La “professione” della privacy richiede sempre di più un approccio multidisciplinare e soprattutto ingegneristico: l’ingegneria della privacy è un nuovo paradigma che nasce dall’esigenza di innestare presidi tecnico organizzativi a tutela della privacy e dei dati personali sin dalla fase di disegno di nuovi prodotti e servizi.
Tale paradigma richiede la piena integrazione di competenze e settori aziendali differenti: le strutture di business, il risk management, la compliance, il settore tecnico IT/sicurezza e il legale.
Negli ultimi anni l’adozione di un approccio basato sull’ingegneria della privacy è richiesta a livello normativo, dai Regulators ma soprattutto dalla crescente esigenza di automazione e digitalizzazione.
L’ingegnere della privacy è quindi fondamentale all’interno di un’organizzazione aziendale. Tuttavia, questa figura professionale non è ancora pienamente presente sul mercato del lavoro e soprattutto ancora non è disponibile un’offerta formativa strutturata per la sua definizione.
Vediamo insieme quali sono gli aspetti peculiari di questa nuova disciplina, quali le esigenze che spingono per il suo sviluppo e quali sono le evoluzioni future.
Protezione dei dati personali: l’importanza di creare una cultura della consapevolezza
Indice degli argomenti
Cos’è l’ingegneria della privacy
Volendo dare una definizione dell’ingegneria della privacy, si potrebbe dire, in estrema sintesi, e semplificando molto, che è l’aspetto tecnico specialistico della “professione” della privacy. Apparentemente semplice, anche se declinare nella pratica cosa faccia esattamente un ingegnere della privacy e come svolga la propria attività è, invece, estremamente complesso.
La prima cosa da notare è che non esiste un simile ruolo professionale nel mercato del lavoro. Esistono infatti figure prettamente tecniche, come i progettisti e gli specialisti IT e di sicurezza ed esistono altresì i Privacy Manager, figure molto più vicine agli aspetti giurisprudenziali. Nel primo caso si privilegia uno specifico know-how tecnico, mentre nel secondo vengono messi in risalto gli aspetti legati alla gestione di processo ed a tematiche di conformità: entrambi gli approcci sono validi ma non esaustivi.
Guardando al mondo della formazione, ed in particolare a quello universitario, si può notare che alcune università US iniziano a presentare programmi di formazione in ingegneria della privacy ed è quindi possibile attingere alla relativa strutturazione dei corsi di Laurea per comprendere come il mondo accademico ed il mercato si stiano orientando in questo settore.
Facciamo ad esempio riferimento alla Carnegie Mellon University che descrive gli ingegneri della privacy come professionisti che “comprendono la tecnologia e sono in grado di integrare prospettive che abbracciano la progettazione del prodotto, lo sviluppo del software, la sicurezza informatica, l’interazione uomo-computer, nonché considerazioni commerciali e legali“.
La figura dell’ingegnere della privacy, secondo questa definizione, ha come carattere distintivo la multidisciplinarietà. Si tratta di una figura di raccordo tra team tecnici IT di progettazione e sviluppo software, team di sicurezza IT, team orientati alla progettazione di prodotto ed alla relativa commercializzazione (quindi con connotazioni vicine al Business, al Risk Management, alla Compliace e ultima, ma non meno importante, alla giurisprudenza).
Calando questa figura in un contesto aziendale, si tratta di un professionista in grado di dialogare con diversi dipartimenti, raccordandone i contributi per una effettiva realizzazione dei presidi che consentono di preservare la privacy e proteggere i dati personali. Dunque, una figura chiave che non si identifica con gli attuali ruoli comunemente presenti in azienda.
L’ingegnere della privacy, come declinato finora, risulta una figura fondamentale nell’ambito di un’organizzazione aziendale per la garanzia della privacy e per l’implementazione pratica della privacy dy default e by design. Risulta anche immediato riconoscere che questo ruolo è molto vicino a quello del Data Protection Officer (DPO) come definito nell’art. 37 del GDPR, ed anzi rappresenta una ulteriore specializzazione di tale figura con specifiche competenze atte a realizzare prodotti, e in generale soluzioni, intrinsecamente orientate alla protezione della privacy e dei dati personali in genere. È infatti semplice comprendere, per come è stato declinata la figura dell’ingegnere dalla privacy, che le competenze e le caratteristiche professionali di quest’ultimo potrebbero facilmente essere sovrapposte a quelle del DPO.
Si fa qui riferimento alla figura del DPO come definita dal GDPR e non come si è andata affermando negli ultimi anni sul mercato internazionale (e particolarmente anche in quello italiano) come professionista con esclusive competenze legali. Chiaramente quest’ultima connotazione è limitativa, dal momento che interpretare la figura del DPO come mero specialista legale ne limita le possibilità di essere principale contributore alla effettiva realizzazione di un approccio fattivo a salvaguardia della privacy, restringendo la sua azione ad una mera verifica di conformità agli adempimenti di legge (aspetto formale e non sostanziale).
