milano, novembre 2004 privacy. 2 indice degli argomenti definizioni normativa approcci...
TRANSCRIPT
Milano, Novembre 2004
Privacy
Privacy 2
Indice degli argomenti
Definizioni
Normativa
Approcci tecnico/organizzativi
Conclusioni
Domande e problemi aperti
Riferimenti
Privacy 3
Definizioni
1890, Samuel Warren e Louis Brandeis: ″the right to be let alone″.
1967, Alain Westin ″the desire of people to choose freely under what circunstances and to what extent they will expose themselves, their attitude and their behaviour to others“.
1984, Schoeman ″the right to determine what (personal) information is communicated to others″ or ″the control an individual has over information about himself or herself″.
Riferimenti legali alla privacy:
Dichiarazione dei Diritti Umani del 1948. L’art.17 "No one shall be subjected to arbitrary or unlawful interference with his privacy, family, home or correspondence, nor to unlawful attacks on his honour and reputation“.
″Everyone has the right to the protection of the law against such interferences or attacks″.
Privacy 4
Privacy vs. “sistemi personalizzati”
I sistemi user adaptive (o personalizzati) considerano le caratteristiche individuali dell’utente e ne adattano il comportamento. Le applicazioni user adaptive si basano sull’informazione sulle caratteristiche individuali degli utenti o dei segmenti di utenti cui appartengono. Tale informazione è immagazzinata in profili d’utente (singolo utente) o stereotipi (gruppi di utenti) e riguarda caratteristiche demografiche, capacità, interessi, preferenze, comportamento durante l’uso e informazioni sull’ambiente d’utilizzo.
Nasce per l’utente la preoccupazione per il trattamento dei dati.
Privacy 5
Normativa italiana
Decreto Legisdlativo 30 giugno 2003, n.196 –
Codice in materia di protezione dei dati personalii.
Sancisce:
• il diritto e la tutela da parte del cittadino dei propri dati personali
• il rispetto delle liberta’ fondamentali dell’interessato
• il rispetto sulla riservatezza e sul trattamento dei dati personali
• il principio di necessita’ di trattare al minimo i dati personali di ogni soggetto all’interno di sistemi informativi
Privacy 6
Normativa italiana
Il Codice in materia di protezione dei dati personali fornisce le definizioni su:
• Trattamento: l’insieme delle procedure e delle operazioni effettuate sui dati personali di ogni interessato
• Dati personali: l’insieme delle informazioni relative a persone o ad enti giuridici
• Responsabile: la persona fisica o l’ente giuridico preposto al trattamento dei dati personali
• Interessato: la persona fisica a cui si riferiscono i dati personali
• Comunicazione elettronica: l’insieme delle informazioni e delle procedure trasmesse ad un numero infinito di persone tramite un servizio di comunicazione elettronica
Privacy 7
Normativa italiana
Ogni titolare del trattamento esercita, tutela e mantiene i dati personali in base a:
• registrazione ed aggiornamento dei dati personali che lo riguardano
• cancellazione e trasformazione dei dati trattati
• opposizione dei dati trattati per invio materiale pubblicitario o ricerche di mercato
Privacy 8
Normativa italiana
Il trattamento dei dati personali richiede inoltre:
• adozione di misure di sicurezza adeguate da parte di ciascun fornitore che eroga un servizio
• adozione di procedure ed operazioni di sicurezza gestiti da strumenti elettronici
• aggiornamento o la cancellazione dei dati
• adozione di tecniche di cifrature ed autenticazione
Privacy 9
Normativa Europea
La direttiva europea del 97/ 66/ CE del Parlamento Europeo sancisce:
• la tutela ed il rispetto delle liberta’ delle persone in materia di trattamento dei dati personali
• la tutela ad il rispetto dei dati personali all’interno di comunicazioni elettroniche
• l’adozione di particolari procedure e disposizioni legislative finalizzate a tutelare i dati ed i titolari del trattamento
• l’introduzione di tecnologie pertinenti per realizzare le garanzie previste all’interno della direttiva
Privacy 10
Approcci tecnici al problema
Garanzia data agli utenti di rimanere anonimi riguardo al sistema e all’intera infrastruttura di rete, pur usufruendo dei vantaggi della personalizzazione.
Garanzia data agli utenti che i dati sono usati soli per scopi particolari, data a livello personale o pubblico.
Privacy 11
Approccio 1
Problematiche connesse:
• Vantaggi:
• apprezzato utenti
• permesso dalle leggi (utente anonimo)
• Svantaggi:
• Realizzazione complessa
• Problemi nel caso di pagamenti, beni materiali, servizi non elettronici
• Rischio di uso improprio
Esempio prodotto da Kobsa and Schreck, (2003)
Privacy 12
Secrecy
Significato della secrecy: negare l’accesso di individui non autorizzati ad una particolare informazione.
La negazione dell’accesso ai dati personali nei sistemi user adaptive può essere ottenuta negando a componenti non autorizzati l’accesso alla relazione tra l’utente ed i suoi dati personali e agli stessi dati personali.
• Anonimizzazione
• Cifratura
Privacy 13
Tipi di anonimato
Anonimato ambientale.
Anonimato content based
Anonimato procedurale
Privacy 14
Livelli di Anonimato
i. Super identificazione: utente identificato, per esempio con un sistema X500
ii. Identificazione: autoidentificazione all’interno del sistema
iii. Identificazione latente: identificazione verificata e assegnazione di pseudonimi
iv. Identificazione pseudonimica: pseudonimo scelto dall’utente e conservato
v. Anonimato: situazione nuova ad ogni sessione.
