Il Regolamento generale sulla protezione dei datiGDPR) ha introdotto diversi cambiamenti nel modo in cui le organizzazioni si approcciano alla protezione dei dati, uno dei quali è la consacrazione legale della Privacy by Design (PbD) all'articolo 25.
Ma cosa significa Privacy by Design, perché il GDPR lo richiede e come si può implementare?
Continuate a leggere per scoprirlo!
Che cos'è la privacy by design?
La privacy by design (PbD) è il concetto che la privacy dovrebbe essere integrata nei sistemi e nei processi fin dall'inizio, piuttosto che come un ripensamento o un'aggiunta, per proteggere la privacy degli utenti e prevenire massicce violazioni dei dati.
È stata proposta per la prima volta negli anni '90 da Ann Cavoukian, ex commissario per la privacy dell'Ontario, e da allora è stata riconosciuta come una pratica migliore sostenuta dalle autorità per la protezione dei dati in tutto il mondo.
Incorporare il PbD nei sistemi e nei processi nelle prime fasi del progetto (e durante tutto il suo ciclo di vita) offre grandi vantaggi:
- Può prevenire le violazioni dei dati inserendo in modo proattivo nei sistemi le protezioni per la privacy che riducono il rischio di violazione dei dati.
- Può contribuire a garantire la conformità ai requisiti legali e normativi.
- Vi aiuta a dimostrare il vostro impegno nel proteggere la privacy dei clienti, il che porta a costruire la fiducia dei clienti.
l'implementazione della PbD richiede il radicamento della privacy dei dati nella cultura aziendale.
È possibile raggiungere questo obiettivo sensibilizzando e dando priorità alle questioni relative alla privacy dei dati, integrando la privacy dei dati nella fase di progettazione dello sviluppo di prodotti o servizi e affrontandola in ogni fase del processo.
Privacy by Design e GDPR
l GDPR si applica a qualsiasi trattamento di dati personali da parte di un'organizzazione all'interno dell'UE o quando il trattamento dei dati personali riguarda persone nell'UE, indipendentemente dalla sede dell'organizzazione.
Contiene due serie di requisiti, denominati "data protection by design" e "data protection by default", che rappresentano entrambi una chiara implementazione della PbD.
l'articolo 25 stabilisce che:
Il responsabile del trattamento, sia al momento della determinazione dei mezzi per il trattamento, sia al momento del trattamento stesso, mette in atto misure tecniche e organizzative adeguate, come la pseudonimizzazione, volte ad attuare i principi di protezione dei dati, come la minimizzazione dei dati, in modo efficace e a integrare le garanzie necessarie nel trattamento al fine di soddisfare i requisiti del presente regolamento e proteggere i diritti degli interessati.
l'espressione "al momento della determinazione dei mezzi per il trattamento" significa che dovete tenere conto della protezione dei dati quando sviluppate i sistemi e le procedure per la raccolta e il trattamento dei dati, non una volta che li avete.
Il GDPR non è più l'unica legge sulla protezione dei dati che contiene i principi della PbD.
La legge canadese sulla protezione delle informazioni personali e dei documenti elettronici(PIPEDA) impone alle aziende di designare un dipendente responsabile del trattamento dei dati, di limitare la raccolta dei dati e di implementare procedure per lo smaltimento sicuro dei dati non necessari.
Inoltre, anche in Brasile(LGPD), India (DPDP) e Svizzera le leggi hanno incorporato principi di "protezione dei dati incorporati" simili al GDPR.
I 7 principi fondamentali della privacy by design
Il concetto di PbD si basa su sette principi che possono aiutare a prendere decisioni migliori in materia di sicurezza dei dati. Questi principi sono:
1. Proattivo, non reattivo; preventivo, non correttivo.
La PbD inizia con il riconoscimento del valore e dei benefici di un'implementazione proattiva, precoce e coerente delle pratiche di privacy.
Il primo principio sostiene che la privacy deve essere all'inizio del processo di pianificazione. Prima di progettare un sistema e un processo per la gestione dei dati, è necessario individuare i rischi per la privacy posti dalla gestione dei dati, decidere quali sono le misure necessarie per ridurre al minimo o eliminare tali rischi e inserirle nel sistema.
