Parte 2 sulle PET

Questo articolo è la continuazione, come seconda parte, di quello quello già pubblicato dal titolo “Le Privacy Enhancing Technologies (PETs): categoria sempre attuale parte 1”.

In questo contributo, intendiamo evidenziare alcuni aspetti operativi e pratici relativi alle PET, fornendo una nostra descrizione di quelle che riteniamo essere attualmente le principali soluzioni.

Classificare le PET

Nel nostro precedente articolo abbiamo menzionato il report dal titolo “Emerging Privacy Enhancing Technologies - current regulatory and policy approaches pubblicato dall’OCSE (OECD).

Tale report sottolinea che, nonostante manchi una definizione di PET, il documento OCSE propone alcune definizioni, richiamando sia report istituzionali sia contributi dottrinali.

Inoltre, in ragione dell’evoluzione tecnologica che si è attestata negli ultimi anni in modo considerevole, si registra l’esistenza di numerose soluzioni alle quali è possibile attribuire la qualifica di Privacy Enhancing Technologies.

Da ciò ne è conseguito il tentativo di una classificazione delle PET, soprattutto in funzione degli ambiti nei quali sono applicate.

In realtà, non è facile effettuare una classificazione delle PET, da un lato perché la protezione dei dati personali riguarda ogni persona fisica e sarebbe riduttivo circoscrivere solo a determinati ambiti gli effetti di soluzioni algoritmiche. D’altro canto, l’evoluzione tecnologica comporta lo sviluppo di soluzioni fortemente innovative (es. Web3, blockchain) per le quali risulterebbe difficile adottare un sistema di classificazione in funzione del singolo sistema.

Tuttavia, il citato report dell’OCSE, con uno slancio classificatorio, individua quattro generali categorie di PET e precisamente:

1. Data obfuscation tools (strumenti di offuscamento dei dati);
2. Encrypted data processing tools (strumenti di elaborazione dati criptati);
3. Federated and distributed analytics (analisi federata e distribuita);
4. Data accountability tools (strumenti di responsabilizzazione dei dati).

Con riferimento alla prima categoria “Data obfuscation tools” l’OCSE attribuisce l’appartenenza alle tecniche di anonimizzazione, pseudonimizzazione, differential privacy, synthetic data, zero-knowledge proofs (ZKP).

Inoltre, l’OCSE considera classificabili il federated learning e il distributed analytics nella terza categoria “Federated and distributed analytics”.

Restando sul terreno della categorizzazione, alcuni¹ individuano tre categorie generali con conseguente classificazione, come di seguito indicato:

• Algorithmic PETs:
  1. Homomorphic encryption;
  2. Differential privacy;
  3. Zero-knowledge proofs;
• Architectural PETs:
  1. Federated learning;
  2. Multi-party computation;
• Augmentation PETs:
  1. Synthetic data;
  2. Digital twinning.

Inoltre, un altro tenativo di classificazione è quello effettuato dall’Office of the Privacy Commissioner of Canada di Ottawa nel 2017 con il documento dal titolo “Privacy Enhancing Technologies – A Review of Tools and Techniques”.

Difatti, in tale documento si descrive la tassonomia delle tecnologie di rafforzamento della privacy (PET) quale soluzione per classificare le PET con riferimento alle funzionalità/capacità che forniscono all’utente finale.

La tassonomia in questione sarebbe stata scelta dal citato Office di Ottawa perché fornisce un modo granulare di categorizzare strumenti e tecniche, ma allo stesse tempo - come dichiarato - presenta lo svantaggio di una difficile categorizzazione poiché alcuni strumenti e tecniche forniscono più di una funzionalità.

In questo documento si fa riferimento a:

• consenso informato;
• minimizzazione dei dati;
• tracciamento dei dati;
• anonimato;
• controllo;
• negoziazione di termini e condizioni;
• applicazione tecnica;
• verifica a distanza dell’applicazione;
• esercizio dei diritti.

Questa tassonomia è citata in nota nel report dell’OCSE.

Alla luce di quanto sin qui esposto, indubbiamente, non esiste univocità nel processo di categorizzazione.

Quali sono le PET più note e diffuse?

