Restare al passo con i tempi, e soprattutto con le leggi, si sa, non è un gioco da ragazzi. Stare sul pezzo in termini di garanzia della Privacy dei clienti e dei collaboratori è una necessità imprescindibile se si fa impresa, ma – diciamocelo – è una bella sfida.

Da fine maggio 2018 è entrato in vigore il Regolamento (UE) 2016/679, noto ai più come GDPR (General data protection regulation). Tale normativa, come saprai, introduce la necessità di pianificare il trattamento dei dati personali e di stabilire preventivamente le misure essenziali per garantirne la sicurezza.

Tra i fondamenti sanciti dal GDPR, è essenziale menzionare il principio di accountability, ovvero di responsabilità. È infatti unicamente responsabilità del titolare dei dati sia valutare individualmente il livello di rischio, sia identificare le misure più appropriate da applicare in ciascuna situazione specifica per proteggere i dati raccolti. Questa è una grande sfida per chi fa impresa. E diventa una sfida ancora più ardua se si considera che, per necessità di business, i dati dei tuoi clienti vengono trattati spesso anche dai tuoi fornitori…

Insomma, le normative europee responsabilizzano enormemente le imprese riguardo alla sicurezza dei dati che maneggiano, il che rende la loro gestione un processo estremamente delicato. Ma non c’è da perdersi d’animo perché il GDPR è molto chiaro nei suoi principi fondamentali.

Nei prossimi paragrafi ti mostreremo come la legge prevede che tu protegga la Privacy dei tuoi clienti. Aggiungeremo anche un consiglio su come tutelarti quando i tuoi dati escono dalle mura della tua impresa.

Due principi del GDPR

Tra i principi fondamentali del GDPR qui trattiamo nello specifico quelli di Privacy by design e di Privacy by default. Questi sono regolamentati nell’articolo 25 del GDPR e sono approfonditi nelle Guidelines 4/2019 on Article 25 Data Protection by Design and by Default.

L’articolo 25 del GDPR evidenzia l’approccio basato sulla valutazione del rischio (risk-based approach), insieme ad altri obblighi, come la notifica alle autorità di controllo nazionali. Secondo tale approccio, le aziende devono valutare il rischio associato alle proprie attività. Tale valutazione determina il grado di responsabilità del titolare o del responsabile del trattamento, tenendo conto della natura, della portata, del contesto e delle sue finalità, nonché della probabilità e della gravità dei rischi per i diritti e le libertà degli utenti. Questa valutazione del rischio deve essere effettuata durante la progettazione del sistema, prima dell’avvio del trattamento.

Di seguito, ti mostriamo in dettaglio i concetti di Privacy by design e Privacy by default, nonché i requisiti chiave per una corretta conformità.

1. Privacy by design

Il concetto di Privacy by design, introdotto nel 2010, ha origini negli Stati Uniti e in Canada. Ann Cavoukian, Privacy Commissioner dell’Ontario (Canada) ne curò la definizione. Successivamente, il concetto fu adottato durante la 32ª Conferenza mondiale dei Garanti Privacy. Con questa definizione si identifica la necessità di considerare la riservatezza e la protezione dei dati personali fin dal concepimento di un progetto (appunto, by design).

In definitiva, secondo il criterio di Privacy by design, il sistema di protezione dei dati personali deve porre l’interessato al centro, obbligando il titolare del trattamento a una sua tutela effettiva, non solo formale. Ogni progetto, sia a livello strutturale che concettuale, deve essere realizzato considerando fin dalla fase di progettazione la riservatezza e la protezione dei dati personali.

L’obiettivo è quello di prevenire e ridurre al minimo i rischi per la Privacy, invece di intervenire in seguito con misure correttive. Ciò implica l’adozione di misure proattive per proteggere i dati personali. Tra queste si annoverano: l’implementazione di politiche di accesso limitato, l’uso di tecniche di crittografia e la minimizzazione della raccolta e della conservazione dei dati.

Il principio richiede al titolare di adottare adeguate misure tecniche e organizzative per il trattamento dei dati personali. Nell’effettuare tale scelta, è fondamentale considerare alcuni elementi essenziali per garantire un’applicazione efficace del sistema di protezione. Eccoli di seguito:

• Lo stato dell’arte, cioè i progressi tecnologici disponibili sul mercato.
• I costi di attuazione in termini economici, di tempo e di risorse umane impiegate.
• La natura, l’ambito di applicazione, il contesto e le finalità del trattamento, ovvero le caratteristiche intrinseche del trattamento, la sua portata e l’impatto sulle persone interessate.
• I rischi per i diritti e le libertà delle persone fisiche derivanti dal trattamento, che possono variare in termini di probabilità e gravità.

2. Privacy by default

Il principio di Privacy by default stabilisce che, per impostazione predefinita, le aziende dovrebbero trattare solo i dati personali nella misura necessaria e sufficiente per le finalità previste, per il periodo strettamente necessario a tali scopi.

Il principio di Privacy by default richiede quindi che innanzitutto il titolare identifichi, prima di avviare il trattamento, quali dati personali sono strettamente necessari per la finalità specifica per la quale saranno acquisiti, al fine di proteggere la loro riservatezza.