Privacy 15
Componenti
Comunicazione sicura a livello di applicazione e trasporto
Adozione di una rete mix tra applicazione e user model server
Controllo di accessi role based
Privacy 16
Approccio 2
The Platform for Privacy Preferences 1.0 (P3P1.0)
• Specification - W3C Recommendation 16 April 2002; http://www.w3.org/TR/P3P/
• Il protocollo abilita i siti web ad esprimere la loro procedura riguardo la privacy in un formato standard che può essere recuperato automaticamente e facilmente interpretato dagli user agent.
Privacy 17
P3P 2/2
9 aspetti della privacy on line coperti da P3P. Cinque di essi dettagliano i dati che sono considerati dal sito:
• Chi sta memorizzando i dati?• Esattamente quale informazione si sta memorizzando? • Per quali scopi? • Quale informazione viene condivisa con altri? • E quali sono questi contenitori di dati?
I restanti quattro elementi spiegano le linee di condotta sulla
privacy adottate dal sito.• Può l’utente introdurre delle modifiche al modo in cui
questi dati sono usati?• Come sono risolte le dispute?• Quale è il comportamento per mantenere i dati? • Ed infine dove possono essere trovate le norme di
condotta per la privacy in formato leggibile.
Privacy 18
Privacy e HCI
In letteratura vengono identificati quattro requisiti HCI:
• 1. comprehension, per sapere e capire
• 2. consciousness, per essere consapevoli e informati
• 3. control, per gestire
• 4. consent, per dare il proprio assenso.
Privacy 19
Conclusioni
Presentazioni di alcuni aspetti del problema della privacy relativa ai sistemi informatici.
In particolare
• gli aspetti giuridici legati in generale alla situazione europea ed in particolare a quella italiana.
• alcuni aspetti tecnologici del problema presenti in letteratura, con particolare riferimento ai sistemi user adaptive.
Privacy 20
Domande
La privacy e’ centrale o collaterale a MAIS?
Come si pone MAIS rispetto ai precedenti approcci?
Quali strati MAIS gestiscono la privacy?
Come usano/non usano/ dovrebbero usare le applicazioni MAIS i precedenti approcci?
La privacy va trattata come le (altre) qualita’ o a parte?
Cosa fare nel terzo anno?
Privacy 21
Riferimenti
Garante per la protezione dei dati personali
• http://www.garanteprivacy.it
Alfred Kobsa, Jorg Schrech - Privacy Trough Pseudonimity in User-Adaptive Systems – ACM Transactions on Internet Technology, Vol.3, No.2, may 2003
The Platform for Privacy Preferences 1.0 (P3P1.0) Specification-W3C Recommendation 16 April 2002
Privacy Incorporate Software Agent (PISA) Project
• IST-2000-26038
Privacy and Identity Management for Europe (Prime) Project
• IST-2002-507591
Privacy 22
Pricipali componenti 1/2
UM client: può essere rappresentato da uno o più sistemi di applicazioni user-adaptive o l’utente. I client Um cosiccome l’UM comunicano attraverso l’user model reference monitor (es. TCP) e operano e operano su una base di elaborazione sicuro.
Certificate Directory: questa componente contiene certificazioni X.509 per l’UM e per ciascun client UM, che possono essere usati per verificare l’autenticità dell’informazione che è scambiata tra i client UM e l’user model reference monitor.
Role server: il role server fornisce un’interfaccia per la definizione dei ruoli e la gerarchia dei ruoli in un modello di controllo d’accesso basato su ruoli. Inoltre tratta l’assegnazione dei ruoli ai client.
Permission Server: tratta l’assegnazione dei permessi ai ruoli. Per un dato set di ruoli, il set determina il set di permessi assegnati ai ruoli o ereditati da ruoli superiori. Per ciascun permesso nel set, la definizione del permesso è accertata e il set di definizioni di permessi è inviata all’user model reference monitor. Se la richiesta del client UM incontra una delle definizioni di permessi, la richiesta è autorizzata
Mix: connettendo il monitor di riferimento dell’user model con il modello d’utente attraverso una rete mix, si può raggiungere l’anonimato procedurale. La rete mix consta di componenti che forniscono l’aonimato del mittente e del destinatario.
Privacy 23
Principali componenti 2/2
User Model Reference Monitor: Può esser posto tra il client UM e l’UM e controllare il loro scambio di informazioni. Poiché non impone richieste sui meccanismi interni, può essere applicato a qualsiasi sistema user adaptive abilitato al KQML. Effettua le seguenti azioni:
Parsing of KQML messages: i messaggi dai client UM devono essere accettati e analizzati
Handling of protocol aspects: i messaggi devono essere memorizzati e ricevere una risposta dell’UM o un messaggio d’errore
Authentification: il mittente di un messaggio può essere autenticato attraverso una super-identificazione per mezzo di certificazione. Inoltre i mittenti sotto pseudonimo possono essere autenticati se il loro certificato contiene lo pseudonimo.
Authorization: la richiesta del client UM è controllata per la conformità con le definizioni per l’accesso agli ingressi UM.
Anonymization: instradando i messaggi KQML che contengono gli ingressi dell’user model attraverso una rete mix, l’animato procedurale è fornito. La relazione tra l’utente ed il suo user model è così celato.
User Model (UM): l’UM processa solo le richieste che sono state autenticate, autorizzate, inviate e anonimizzate dall’user model reference monitor.