Cosa sono le PETs (Privacy Enhancing Technologies) per la privacy

31 Luglio 2023

Indice dei contenuti

Come proteggere dati e privacy?

La crescente digitalizzazione ha determinato un aumento del rischio in materia di sicurezza dei dati e posto l’accento sulla necessità di proteggere la privacy. In questo contesto, le Privacy Enhancing Technologies (PETs) rappresentano una delle soluzioni più efficaci per la protezione dei dati personali.

Che cosa sono le PETs? Quelle che in italiano possiamo tradurre come “tecnologie per la tutela della privacy” sono un insieme di tecnologie e approcci digitali che permettono di raccogliere, elaborare, analizzare e condividere le informazioni proteggendo la riservatezza dei dati personali. In particolare, le PETs consentono di ottenere un livello relativamente alto di utilità dai dati, riducendo al minimo la necessità di raccoglierli ed elaborarli.

Le tecnologie PETs non sono una novità, ma i più recenti progressi in termini di connettività e capacità di calcolo hanno portato a un cambiamento fondamentale nel modo in cui i dati possono essere elaborati e condivisi. Questi sviluppi hanno un potenziale immenso perché sostengono la pratica continua del principio di privacy by design, e quindi promuovono la fiducia nella condivisione delle informazioni favorendo la cosiddetta governance dei dati.

In un recente articolo di Risk Management 360 dedicato al tema, si sottolinea che non esiste una definizione univoca di che cosa sia una Privacy Enhancing Technology, ma diverse che provano a spiegarne il potenziale per la gestione dei rischi in materia di privacy.

Ad esempio per ENISA, l’Agenzia dell’Unione Europea per la Cybersicurezza, sono quelle “soluzioni hardware e software che permettono agli individui di ottenere specifiche funzionalità di protezione della loro privacy o di prevenire rischi correlati alla privacy dei dati”.

Invece, per l’Information Commissioner’s Office (ICO) si tratta di “tecnologie che incarnano i principi fondamentali della protezione dei dati riducendo al minimo l’uso dei dati personali, massimizzando la sicurezza dei dati e/o responsabilizzando le persone”.

E ancora l’OCSE, Organizzazione per la cooperazione e lo sviluppo economico, “un insieme di tecnologie, approcci e strumenti digitali che consentono l’elaborazione e l’analisi dei dati proteggendo la riservatezza, e in alcuni casi anche l’integrità e la disponibilità dei dati”, evidenziando però che non si tratta di strumenti autonomi: “allo stesso modo in cui gli chef utilizzano una varietà di ingredienti per formare una ricetta”, dice il report, “i PETs sono gli ingredienti che possono essere combinati per raggiungere determinati obiettivi di privacy e protezione dei dati”.

Le 4 categorie di PETs

Il già citato OCSE suddivise le PETs in quattro categorie:

