Protezione_dati

Cos’è la Privacy by design e come garantirla nei contratti pubblici?

272 0

Si è parlato molto di privacy by design e “by default” presso la sede dell’Autorità Garante della Concorrenza e del Mercato il 24 novembre scorso in un incontro tra i responsabili protezione dati delle Autorità amministrative indipendenti.

Che cosa si intende per privacy by design e come si intende tutelare tale principio, che ha nel Regolamento Europeo dei dati personali un richiamo diretto, nel mondo degli appalti pubblici e privati?

Cos’è la Privacy by design?

Il concetto di privacy by design (coniato da Ann Cavoukian, Privacy Commissioner dell’Ontario) risale al 2010 ed è emerso in una risoluzione pubblicata nel corso della 32°Conferenza mondiale dei Garanti Privacy.

Il principio della privacy by design che potrebbe tradursi come un invito a garantire la “Privacy per impostazione predefinita” richiede di

  • prevenire non correggere, cioè i problemi vanno valutati nella fase di progettazione, e l’applicativo deve prevenire il verificarsi dei rischi;
  • privacy come impostazione di default (ad esempio, non deve essere obbligatorio compilare un campo di un form il cui conferimento di dati è facoltativo);
  • privacy incorporata nel progetto (ad esempio, l’utilizzo di tecniche di pseudonimizzazione o minimizzazione dei dati);
  • massima funzionalità, in maniera da rispettare tutte le esigenze (rifiutando le false dicotomie quali più privacy = meno sicurezza);
  • sicurezza durante tutto il ciclo del prodotto o servizio;
  • visibilità e trasparenza del trattamento, cioè tutte le fasi operative devono essere trasparenti in modo che sia verificabile la tutela dei dati;
  • centralità dell’utente, quindi rispetto dei diritti, tempestive e chiare risposte alle sue richieste di accesso.

Tale Principio si intreccia inevitabilmente con il Regolamento europeo sulla protezione dei dati 2016/679, trova la sua espressione nell’art. 25 che impone al Titolare, prima ancora di porre in essere un trattamento di dati personali, di fare una valutazione dei rischi e di implementare misure tecniche ed organizzative adeguate, idonee da un punto di vista sostanziale e non solo formale, ad attuare i principi di protezione dei dati personali in maniera efficace ed effettiva.

Sull’argomento, l’European Data Protection Board ha pubblicato nel 2019 le Linee guida sulla Data protection by design e by default.

Il Tema era tornato anche nell’ultimo G7 dei Garanti Privacy: in quella occasione il Garante Italiano parlando dei principi della protezione dati, ha fatto riferimento alla “privacy by design” e alla valutazione d’impatto che dovrebbero infatti essere integrati nella progettazione e nel funzionamento delle tecnologie di AI generativa.

Privacy by design: cosa devono fare le imprese?

Seguendo il Principio della Privacy by design, le imprese dovrebbero trattare solo i dati personali nella misura necessaria e sufficiente per le finalità previste e per il periodo strettamente necessario a tali fini. Necessario allora progettare il sistema di trattamento di dati garantendo la non eccessività dei dati raccolti. in modo che l’interessato riceva un alto livello di protezione anche se non si attiva per limitare la raccolta dei dati (es. tramite opt out).

Come attuare la privacy by design e by default nelle Pubblica Amministrazione?

Ha cercato di rispondere alla domanda il Convegno del 24 novembre 2023 al quale hanno partecipato Patrizia Cardillo, coordinatrice del network; Saverio Valentino, Componente dell’Autorità garante della concorrenza e del mercato; Guido Scorza, dell’Autorità Garante per la Protezione dei dati personali; Giuseppe Busìa, Presidente dell’Autorità Nazionale Anticorruzione (Anac); Marcello Albergoni, Vice Capo di Gabinetto dell’Agenzia per la Cybersicurezza Nazionale; e Massimo Fedeli, direttore dipartimento dell’Istituto Nazionale di Statistica.

Come portare, dentro il modo di operare della PA, i principi della privacy by design e by default?

Il Convegno ha sottolineato come nella scelta di tali misure deve tenere conto:

  • dello stato dell’arte (i progressi tecnologici disponibili sul mercato);
  • dei costi di attuazione (si richiede una proporzionalità al rischio);
  • della natura, l’ambito di applicazione, il contesto e le finalità del trattamento;
  • dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento;
  • del tempo.

Diritto di Internet e protezione dei Dati: volumi e corsi di formazione per i professionisti della security

Per informarti sui temi della protezione dei dati sul web, InSic suggerisce fra i libri di EPC Editore in materia di Security e Privacy, i seguenti titoli:

Il sistema integrato per la SICUREZZA delle INFORMAZIONI ed il GDPR, EPC Editore, marzo 2021, Castroreale Renato, Ponti Chiara

Il sistema integrato per la SICUREZZA delle INFORMAZIONI ed il GDPR

Castroreale Renato, Ponti Chiara

Libro

Edizione: marzo 2021

Pagine: 384

Formato: 150×210 mm

Le nuove disposizioni nazionali sulla protezione dei dati personali, EPC Editore, novembre 2018, Iaselli Michele

Le nuove disposizioni nazionali sulla protezione dei dati personali

Iaselli Michele

Libro

Edizione: novembre 2018

Pagine: 136

Formato: 170×240 mm

La protezione dei dati nella piccola e media impresa, EPC Editore, novembre 2018 (II ed.), Biasiotti Adalberto

La protezione dei dati nella piccola e media impresa

Biasiotti Adalberto

Libro

Edizione: novembre 2018 (II ed.)

Pagine: 352

Formato: 150×210 mm

€ 23,75

Il nuovo regolamento europeo sulla protezione dei dati, EPC Editore, novembre 2018 (IV ed.), Biasiotti Adalberto

Il nuovo regolamento europeo sulla protezione dei dati

Biasiotti Adalberto

Libro

Edizione: novembre 2018 (IV ed.)

Pagine: 1072

Formato: 170×240 mm

KIT PROTEZIONE DEI DATI: libro + corso di formazione + informazione per gli incaricati, EPC Editore, 2018,

KIT PROTEZIONE DEI DATI: libro + corso di formazione + informazione per gli incaricati

Libro

Edizione: 2018

Pagine: per un totale di 1.300 pagine

Formato: volumi in brossura

formazione videconferenza

InSic suggerisce fra i Corsi a catalogo in materia di Security, I.C.T. e Privacy il segue corso:

Valutazione e applicazione delle sanzioni nel Regolamento europeo per la protezione dei dati

Valido come Aggiornamento per il mantenimento delle Certificazioni “DPO” e “Professionista della security aziendale” rilasciate da ICMQ/CERSA – 8 crediti formativi
INFORMA- Roma

Una squadra di professionisti editoriali ed esperti nelle tematiche della salute e sicurezza sul lavoro, prevenzione incendi, tutela dell’ambiente, edilizia, security e privacy. Da oltre 20 anni alla guida del canale di informazione online di EPC Editore

Redazione InSic

Una squadra di professionisti editoriali ed esperti nelle tematiche della salute e sicurezza sul lavoro, prevenzione incendi, tutela dell'ambiente, edilizia, security e privacy. Da oltre 20 anni alla guida del canale di informazione online di EPC Editore