Privacy by Design: come proteggere i dati fin dal principio

La Privacy by Design è diventata attuale con l’entrata in vigore nel maggio 2018 della normativa europea GDPR, volta a proteggere la privacy degli utenti.

Divenute pienamente responsabili del corretto trattamento dei dati personali, le aziende hanno dovuto adeguarsi alle nuove regole, per evitare pesanti sanzioni.

Ma cosa si intende per Privacy by Design? Quali principi comporta e che differenze intercorrono con la Privacy by Default?

E ancora, come applicare correttamente la Privacy by Design nella vostra azienda? Trovate tutte le risposte in questo articolo!

Il principio della Privacy by Design (PbD) implica che la protezione dei dati personali debba essere presa in considerazione prima dell’inizio di qualsiasi progetto aziendale. La privacy deve quindi essere una priorità assoluta ogni volta che si progetta un nuovo servizio, una nuova funzionalità o una campagna di marketing.

La Privacy by Design è stata introdotta dall’articolo 25 del GDPR (Regolamento Generale per la Protezione dei Dati) ed il mancato rispetto di questo principio può comportare sanzioni pecuniarie o addirittura procedimenti giudiziari (per violazioni gravi) in caso di controlla da parte del Garante per la protezione dei dati personali.

Se, da un lato, la Privacy by Design ha complicato il quadro legale, tecnico e ha allungato le tempistiche, questo principio ha portato anche diversi benefici. Ecco i principali:

• minori spese per dimostrare la conformità alla legge.Tenendo conto della protezione dei dati fin dall'inizio, è possibile evitare alcuni inconvenienti. Ad esempio, dover rielaborare alcuni punti del progetto per essere in regola. Ciò può comportare costi aggiuntivi, ritardi o addirittura un ripensamento del progetto;
• meno rischi di azioni legali per inadempienze;
• un rapporto di fiducia con l'utente, il quale, grazie alla trasparenza del trattamento dei dati, sa che le sue informazioni saranno trattate con la massima cura;
• un risparmio determinato dalla minore necessità di capacità di archiviazione, che possono talvolta rappresentare somme considerevoli.

Il Data Protection Officer (DPO) è la figura aziendale responsabile del trattamento dati. Questo nuovo ruolo trasversale è emerso a seguito dell'entrata in vigore della RGPD, per consentire l'implementazione della Privacy by Design.

Deve garantire che la privacy di ogni dipendente sia rispettata in ogni progetto dell'azienda, che si tratti di una campagna di marketing o di questioni di sicurezza informatica.

Le sue mansioni:

• gestire la questione dei dati personali in modo trasversale;
• mettere in atto una serie di regole organizzative, misure, strumenti e buone prassi;
• controllare che le misure messe in atto siano conformi al principio ed essere in grado di provarlo in caso di ispezioni del Garante Privacy.

💡 Per svolgere il suo ruolo in modo ottimale, il DPO può utilizzare una foglio di progetto GDPR per lavorare con i diversi project manager. Il documento descrive in dettaglio le diverse fasi e le azioni da attuare per garantire la Privacy by Design in ogni fase del progetto.

La Privacy by Default è un corollario della Privacy by Design. Mentre quest'ultima incoraggia la protezione dei dati personali fin dalla fase di progettazione, la Privacy by Default ha l’obiettivo di garantire l’utilizzo dei dati per il minimo indispensabile.Traducibile in italiano con «protezione per impostazione predefinita», il suo obiettivo è garantire una protezione dei dati massima, senza alcuna azione necessaria da parte dell’utente.

Occorre agire preventivamente, e non a posteriori, per evitare la violazione della privacy. Infatti, una volta violati i dati personali, il danno è fatto. Le azioni correttive dovrebbero essere rivolte ad evitare nuove violazioni future.

Come visto in precedenza, si tratta di un concetto che è parte integrante del Privacy by Design. Occorre pertanto una protezione massima di default, vale a dire implicita e automatica, affinché non spetti all’utente gestire la sua protezione (verificando i parametri, compilando checkbox, ecc.). Se un utente desidera concedere maggiore libertà per l’utilizzo dei suoi dati, questo sarà possibile facendone richiesta.

È fondamentale assicurarsi che l’ottenimento delle informazioni sia conforme alle regole, sia da un punto di vista tecnico che organizzativo. Lo stesso vale per la conservazione dei dati, che devono essere rimossi nel momento in cui questi non sono più necessari per le finalità stabilite precedentemente.