Se la vostra prassi di sicurezza si limita a rispondere alle violazioni quando si verificano, siete reattivi.
In breve: non aspettate che si verifichino rischi per la privacy, ma preveniteli.
2. La privacy come impostazione predefinita
Secondo il secondo principio, la privacy deve essere al primo posto in tutto ciò che fate e potete massimizzarla garantendo la protezione automatica dei dati personali.
A tal fine, è possibile limitare la condivisione dei dati, sviluppare sistemi per identificare e raccogliere la quantità e la portata minima di dati necessari e cancellare o anonimizzare i dati non più necessari. Inoltre, è necessario utilizzare funzioni e protezioni di opt-in e opt-out per i dati dei consumatori.
Ad esempio, se si intende utilizzare uno strumento di analisi dei dati di terze parti per comprendere meglio l'efficacia delle proprie campagne di marketing e questo strumento raccoglie le informazioni sui dispositivi dei visitatori del sito web, è opportuno disattivarlo per impostazione predefinita. In questo modo, rispetterete il principio della minimizzazione dei dati e non raccoglierete questi dati fino a quando non avrete ottenuto il consenso.
Dovete fornire il massimo livello di protezione della privacy ai consumatori, abbassare il profilo di rischio della sicurezza dei dati e adottare misure pratiche per ridurre la possibilità di violazione dei dati.
3. Privacy integrata nel design
Il terzo principio consiste nell'integrare la privacy nella progettazione, nello sviluppo e nell'implementazione di un prodotto, di un processo o di un sistema fin dall'inizio. È necessario incorporare la privacy nella progettazione dei sistemi informatici e nelle pratiche aziendali, e le aziende devono utilizzare la crittografia e l'autenticazione e testare regolarmente le vulnerabilità.
Ad esempio, quando si sottoscrive una nuova piattaforma di gestione delle relazioni con i clienti per archiviare ed elaborare i dati personali dei clienti, è necessario disporre di processi e controlli per garantire che questo nuovo strumento gestisca i dati personali in conformità con le leggi sulla privacy.
Questo principio ci ricorda di considerare la privacy una funzione fondamentale del prodotto e di inserirla nei sistemi fin dall'inizio come parte integrante della funzionalità principale, senza compromettere la funzionalità.
4. Funzionalità completa - a somma positiva, non a somma zero
Il quarto principio della PbD affronta tutti gli interessi e gli obiettivi legittimi in un modo "win-win" a somma positiva, piuttosto che attraverso un approccio a somma zero con inutili compromessi.
La privacy dei dati non deve essere vista come un compromesso con altri interessi. È possibile avere privacy, ricavi e crescita: non è necessario sacrificarne uno per gli altri!
l'integrazione della privacy in una particolare tecnologia, processo o sistema deve avvenire in modo da non compromettere la funzionalità e ottimizzare tutti i requisiti.
5. Sicurezza end-to-end - Protezione dell'intero ciclo di vita
Secondo il quinto principio, i dati devono essere sicuri in ogni fase, dalla raccolta all'uso, alla divulgazione e alla distruzione.
La crittografia e l'autenticazione sono gli standard in ogni fase, ma è necessario andare oltre in altre fasi. Ad esempio, dovreste raccogliere solo i dati di cui avete bisogno e per i quali avete una base legale.
Inoltre, è necessario implementare una serie di misure di sicurezza, tra cui restrizioni fisiche, elettroniche e organizzative.
Ad esempio, il trasferimento di dati personali a terzi può presentare rischi per la sicurezza, in quanto gli aggressori informatici potrebbero tentare di intercettare le comunicazioni per ottenere un accesso non autorizzato ai dati. Un fattore di rischio è il trasferimento di dati attraverso reti pubbliche non sicure. Le organizzazioni possono stabilire e applicare politiche e controlli interni per garantire che tutti i dipendenti trasferiscano i dati solo utilizzando dispositivi specifici e su reti aziendali sicure.
Inoltre, è necessario utilizzare metodi di cancellazione/distruzione GDPR per una protezione end-to-end quando si eliminano i dati.
Ricordate che la privacy segue i dati ovunque vadano.
