Blog

Privacybydesignpng.png

Privacy by Design e by Default: La privacy al centro del pensiero del progettista

Il Regolamento europeo per la protezione dei dati personali (GDPR) introduce un nuovo approccio per tutelare i dati da trattamenti illeciti, sia per quanto riguarda le misure tecniche da adottare che a livello organizzativo.

Questo nuovo approccio è declinato in maniera più precisa dall’articolo 25 del Regolamento.                                                                                

Articolo 25 - Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita 
1.Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all'atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati. 
2.Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l'accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l'intervento della persona fisica. 
3.Un meccanismo di certificazione approvato ai sensi dell'articolo 42 può essere utilizzato come elemento per dimostrare la conformità ai requisiti di cui ai paragrafi 1 e 2 del presente articolo. 

Attraverso quest’articolo sono introdotti i concetti della Privacy by Design e by Default.

Privacy by Design

Il principio della Privacy by Design introduce le aziende a una protezione dei dati personali diversa dal vecchio sistema di natura reattiva, imponendo un approccio proattivo, rendendo necessario la creazione di configurazioni e misure di sicurezza in grado di salvaguardare i dati personali “by deafult”, ovvero nel momento in cui entrano nel sistema aziendale.

Questo nuovo approccio si basa sulla valutazione del rischio (approccio risk based), obbligando le aziende a valutare il rischio inerente alle loro attività al momento della progettazione del sistema, e quindi prima che il trattamento inizi. L’azienda inoltre dovrà tenere conto anche del tipo di dati che sono trattati e dello stato della tecnologia, portando così a modifiche future del trattamento realizzato nel corso degli anni.

Sicuramente un primo vantaggio di questo nuovo approccio è la flessibilità e l’adattabilità del trattamento da utilizzare che può variare in base alle esigenze aziendali, agli strumenti tecnologici utilizzati. Dall’altra parte però quest’approccio prevede che sia l’azienda stessa a valutare il rischio, rendendo le contestazioni in caso di violazioni più difficili da applicare.

 

Privacy by Default

Il principio della Privacy by Deafult, invece, stabilisce che i dati personali dovrebbero essere trattati dalle imprese, solo nella misura necessaria per le finalità previste e solamente nel periodo indispensabile per raggiungere tali finalità. Occorre, quindi, far sì che il sistema di trattamento dei dati sia progettato per garantire la non eccessiva trattenuta dei dati raccolti.

 

L'introduzione di tali principi obbliga le imprese a predisporre una valutazione di impatto privacy ogni volta che viene avviato un progetto che prevede un trattamento di dati. Questi approcci, però, non riguardano solamente i nuovi progetti ma possono interessare anche quelli in essere. La privacy deve essere al centro del pensiero del progettista al momento della realizzazione dei sistemi.



Pubblicato da Riccardo Brambilla in data 17/04/2018