Occorre garantire agli utenti la massima sicurezza nella raccolta dati. Questa garanzia deve applicarsi anche durante il periodo di conservazione legale delle informazioni.

Le misure applicate a tutela della privacy degli utenti devono rispettare la privacy dell'utente, senza compromettere il buon funzionamento dell'azienda. L'idea non è quella di opporre, bensì di far convergere questi interessi, conciliando privacy e sicurezza dei dati. Offrire questa garanzia agli utenti può persino rivelarsi un vantaggio competitivo, e svolgere un ruolo nella costruzione della fiducia e della brand image.

La raccolta e l'elaborazione dei dati devono essere trasparenti, così come lo scopo per il quale i dati vengono raccolti. Per questo motivo, l'azienda deve scrivere e rendere visibile a tutti la sua politica sulla privacy.

Questo concetto riguarda in realtà tutti i principi precedenti. È responsabilità delle singole aziende dotarsi dei sistemi e degli strumenti giusti per rispettare i vincoli di legge. Anche le buone prassi etiche devono essere adottate a tutti i livelli dell'azienda, in modo che tutti raccolgano solo le informazioni necessarie e le trattino con cura.

L'attuazione della Privacy by design è una sfida impegnativa per le aziende e le organizzazioni, sia dal punto di vista tecnico che organizzativo.

Infatti, per poter allestire un sistema di raccolta dati, è necessario essere tecnicamente preparati per controllare, modificare e cancellare i dati a posteriori.

Diamo un'occhiata ad alcune misure concrete che possono aiutarvi ad mettere in atto la Privacy by Design.

Questa tecnica di strutturazione dei dati rende più difficile l'identificazione di un individuo, a meno che non si disponga di informazioni aggiuntive. I dati sono classificati e disaggregati secondo l'utilità in un database dedicato a questo scopo.

L'applicazione del principio del minimo indispensabile è resa tecnicamente possibile grazie alle «Privacy Enhancing Technologies», che consentono agli utenti di mantenere il controllo dei propri dati. In questo modo possono ridurli ai minimi termini e, se lo desiderano, anche renderli anonimi.

Questo protocollo sicuro permette di fornire una prova matematica dell'autenticazione e dell'identificazione di un utente, senza rivelare ulteriori informazioni.

Fin dal lancio di un nuovo servizio, prodotto, progetto o funzionalità, è importante garantire la tutela della privacy. Per lavorare in modo più efficiente, si raccomanda di utilizzare un framework progettato per questo scopo. Questo tipo di documento è un buon punto di partenza per permettere di verificare che si stiano controllando tutte le caselle richieste dal GDPR.

Siete certi che la vostra azienda rispetti la «Privacy by Design»? Utilizzare strumenti per la «GDPR compliance» vi permette di evitare il rischio di sanzioni.

Ecco alcuni vantaggi di cui potrete disporre:

• centralizzare e tenere traccia di tutta la documentazione di conformità;
• creare fogli di progetto personalizzabili a partire da modelli per facilitare il lavoro con i project manager;
• monitorare lo stato di conformità di tutti i progetti;
• classificare i dati in base al loro scopo;
• rimanere in regola con le novità normative;

  conservare le prove sul consenso al trattamento dati, e molti altri ancora.

Tra gli attori più importanti sul mercato, potete rivolgervi a:

• Privacy in cloud,
• GDPR by Zucchetti.

L'integrazione dei principi della Privacy by Design in tutti i progetti che richiedono la raccolta di dati è la migliore pratica da adottare per conformarsi alla GDPR senza ricevere impatti negativi sull'attività. Se correttamente rispettati, questi principi implicano l'applicazione di misure che possono anche avere un impatto benefico sull'azienda.

La Privacy by Using ha l’obiettivo di responsabilizzare gli utenti circa l’utilizzo dei dati personali. Fornendo loro informazioni sulle finalità dei dati e sugli strumenti tecnici per la gestione del livello di riservatezza, questi acquisiscono autonomia. Gli utenti tendono così a diventare maggiormente inclini a concedere maggiore libertà alle aziende nell'uso dei loro dati. Con un consenso più ampio, le aziende possono ampliare la portata delle possibilità offrendo più innovazioni e meglio soddisfare le esigenze degli utenti.

La responsabilità condivisa dei dati può rappresentare la chiave per un mercato più innovativo? Cosa ne pensate?