L’ingegneria della privacy assume, dunque, un ruolo determinante in ambito aziendale dal momento che concorre ad implementare prodotti nativamente sicuri (dal punto di vista dei dati personali) e, di conseguenza, ad aumentare i profitti e la fidelizzazione dei clienti.
Aumentare le conoscenze tecniche degli avvocati, aiutare gli ingegneri a comprendere le motivazioni che sottendono i requisiti di privacy e garantire che tutti considerino la user experience, porterà alla nascita di prodotti migliori, soprattutto dal punto di vista del consumatore.
La fiducia dei consumatori, d’altro canto, può essere un fattore di differenziazione del mercato: quindi chiaramente un buon motivo per investire nell’Ingegneria della privacy. Tale investimento è anche stimolato dalle leggi vigenti, dai Regulator e dal livello di automazione e digitalizzazione raggiunto dal mercato.
Adempimenti legali, Regulator ed esigenze di automazione
L’attuale apparato legislativo in tema di privacy richiede l’adozione di un approccio basato sui principi dell’Ingegneria della Privacy in modo assolutamente esplicito. Si riportano di seguito alcuni esempi.
Con riferimento alla legislazione UE, l’articolo 25 – “Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita” del Regolamento EU 2016/679, più comunemente noto come GDPR, prescrive che “il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati.
Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica”.
Da quanto appena riportato appare evidente che i requisiti di protezione dei dati personali non devono solo essere previsti a livello di processo, ma anche direttamente indirizzati e nativamente integrati nei prodotti. Tale situazione si realizza solamente se chi segue gli aspetti giurisprudenziali della privacy ha consapevolezza e conoscenza dell’approccio utilizzato dai team tecnici e viceversa i team tecnici hanno consapevolezza e conoscenza dei principi della privacy.
Uscendo dai confini europei, il California Consumer Privacy Act (CCPA), normativa entrata in vigore nel gennaio 2020, richiede l’applicazione dell’ingegneria della privacy anche se in modo meno diretto rispetto al GDPR.
Sebbene, infatti, tutte e due le normative siano finalizzate alla tutela della privacy attraverso la protezione dei dati personali, il regolamento europeo risulta più esteso dal punto di vista dei diritti degli interessati e molto più puntuale nell’indicazione delle misure da adottare. Comune ad entrambi è l’assunto che un processo di osmosi tra giurisprudenza, organizzazione e sviluppo dei prodotti sia determinante per l’affermazione della cultura della privacy oltre che per l’implementazione di un impianto efficace a tutela della stessa che sia nativamente integrato nelle aziende.
Non soltanto l’azione legislativa ma anche le autorità di regolamentazione si stanno sempre più orientando verso l’applicazione di un approccio basato sull’ingegneria della privacy attraverso azioni di sensibilizzazione e di contrasto.
In Europa, l’Ufficio del Commissario per le informazioni del Regno Unito già dal 2019 ha introdotto una Regulatory Sandbox, ossia un servizio per aiutare le organizzazioni e le autorità di regolamentazione ad implementare nativamente la protezione della privacy nei nuovi prodotti e servizi innovativi. “Siamo un regolatore con un’ampia serie di strumenti a nostra disposizione e una Sandbox è uno strumento che riteniamo particolarmente utile per raggiungere le nostre ambizioni e il desiderio di supportare l’innovazione“, ha affermato Chris Taylor, Head of Assurance dell’ICO, “vogliamo solo, come autorità di regolamentazione, supportare l’uso sicuro della tecnologia e l’innovazione sicura“.
La Federal Trade Commission (FTC) degli Stati Uniti nel 2019 ha comminato una sanzione di 5 miliardi di dollari a Facebook relativamente al noto caso di Cambridge Analytica. Si tratta di una multa record che “è pensata per punire non solo violazioni future ma, cosa più importante, per cambiare l’intera cultura in Facebook legata alla privacy al fine di abbassare le probabilità di violazioni continue” come ha sostenuto Joe Simons, il presidente FTC in carica.
La stessa posizione è condivisa dal Dipartimento della Giustizia americano, il quale ha aggiunto che l’obiettivo era “proteggere i dati dei consumatori e garantire che le aziende di social media come Facebook non ingannino fuorviandole le persone sull’uso delle loro informazioni personali”.
La CNIL francese assume un direttore della tecnologia e dell’innovazione per supervisionare il dipartimento degli esperti IT, il dipartimento delle operazioni IT, l’unità di innovazione e previsione e i laboratori CNIL.
