Privacy-Enhancing Technologies (PETs): a cosa servono
Dato che viviamo in un’epoca in cui i dati personali sono costantemente a rischio, le Privacy-Enhancing Technologies (PETs) hanno assunto nel tempo sempre più importanza. Anche se spesso non ce ne rendiamo conto, produciamo e trasferiamo quotidianamente tantissime informazioni. Lo facciamo quando acquistiamo online, ma anche quando ci sottoponiamo a esami medici. Queste due operazioni apparentemente molto diverse tra loro hanno qualcosa in comune: il trasferimento di dati. Al fine di garantire la privacy delle informazioni condivise, devono intrare in gioco strumenti, metodologie e approcci tecnologici per proteggere le informazioni personali. Informazioni che, al contempo, devono essere utilizzabili.
È proprio in questo contesto che intervengono le PETs quali strumenti necessari per la protezione dei dati.
Privacy-Enhancing Technologies (PETs): la privacy nell’era digitale
Non possiamo assolutamente negarlo: la digitalizzazione ha portato con sé innumerevoli vantaggi. Le comunicazioni, oggigiorno, avvengono praticamente all’istante, e grandi quantità di dati vengono trasferite all’istante. Tuttavia, è bene ricordare che ogni operazione digitale lascia delle tracce che, se non protette, possono essere sfruttate per scopi malevoli.
Per arginare i rischi e per garantire la sicurezza dei dati, sono state introdotte delle soluzioni. Tra queste, le Privacy Enhancing Technologies (PETs), ossia delle tecnologie per la tutela della privacy.
Questa tipologia di strumenti nasce per permettere la raccolta e l’elaborazione dei dati proteggendo, al contempo, le informazioni personali trasmesse dagli utenti.
Definizione di PETs e ruolo nella protezione dei dati personali
Se volessimo trovare una definizione per le Privacy-Enhancing Technologies (PETs), potremmo definirle come un insieme di soluzioni tecnologiche. Queste soluzioni sono state create con diversi scopi.
Innanzitutto, mirano a ridurre al minimo l’uso di dati personali, evitando l’esposizione di dati non necessari. Inoltre, le PETs devono garantire la funzionalità dei servizi.
Queste tecnologie per la tutela della privacy sfruttano diverse metodologie crittografiche. Possono prevedere, ad esempio, la cosiddetta pseudonimizzazione, che sostituisce i dati identificativi con codici.
In molti casi, si ricorre alla crittografia avanzata, una tecnica che serve a rendere incomprensibili le informazioni a chi non possiede la corretta chiave di lettura.
È così che le Privacy-Enhancing Technologies (PETs) possono proteggere la privacy degli utenti garantendo inoltre a imprese e aziende di effettuare operazioni senza violare il GDPR previsto a livello europeo.
Le categorie OCSE delle Privacy-Enhancing Technologies (PETs)
Anche l’OCSE, l’Organizzazione per la Cooperazione e lo Sviluppo Economico, si è occupata di PETs e privacy. L’Organizzazione ha elaborato una classificazione delle Privacy-Enhancing Technologies (PETs), identificandone quattro diverse categorie:
- data obfuscation tools, ossia quegli strumenti che prevedono l’offuscamento dei dati. In sostanza, grazie a tecniche quali anonimizzazione e pseudonimizzazione, i dati diventano non riconducibili direttamente a un individuo. Alterare i dati in questo modo permette di garantire la privacy. Tuttavia, se questi strumenti non vengono implementati correttamente, le informazioni possono trapelare;
- encrypted data processing tools, che prevedono l’elaborazione criptata di dati. In questo caso, mentre i dati vengono usati, questi vengono mantenuti crittografati. Sebbene questi strumenti garantiscano la privacy dei dati, hanno dei limiti: primo fra tutti, quello dei costi molto elevati;
- federated and distributed analytics, strumenti che sono pensati per la pre-elaborazione dei dati alla fonte, mentre solamente una sintesi viene trasferita a chi eseguirà l’elaborazione e l’analisi. Il principale limite dell’analisi federata e distribuita è che deve poter contare su una potente connettività per funzionare a dovere;
- data accountability tools, o strumenti di responsabilità dei dati, ossia quegli strumenti che mirano a garantire che il trattamento dei dati sia tracciabile e verificabile.
Tecnologie per la tutela della privacy e allineamento al GDPR
Le Privacy Enhancing Technologies (PETs) quali strumenti atti a garantire la protezione dei dati sono strettamente collegate al GDPR. Più in dettaglio, le PETs sono perfettamente allineate ai principi del Regolamento UE 2016/679.
Più in dettaglio, i data obfuscation tools individuati dall’OCSE consentono di offuscare o mascherare le informazioni personali. Questo riduce il rischio di re-identificazione, specialmente nei contesti di analisi di grandi dataset.
Allo stesso modo, gli encrypted data processing permettono di trattare i dati senza doverli decifrare. Questa caratteristica, coerente con i principi di sicurezza e minimizzazione stabiliti dal GDPR, limita drasticamente le possibilità di accessi non autorizzati e garantisce una protezione robusta delle informazioni sensibili.
Anche la federated e distributed analytics rientra tra le metodologie di protezione compatibili con il GDPR, così come pure i data accountability tools.
Le principali metodologie crittografiche utilizzate nelle PETs
Per garantire la privacy dei dati trasmessi, le Privacy-Enhancing Technologies (PETs) sfruttano diverse metodologie crittografiche. Nei prossimi paragrafi analizzeremo in dettaglio quelle più utilizzate.
Crittografia omomorfica: cos’è
Tra le innovazioni sfruttate dalle Privacy-Enhancing Technologies (PETs) per garantire la protezione dei dati, figura la cosiddetta crittografia omomorfica.
Questo termine è utilizzato per indicare una specifica tecnica usata per effettuare calcoli su dati cifrati senza doverli decifrare. In sostanza, chi decifra i dati riesce ad analizzare le informazioni dei propri clienti senza mai accedere direttamente ai dati in chiaro.
Si tratta quindi di una forma di crittografia, che fa parte dei cosiddetti encrypted data processing tools individuati dall’OCSE.
La crittografia omomorfica trova applicazione di moltissimi settori, soprattutto quelli in cui vengono condivisi dati sensibili. Pensiamo, solo per fare qualche esempio, a settori come quello della sanità o della finanza, per i quali la protezione dei dati è fondamentale.
L’utilizzo della crittografia omomorfica rende possibile, contemporaneamente, garantire sia la privacy degli individui, ma anche l’effettiva possibilità di effettuare l’analisi dei dati.
Secure Multi-Party Computation (SMPC)
La Secure Multi-Party Computation (o SMPC) è una metodologia delle Privacy-Enhancing Technologies (PETs) che prevede la collaborazione, da parte di più soggetti, per effettuare calcoli su insiemi di dati senza mai condividere le informazioni in chiaro.
Zero-Knowledge Proofs (ZKP)
Le Zero-Knowledge Proofs (o ZKP) possono essere considerate come una vera e propria rivoluzione nell’ambito delle Privacy-Enhancing Technologies (PETs).
Queste metodologie crittografiche, infatti, consentono in sostanza ai soggetti di dar prova di conoscere una determinata informazione, senza però doverla rivelare interamente.
Differential Privacy
La Differential Privacy è una tecnica delle Privacy-Enhancing Technologies (PETs) che permette la protezione dei dati nei processi di analisi statistica.
La privacy differenziale si basa su un metodo matematico, che introduce dei “rumori” per rendere impossibile individuare informazioni dettagliate.
