure non-
attribution to an identified or identifiable person” [Art. 4.3b]
Considerazioni generali:
I dati pseudonimizzati, che possono essere riattribuiti ad un individuo con l’uso di informazioni
aggiuntive, devono essere considerati dati personali [Recital 23]
La pseudonimizzazione può ridurre i rischi per gli interessati ed aiutare a rispettare i requisiti privacy
[Recital 23a]
Conservazione separata delle informazioni aggiutive che consentirebbero di riattribuire i dati
pseudonimizzati [Recital 23c]
Una delle misure applicabili per realizzare i requisiti di privacy by design [Recital 61, Art. 23] e di
sicurezza dei dati [Art. 30]
“Unauthorized reversal of pseudonymisation”: elemento da considerare nella valutazione dei rischi
privacy [Recital 60a] e possibile causa di data breach [Recital 67]
#READY4EUDATAP
Pseudonimizzazione
Ruolo nel trattamento dei dati personali:
Elemento da considerare nella valutazione di compatibilità del trattamento dei dati per finalità diverse
da quelle per cui erano stati inizialmente raccolti (es. Big Data analytics) [Art. 6,3a]
Pro: Possibilità di correlare i dati relativi ad uno stesso soggetto (sconosciuto)
(es. è possibile rispondere a domande del tipo: “degli utenti che hanno fruito del servizio X, quanti hanno anche
fruito del servizio Y?”)
Contro: Il trattamento rientra nel campo di applicazione della normativa privacy, con i relativi vincoli
Possibili metodi: crittografia unidirezionale (algoritmi di hashing),…
Requisiti di separazione funzionale
#READY4EUDATAP
Use case: Matrici O/D
Overview
Analisi di dati presenti nella rete mobile, per realizzare matrici
origine/destinazione (O/D), cioè tabelle che descrivono la
mobilità della popolazione in una data area, ad esempio per
supportare enti che gestiscono infrastrutture di trasporto, strade,
trasporti pubblici, ecc.
Principali misure di privacy e protezione dei dati
Crittografia unidirezionale (hashing) per sostiture i dati identificativi (es. IMSI) con codici irreversibili.
Trattamenti limitati ad analisi aggregated, senza alcun effetto su singoli individui.
I dati grezzi non sono mai comunicati a terzi.
Non sono raccolti dati ulteriori rispetto a quelli già presenti nei nodi della rete cellulare (es. non sono utilizzate le
funzionalità di localizzazione attiva della rete).
Le chiavi di inizializzazione dell’algoritmo di hash sono cambiate periodicamente.
Particolare cura per escludere gli attributi rari (es.traiettorie da/verso case isolate): 1) aree e intervalli di tempo
sufficientemente ampi, 2) cancellazione dalla matrice dei valori corrispondenti ad un solo spostamento.
Il Garante Privacy non ha rilevato particolari criticità, dall’esame della documentazione del progetto.
#READY4EUDATAP
WP 29 Opinions
L’Article 29 Working Party raggruppa le Data Protection Authorities degli Stati membri della UE. I suoi
pareri, pur non avendo carattere cogente, rappresentano importanti riferimenti per l’interpretazione e
l’applicazione della normativa privacy.
Opinion 3/2013 sulla limitazione delle finalità
Riguardo i Big Data, sono descritti due possibili scenari:
quando l’analisi mira a prevedere preferenze personali, comportamenti e attitudini dei singoli clienti, al
fine di informare misure o decisioni prese verso di loro, è necessario il relativo consenso (opt-in);
quando l’analisi mira solo ad individuare trend e correlazioni nelle informazioni, senza effetti su singoli
individui, il concetto di separazione funzionale gioca un ruolo chiave. A tal fine, dovrebbero essere
adottate misure, quali l’anonimizzazione, per garantire che i dati non siano disponibili per supportare
misure o decisioni verso gli individui.
Opinion 5/2014 sulle tecniche di anonimizzazione
Dettagliata analisi, sotto il profilo privacy, delle differenti tecniche di anonimizzazione
Indicazioni per la corretta applicazione delle tecniche di anonimizzazione e per limitare il rischio di re-
identificazione
La pseudonimizzazione è considerata un’utile misura di sicurezza ma non un metodo di
anonimizzazione.
#READY4EUDATAP
Facci una domanda sul Blog
Contattaci su Twitter