6. Visibilità e trasparenza - Mantenere la trasparenza
La raccolta di dati personali comporta un obbligo di diligenza.
Il sesto principio si basa sull'idea che informare le persone interessate non solo rafforza la loro fiducia, ma aiuta anche a garantire che siate responsabili del trattamento dei dati. Sostiene la necessità di una politica sulla privacy ben scritta e di un meccanismo che consenta agli interessati di esprimere i propri reclami, porre domande e richiedere modifiche.
La visibilità e la trasparenza sono essenziali per creare responsabilità e fiducia. Pertanto, gli interessati devono conoscere e divulgare le vostre pratiche di protezione (e trattamento) dei dati, e le informazioni devono essere aperte e di facile comprensione.
7. Rispetto della privacy degli utenti - Mantenere la centralità dell'utente
l'ultimo principio afferma che tutto deve rimanere incentrato sull'utente.
Il documento afferma che i dati in possesso di un'organizzazione appartengono in ultima istanza al consumatore e le organizzazioni devono garantire che gli interessati siano adeguatamente informati su come vengono raccolti e utilizzati i loro dati.
Ad esempio, quando ci si affida al consenso per il trattamento dei dati individuali, è necessario trattare le persone in modo equo, fornire loro informazioni sufficienti e di facile comprensione ed evitare di fuorviarle per indurle a dare il loro consenso.
Immaginate che quando gli utenti si iscrivono a un webinar gratuito sulla vostra piattaforma web e compilano un modulo, acconsentano alla condivisione dei loro dati con gli intermediari di dati perché c'è una casella pre-spuntata difficile da vedere alla fine del modulo di iscrizione. Si tratta di una pratica scorretta che sfrutta gli utenti. Inoltre, dovreste anche consentire alle persone di esercitare i loro diritti sulla privacy previsti dalle varie leggi sulla privacy, come il diritto di accesso e il diritto alla cancellazione.
Mettere gli interessati in condizione di svolgere un ruolo attivo nella gestione dei propri dati può essere il controllo più efficace contro la privacy e l'abuso dei dati personali.
Chi deve considerare la privacy by design?
Il PbD è particolarmente importante se siete un responsabile del trattamento dei dati che rientra nell'ambito di applicazione del GDPR. Il GDPR richiede che le caratteristiche di protezione dei dati siano adeguate e appropriate sia per i processi utilizzati che per i dati raccolti.
l'articolo 25, paragrafo 2, afferma esplicitamente che:
Il responsabile del trattamento deve implementare misure tecniche e organizzative adeguate per garantire che, per impostazione predefinita, vengano trattati solo i dati personali necessari per ogni specifica finalità del trattamento.
A parte le implicazioni del GDPR , la PbD è ormai considerata una best practice per tutte le organizzazioni che trattano dati.
l'implementazione dei principi della Privacy by Design dimostra che riconoscete il valore dei dati personali e che la privacy e il controllo personale sui dati sono una libertà che volete preservare.
Affrontando la protezione dei dati da un punto di vista progettuale, potete assicurarvi che sia parte integrante delle vostre operazioni e potete mettere la vostra organizzazione a prova di futuro sia dal punto di vista dei clienti che da quello legale.
L'implementazione dei principi della PbD non è più solo una best practice, ma un obbligo di legge per i responsabili del trattamento dei dati, in particolare nell'Unione europea ai sensi del GDPR.
Adottando proattivamente questi principi, le organizzazioni possono ridurre i rischi, garantire la conformità e costruire una fiducia duratura con i propri clienti.
Per una comprensione più approfondita della crescente domanda di privacy dei dati, consultate le ultime statistiche sulla privacy dei dati per rimanere informati sulle tendenze e sulle best practice.
Per saperne di più su chi scrive
Scritto da Ali Talip Pınarbaşı, CIPP/E, & LLM
Ali è avvocato specializzato in diritto della privacy con sede a Londra. Ha conseguito un Master in diritto della privacy dell’UE al King’s College di Londra. Ha sei anni di esperienza nel fornire consulenza alle aziende su come conformarsi alle normative sulla protezione dei dati. Per saperne di più su chi scrive