Data obfuscation tools: gli strumenti di offuscamento dei dati includono le prove a conoscenza zero (ZKP), la privacy differenziale, i dati sintetici, e gli strumenti di anonimizzazione e pseudonimizzazione. Questi strumenti aumentano la protezione della privacy alterando i dati, rimuovendo dettagli identificativi. L’offuscamento dei dati consente l’apprendimento automatico rispettoso della privacy e permette la verifica delle informazioni (ad esempio, la verifica dell’età) senza richiedere la divulgazione di dati sensibili. Gli strumenti di offuscamento dei dati possono far trapelare informazioni se non vengono implementati con attenzione;
Encrypted data processing tools: gli strumenti di elaborazione criptata dei dati includono la crittografia omomorfa, il calcolo multipartitico e l’intersezione di insiemi privati nonché ambienti di esecuzione affidabili. I PET per l’elaborazione dei dati crittografati consentono di mantenere la crittografia dei dati durante il loro utilizzo (crittografia in-use), evitando così la necessità di decifrare i dati prima dell’elaborazione degli stessi. Gli strumenti di elaborazione dei dati crittografati sono stati ampiamente utilizzati nelle applicazioni di tracciamento Covid, ma presentano delle limitazioni, tra cui i costi di calcolo, che tendono a essere elevati, anche se stanno emergendo strumenti che affrontano questo limite;
Federated and distributed analytics: l’analisi federata e distribuita dei dati consente di eseguire attività analitiche su dati che non sono visibili o accessibili a chi le esegue. Nell’apprendimento federato, ad esempio, una tecnica che sta guadagnando sempre più attenzione, i dati vengono pre-elaborati alla fonte dei dati. In questo modo, solo le statistiche/risultati sintetici vengono trasferiti a chi esegue l’analisi. I modelli di apprendimento federato sono distribuiti su scala, ad esempio nelle applicazioni di testo predittivo sui sistemi operativi mobili, per evitare l’invio di dati sensibili della digitazione a chi ha acceso ai dati. Dall’altro lato peròlL’analisi federata e distribuita richiede una connettività affidabile per funzionare;
Data accountability tools: gli strumenti di responsabilità dei dati includono sistemi di responsabilità, condivisione del segreto di soglia e archivi di dati personali. Questi strumenti non mirano principalmente a proteggere la riservatezza dei dati personali a livello tecnico e quindi spesso non sono considerati PET in senso stretto. Inoltre, la maggior parte di questi strumenti è nelle prime fasi di sviluppo, hanno una serie ristretta di casi d’uso e mancano di applicazioni autonome.

PETs e GDPR: quale rapporto?

Le Privacy Enhancing Technologies oltre ad essere coerenti e conformi alle norme del GDPR offrono l’opportunità di allargare lo sguardo sulla complessa gestione dei rischi in materia di privacy.

I Data obfuscation tools, ad esempio, permettono di mascherare le informazioni personali in modo che queste non possano essere associate a una persona specifica. Ciò riduce di conseguenza il rischio d’identificazione dei dati sensibili.

Anche i Encrypted data processing tools rispettano le norme del Regolamento UE 2016/679 e consentono di elaborare i dati senza decrittarne il contenuto, diminuendo quindi il rischio di accessi non autorizzati ai dati sensibili. In più, la crittografia garantisce un adeguato livello di sicurezza dei dati personali.

E ancora, la Federated and distributed analytics, che consente di elaborare i dati senza trasferirli in un’unica posizione, può essere considerata una tecnica di protezione dei dati come richiesto dal General Data Protection Regulation, poiché riduce il rischio di accessi non autorizzati ai dati sensibili e garantisce che gli stessi restino sotto il controllo dei proprietari.

Infine, i Data accountability tools, proprio come richiesto dal GDPR, consentono agli interessati di controllare i propri dati, stabilire e applicare le regole di accesso agli stessi, richiedendone anche l’eventuale correzione o eliminazione.

In conclusione, ad oggi le PETs si trovano in diversi stadi di sviluppo e molti di questi strumenti sono limitati a specifici casi d’uso del trattamento dei dati. Data la loro natura innovativa e l’elevato potenziale, man mano che le tecnologie PET matureranno ci sarà sempre più bisogno di sensibilizzazione e di formazione per migliorare la progettazione, la costruzione, l’implementazione e l’utilizzo delle Privacy Enhancing Technologies.

Cosa sono le PETs (Privacy Enhancing Technologies) per la privacy

Come proteggere dati e privacy?

Le 4 categorie di PETs

PETs e GDPR: quale rapporto?

Scelti dalla Redazione

Riunione condominio: come si convoca

Segui Namirial sui social

Policy e Condizioni

Come proteggere dati e privacy?

Le 4 categorie di PETs

PETs e GDPR: quale rapporto?

ARTICOLI CORRELATIALTRO DALL'AUTORE

AI Act, arrivano nuove regole

Le regole GDPR per la selezione del personale

Come sta evolvendo la profilazione con la privacy a pagamento

Scelti dalla Redazione

Riunione condominio: come si convoca

Segui Namirial sui social

Policy e Condizioni

ARTICOLI CORRELATI ALTRO DALL'AUTORE