È davvero difficile predisporre un elenco di PET poiché - soprattutto in ambito open source - negli ultimi anni è aumentata notevolmente la capacità degli sviluppatori di percepire come rilevante il tema della “privacy” (più precisamente, protezione dei dati personali e privacy), tanto da fare riferimento spesso ai diritti fondamentali.

In questo contesto, si colloca a pieno titolo anche l’Intelligenza Artificiale, che di recente è al centro di dibattiti e discussioni, con ogni sua soluzione applicativa che sia idonea a migliorare, a potenziare la privacy degli utenti.

Si registrano, quindi, davvero tante applicazioni che possono essere considerate PET.

Essendo nota, peraltro, la nostra sensibilità al tema della comunicazione digitale, per la quale si utilizzano quotidianamente sistemi di messaggistica istantanea, e - ove possibile - all’utilizzo di risorse open source - non mancheranno indicazioni specifiche che riguardano questi contesti.

Abbiamo provato a creare un piccolo elenco in considerazione delle categorie di appartenza delle soluzioni applicative. Tra le più note e diffuse PET menzioniamo le seguenti:

• Protocolli internet per comunicazioni sicure
  • Nym project
• Strumenti di crittografia:
  • Cryptomator
  • VeraCrypt
  • PicoCrypt
• Browser, tra i quali meritano di essere menzionati:
  • LibreWolf
  • Firefox
  • Brave
  • Mullvad Browser
  • TOR browser
• Motori di ricerca:
  • SearXNG (motore di metaricerca che rispetta la privacy - istanze pubbliche)
  • DuckDuckGo
  • Brave Search
  • Mojeek
• Password Manager:
  • Bitwarden
  • KeePass XC
• Multi factor authenticator (MFA):
  • chiavette:
    • Yubico Yubikey
    • Nitrokey
  • software
    • Raivo OTP
• App di messaggistica istantanea:
  • SimpleX Chat
  • Session
  • Signal (sistema centralizzato)
  • XMPP client
  • Matrix
• Provider E-mail:
  • Proton Mail
  • Tutanota
  • Skiff Mail
• Servizi Cloud:
  • Proton Drive
  • Nextcloud
  • Filen
• Social Network:
  • Nostr
  • Minds
• VPN:
  • Proton VPN
  • Mullvad VPN

Si ribadisce che questo è un elenco non esaustivo ma elaborato anche secondo la nostra esperienza.
Inoltre, alcuni servizi andrebbero approfonditi anche in considerazione della ubicazione degli stessi.

Peraltro, sottolineamo che in Europa il Digital Markets Act consente di ottenere piena interoperabilità tra le soluzioni sviluppate dai c.d. gatekeepers (le majors) e quelle di altri fornitori.

Conclusioni

Le PET, quindi, si possono identificare con qualsiasi soluzione che sia finalizzata, mediante l’utilizzo di specifiche tecnologie, a migliorare la protezione dei dati personali e la privacy delle persone fisiche.

Le PET, nonostante esistano da oltre quaranta anni, sono in continuo sviluppo in ragione dell’evoluzione delle tecnologie più innovative che via via vengono realizzate (si pensi, ad esempio, alla blockchain e al Web3).

Dall’approfondimento delle Privacy Enhancing Technologies emerge come tale fenomeno abbia avuto impatti anche su altri ambiti, tra i quali la governance dei dati, la protezione dei dati personali e la privacy. Da ciò ne consegue che si rende necessario un approccio che faccia riferimento non solo agli strumenti legislativi vigenti ma anche alle norme tecniche contenute in standard approvati dagli organismi istituzionali (UNI, CEN, ISO). Difattim nella prima parte abbiamo fatto riferimento ai sistemi di gestione.

Lo scenario che abbiamo provato a delineare impone la necessità di approfondire e valutare i modelli esistenti ed eventualmente svilupparne nuovi, in modo che sia sempre possibile adottare un approccio innovativo (il nostro DAPPREMO, acronimo di “Data Protection and Privacy Relationships Model” ne è un esempio) adeguato ai tempi e alle tecnologie più attuali.

La scelta di utilizzare le PET impone un rafforzamento della formazione e della cultura della protezione dei dati personali e della privacy, specialmente in Europa ove essi costituiscono diritti fondamentali.

(*) Image by Shubham on Unsplash

Follow us on Mastodon

Stay tuned!