Molti altri Regulators si sono mossi nella stessa direzione, mettendo in atto azioni organizzative, operative e di contrasto proprio volte a spingere tutti i player verso l’adozione di un approccio integrato e ingegneristico alla protezione della Privacy applicato già dalla nascita di nuovi prodotti e/o servizi e non applicato “ a posteriori” tramite verifiche di conformità ed applicazione di correttivi.
Infine, un’altra spinta ad un approccio di Ingegneria della Privacy va individuata nel progressivo aumento del livello di automazione e nella digitalizzazione, settori nei quali le aziende stanno investendo ingenti capitali.
Già a partire dal 2019, i professionisti della privacy hanno auspicato un aumento del livello di automazione nei processi e nelle soluzioni di gestione della privacy. Ancora prima, nel 2017 e nel 2018, diverse aziende del SEE hanno notevolmente rinnovato i propri programmi sulla privacy per conformarsi al GDPR.
Molti professionisti hanno scoperto che i processi “manuali” alla base della protezione della privacy sono del tutto insufficienti. L’automazione è diventata un “must”.
Per questo motivo si è registrato finora un aumento considerevole di fornitori di soluzioni come testimonia, ad esempio, il Privacy Tech Vendor Report, rapporto pubblicato dall’International Association of Privacy Professional (IAPP) che nella versione 2021 ha indicato ben 365 fornitori di soluzioni per la tutela della privacy.
Questi fornitori offrono servizi per automatizzare l’esercizio dei diritti degli interessati, il monitoraggio delle attività, la mappatura dei dati, la gestione del consenso, il rilevamento dei dati, la scansione di siti Web, l’anonimizzazione dei dati e servizi di risposta agli incidenti di sicurezza.
Orientarsi nella scelta di soluzioni non è semplice e, oltre alla conoscenza del proprio business e del proprio segmento di mercato, richiede anche una familiarità con i requisiti legali per la privacy, con i processi aziendali e con il sistema e le tecnologie con cui essi devono integrarsi.
Ingegneria della privacy: percorso formativo
I professionisti che intendano crescere nell’ambito dell’ingegneria della privacy non trovano un’offerta formativa preconfezionata, ma devono de facto costruire il proprio percorso formativo anche in funzione delle specifiche esigenze.
In Italia esistono alcune iniziative indirizzate ad un approccio multidisciplinare.
Merita citare il corso “Maestro della Protezione dei Dati & Data Protection Designer” organizzato dalla IIP Academy. Si tratta di un corso organizzato dall’Istituto Italiano Privacy di Luca Bolognini, uno dei massimi esperti Italiani in tema di privacy e protezione dei dati personali che si pone l’obiettivo di “formare e aggiornare, su istituti di base ma soprattutto su tematiche interpretative complesse e avanzate di diritto dei dati, i consulenti e i responsabili della protezione dei dati personali. Il percorso formativo si compone di una parte generale, più teorica, e di una parte in cui verranno affrontate temi più specifici e pratici”.
Il corso abilita all’iscrizione ad un albo di Maestri della Protezione dei Dati e Data Protection Designer che raggruppa gran parte dei professionisti italiani in questo settore.
Altra iniziativa Italiana riguarda l’Università di Milano dove opera il Prof. Giovanni Ziccardi che offre un’interessante offerta formativa costituita da corsi di perfezionamento e master di primo e di secondo livello.
A livello europeo merita invece citare l’offerta formativa dell’Università di Maastricht (UM) con il Centro europeo sulla privacy e la sicurezza informatica (ECPC) della Facoltà di Giurisprudenza.
Esistono poi programmi di certificazione come quello offerto dall’International Association of Privacy Professional che propone uno schema articolato in vari livelli di specializzazione: tecnico (CIPT), manageriale (CIPM), e legislativo (con riferimento all’apparato giuridico del paese di interesse – Asia CIPP/A, Canada CIPP/C, Europa CIPP/E, United States – CIPP/US).
Formare un professionista come Ingegnere della Privacy richiede quindi anche un’abilità nel selezionare le iniziative più qualificate impostando il proprio percorso di crescita in funzione delle specifiche esigenze del settore di attività.
FONTI PER APPROFONDIMENTO
- Regolamento EU 2016/679 General Data Protection Regulation.
- California Consumer Privacy Act (CCPA).
- ICO Regulatory Sandbox.
- Federal Trade Commission – FTC Imposes $5 Billion Penalty and Sweeping New Privacy Restrictions on Facebook.
- IAPP Privacy Tech Vendor Report 2021.
- IAPP – Privacy Engineering Section.
- ENISA – Data Protection Engineering – From Theory to Practice – Gennaio 2022.
- Presentazione Corso “Maestro della Protezione dei Dati & Data Protection Designer®” – IIP Academy.
- Università degli studi di Milano – Master e perfezionamento.
- Maastricht European Centre on Privacy and Cybersecurity.