Questo principio sottolinea l’importanza della minimizzazione dei dati. L’applicazione del principio di minimizzazione non è semplice, poiché richiede di considerare, giustificare e stabilire quali dati siano necessari per il trattamento. Tale analisi dei dati dipenderà dal tipo di trattamento, dai soggetti coinvolti e dalla rilevanza dei dati trattati.

In definitiva, il titolare dei dati dovrà analizzare i trattamenti da effettuare e valutare i rischi che possono esistere per gli interessati.

La Privacy by default è anche correlata alla trasparenza, che implica fornire informazioni chiare e comprensibili agli individui riguardo alla raccolta, all’uso e alla condivisione dei loro dati personali. L’obiettivo è garantire loro il pieno controllo e la consapevolezza delle pratiche di trattamento dei dati che li riguardano.

Consigli di applicazione dei principi di Privacy by design e Privacy by default

Come predefinire la gestione della privacy

Per adempiere al principio di Privacy by Default, il Comitato europeo per la protezione dei dati ha pubblicato tre strategie che possono servire da linee guida.

• Ottimizzare: questa strategia mira ad analizzare il trattamento dal punto di vista della protezione dei dati, implementando misure relative alla quantità di dati raccolti, all’entità del trattamento, alla conservazione e all’accessibilità dei dati.
• Configurare: questa strategia consente al trattamento di essere configurabile attraverso le impostazioni disponibili nelle applicazioni, nei dispositivi o nei sistemi che lo implementano. Parte di questa configurabilità dovrebbe essere sotto il controllo dell’utente. I dati ottenuti dagli interessati devono essere trattati come confidenziali e utilizzati strettamente per la finalità per cui sono stati acquisiti, e possono essere condivisi con terzi solo previo consenso dell’interessato.
• Limitare: questa strategia garantisce che, per impostazione predefinita, il trattamento sia il più possibile conforme alle esigenze di Privacy. Le opzioni di configurazione devono essere impostate per default su quei valori che limitano la quantità di dati raccolti, l’entità del trattamento, la loro conservazione e accessibilità.

Il principio di Privacy by default riguarda naturalmente tutti gli aspetti del trattamento, non solo la quantità e la qualità dei dati, ma anche la durata del trattamento e gli attori intitolati ad accedere ai dati.

Come progettare includendo il rispetto della Privacy

Per integrare la Privacy fin dalle prime fasi di progettazione di processi e di sistemi, possiamo fare affidamento su sette principi, identificati durante la 32ª Conferenza mondiale dei Garanti della Privacy (ICDPPC International Conference of Data Protection & Privacy Commissioners) tenutasi a Gerusalemme nel 2010. Essi rappresentano appieno il significato della prospettiva della Privacy by design e possono aiutarti a gestire al meglio l’arduo compito di portare sulle spalle la responsabilità del trattamento dei dati.

1. Prevenire anziché correggere: agire prima che si verifichino problemi.
2. Privacy come impostazione predefinita: raccogliere informazioni personali solo se vi è uno scopo o una ragione specifica.
3. Privacy integrata nella progettazione.
4. Massima funzionalità: il raggiungimento degli obiettivi richiede l’integrazione di tutti i fattori, senza prevalenza di uno solo.
5. Sicurezza fino alla fine: garantire la gestione corretta delle informazioni durante l’intero ciclo del loro utilizzo
6. Visibilità e trasparenza: instaurare fiducia e affidabilità consentendo ai soggetti interessati di avere una piena conoscenza e comprensione.
7. Centralità dell’utente: mettere l’utente al centro del sistema di protezione dei dati personali, garantendo una tutela sostanziale e non solo formale.
   

Dati al sicuro e sogni tranquilli con Labitech

Al termine di questo excursus nei dettagli del GDPR, se c’è qualcosa che è chiaro è che si tratta di una normativa delicata, che bisogna trattare e applicare con grande attenzione.

 È importante vedere nell’applicazione di principi come quelli di Privacy by design e di Privacy by default non solo una sfida, ma una grande opportunità per garantire il massimo rispetto della riservatezza dei dati dell’interessato. Chi, come noi, tratta i dati sensibili dei propri clienti con massima precisione e rispetto delle norme, lo sa bene: adeguarsi a delle norme previdenti come quelle del GDPR ti permette una gestione più ordinata dei dati.

Se sei il responsabile di un’impresa che per ragioni di business deve esternalizzare una o più procedure, avrai presente cosa si prova a dover far uscire dalle mura delle proprie infrastrutture i dati dei tuoi clienti, e mandarli in balia del fornitore di turno. L’unico modo per dormire sogni tranquilli in quel caso è affidare tali procedure a chi di norme per la Privacy se ne intende, ad un partner affidabile.

Affida senza pensieri i tuoi dati a Labitech, contattaci oggi per le tue attività in outsourcing, per la consulenza che aspettavi da tempo o per il tuo software personalizzato.

Con noi, il rispetto per la tua Privacy e quella dei tuoi clienti è garantito.