Privacy by design: la tutela dei dati personali nella nuova generazione di servizi pubblici digitali

Un paradigma per la progettazione delle nuove modalità di interazione con la Pubblica Amministrazione che mettano al centro le necessità e i diritti dei cittadini by default

Original illustration by Fonzy Nils for PagoPA S.p.A.

Sin dalla nascita della società PagoPA, il nostro lavoro si è basato su una visione precisa, un cambio di paradigma: non più semplicemente offrire al cittadino un servizio pubblico digitale, ma progettare e mettergli a disposizione il miglior servizio possibile.

Parliamo di un chiaro cambio di passo, in cui il cittadino è posto al centro del processo di ideazione e progettazione di ogni servizio in base alle sue reali necessità, in particolare:

• la semplicità;
• l’immediatezza;
• la sicurezza;
• la tutela dei propri diritti.

In questo paradigma la gestione dei dati personali diventa un pilastro fondante nel design dei servizi, non più una serie di oneri da assolvere.

Questo matrimonio s’ha da fare

Quando parliamo di servizi digitali, le sfide che abbiamo di fronte fanno riferimento a diverse istanze:

• La scalabilità. Con questo termine indichiamo l’esigenza che un servizio digitale riesca a “reggere i carichi” a cui è sottoposto, anche quando milioni di persone provano a fruirne in un arco temporale molto ristretto. La scalabilità dei servizi è un obiettivo legato alla tecnologia: soluzioni che permettono l’efficienza del servizio e al tempo stesso ne garantiscono la sicurezza.
• L’usabilità. Si tratta di garantire un servizio semplice e intuitivo per chiunque. Questo aspetto è fondamentale se parliamo di servizi pubblici, che sono legati a un diritto dei cittadini e che si rivolgono sempre anche a fasce della popolazione che hanno minori competenze digitali. Le persone che fruiscono di un servizio pubblico devono trovarsi di fronte a un’esperienza comparabile con quella dei più efficienti servizi digitali privati: in una piattaforma di e-commerce l’utente arriverà all’acquisto in modo rapido e intuitivo, e dovrà inserire i propri dati soltanto la prima volta. Allo stesso modo, quando un cittadino utilizza un servizio pubblico digitale deve incontrare la stessa semplicità.
• La tutela della privacy. Ogni cittadino ha il diritto imprescindibile a che i suoi dati siano trattati nel rispetto della normativa della privacy e in maniera sicura, nonché il diritto di avere una visione chiara dell’utilizzo che viene fatto dei propri dati e di controllarne la gestione, che si tratti di servizi pubblici o privati. Per questo è necessario che i servizi vengano progettati e sviluppati tenendo conto di questo aspetto centrale.

In più occasioni quando si parla dell’esigenza di trovare una sintesi tra queste tre istanze si fa riferimento al termine compromesso, in particolare per quanto riguarda proprio il terzo punto, la tutela della privacy. Usare tecnologie che permettano una buona scalabilità di un servizio, ad esempio, trovando il giusto compromesso per non ledere il diritto alla privacy.

Si tratta di una lettura errata.

Il cambio di paradigma che adottiamo passa anche da qui, da un cambio di prospettiva: non un compromesso ma un connubio tra queste tre istanze. Il migliore dei servizi digitali viene concepito sin dalla nascita in modo da permettere la giusta scalabilità, con la migliore esperienza utente possibile e con la massima tutela dei dati personali.

Privacy by design

Questa visione si traduce con un approccio di “privacy by design”, o “privacy by default”.

Photo by Leonardo Iheme on Unsplash

Da quando abbiamo iniziato a costruire, mattoncino dopo mattoncino, la struttura di PagoPA S.p.A., abbiamo scelto di tradurre questa impostazione nella nostra struttura organizzativa. In ciascuno dei progetti su cui lavoriamo, come lO, l’app dei servizi pubblici, la Piattaforma notifiche digitali degli atti pubblici o la Piattaforma Nazionale Digitale Dati, abbiamo figure dedicate specializzate in ambito privacy, che seguono la vita di quel progetto dall’inizio alla fine – dall’ideazione alla messa a terra di uno o più servizi pubblici.

Nel momento stesso in cui apriamo una nuova attività progettuale, creiamo un team multidisciplinare, al cui interno siedono:

1. designer, che si occupano sin dalla nascita della futura esperienza utente;
2. personale tecnico-informatico, in grado di valutare le soluzioni tecnologiche più appropriate;
3. referenti legali per la valutazione di tutti gli aspetti che possano impattare la sicurezza e la gestione dei dati personali degli utenti.

Questa è l’essenza del nostro cambio di paradigma: la privacy diventa parte integrante dello sviluppo di un servizio.

Inoltre, per far fronte alla complessità che i temi della privacy nei servizi digitali comportano, il nostro approccio include da sempre una proficua collaborazione con il Garante per la protezione dei dati personali, basata su un dialogo costruttivo, che ci permette di progettare le nostre infrastrutture in modo coerente con gli indirizzi del Garante e confrontarci costantemente su situazioni specifiche legate ai nostri progetti.

Un ecosistema stabile per la privacy

Il principio “privacy by default” si estende anche ai fornitori esterni di servizi e infrastrutture su cui poggiano i progetti. In questo ambito, la nostra strategia passa per una scelta accurata di ciascun fornitore e per la loro responsabilizzazione sulla tutela dei dati personali nell’erogazione dei servizi che ci riguardano.

Applichiamo questa strategia anche nei casi in cui decidiamo di ricorrere a fornitori esteri, ad esempio quando risultano più in linea con le nostre esigenze in termini di efficienza, sicurezza e performance.

La gestione dei dati personali per i servizi che si appoggiano su fornitori è un tema molto complesso e di grande attualità, basti pensare al dibattito che si è acceso in Europa a seguito della sentenza “Schrems II” della Corte di giustizia dell’Unione Europea, che di fatto ha cancellato uno strumento importante in materia di trasferimento di dati personali verso fornitori che hanno sede negli Stati Uniti.

Tuttavia, non crediamo che scegliere i propri fornitori solo sulla base nazionalità sia la maniera corretta di procedere: i fornitori devono prima di tutto essere scelti per il grado di sicurezza e affidabilità che offrono, per i livelli di servizio che garantiscono e per gli strumenti di protezione dei dati personali che mettono a disposizione dei loro clienti. Scegliere un fornitore italiano ed europeo poco sicuro o poco attento a queste tematiche non tutela la privacy dei nostri cittadini.

Per permettere alle Pubbliche Amministrazioni e agli altri operatori economici di scegliere i migliori servizi offerti sul mercato, e quindi essere in grado di restituire ai cittadini i migliori servizi digitali, è necessario un quadro normativo stabile. Anche per questo è importante che la Commissione Europea chiuda in tempi brevi i negoziati con il governo americano per regolamentare in modo chiaro i trasferimenti dei dati verso gli Stati Uniti, dove molte delle migliori aziende che offrono soluzioni digitali ad oggi risiedono.

Lavora con noi! Proprio in questi giorni siamo alla ricerca di alcune figure per allargare il team che si occupa di protezione dei dati personali per i progetti di PagoPA. Di seguito trovi il dettaglio delle posizioni aperte:

• Responsabile Privacy, da inserire nell’Area Compliance & Privacy a diretto riporto del Direttore Legal & Compliance. Guarda la posizione e candidati, hai tempo fino al 14 febbraio 2022!
• Privacy Engineer, da inserire nella Direzione Legal & Compliance, a diretto riporto del Direttore Legal & Compliance. Guarda la posizione e candidati, hai tempo fino al 14 febbraio 2022!

Lavora con noi | LinkedIn – Twitter – Instagram | Visita il nostro sito | GitHub