Il concetto di privacy by design parte dal presupposto che la tutela dei dati personali debba essere pianificata e incorporata nei processi aziendali già in fase di progettazione dei processi aziendali e organizzativi. Ma cosa si intende per privacy by design e cosa devono fare le imprese per rispettare questo principio?
Nell'articolo
Cos’è la Privacy by design?
Il concetto di privacy by design (coniato da Ann Cavoukian, Privacy Commissioner dell’Ontario) risale al 2010 ed è emerso in una risoluzione pubblicata nel corso della 32°Conferenza mondiale dei Garanti Privacy.
Il principio della privacy by design, che potrebbe tradursi come un invito a garantire la “Privacy per impostazione predefinita”, richiede di:
- prevenire non correggere, cioè i problemi vanno valutati nella fase di progettazione, e l’applicativo deve prevenire il verificarsi dei rischi;
- privacy come impostazione di default (ad esempio, non deve essere obbligatorio compilare un campo di un form il cui conferimento di dati è facoltativo);
- privacy incorporata nel progetto (ad esempio, l’utilizzo di tecniche di pseudonimizzazione o minimizzazione dei dati);
- massima funzionalità, in maniera da rispettare tutte le esigenze (rifiutando le false dicotomie quali più privacy = meno sicurezza);
- sicurezza durante tutto il ciclo del prodotto o servizio;
- visibilità e trasparenza del trattamento, cioè tutte le fasi operative devono essere trasparenti in modo che sia verificabile la tutela dei dati;
- centralità dell’utente, quindi rispetto dei diritti, tempestive e chiare risposte alle sue richieste di accesso.
Tale Principio si intreccia inevitabilmente con il Regolamento europeo sulla protezione dei dati 2016/679, trova la sua espressione nell’art. 25 che impone al Titolare, prima ancora di porre in essere un trattamento di dati personali, di fare una valutazione dei rischi e di implementare misure tecniche ed organizzative adeguate, idonee da un punto di vista sostanziale e non solo formale, ad attuare i principi di protezione dei dati personali in maniera efficace ed effettiva.
Privacy by design: protezione dei dati al centro delle strategie
Il concetto di privacy by design parte dal presupposto che la tutela dei dati personali debba essere pianificata e incorporata nei processi aziendali già in fase di progettazione dei processi aziendali e organizzativi.
In altre parole, il titolare del trattamento non può limitarsi a introdurre misure di sicurezza o di governance ex post, ma deve garantire che la protezione dei dati sia un requisito fondamentale fin dai primi passaggi di analisi e sviluppo. Questo basilare principio può essere declinato attraverso:
Progettazione proattiva
Bisogna inserire fin da subito meccanismi di sicurezza, protezione e minimizzazione dei dati, per ridurre al minimo i rischi e le vulnerabilità.
Analisi del rischio
Prima di avviare il trattamento, il titolare deve valutare con attenzione i possibili impatti sui diritti e le libertà degli interessati, adottando misure tecniche e organizzative adeguate.
Implementazione continua
La privacy by design non è un’azione isolata, ma un percorso di miglioramento costante, che richiede aggiornamenti periodici e revisioni delle soluzioni adottate, per rispondere alle evoluzioni tecnologiche e normative.
Questa prospettiva proattiva permette di prevenire possibili violazioni o non conformità, ponendo la protezione dei dati al centro delle strategie e delle strutture operative dell’organizzazione.
Privacy by design: cosa devono fare le imprese?
Seguendo il Principio della Privacy by design, le imprese dovrebbero trattare solo i dati personali nella misura necessaria e sufficiente per le finalità previste e per il periodo strettamente necessario a tali fini. Necessario allora progettare il sistema di trattamento di dati garantendo la non eccessività dei dati raccolti. in modo che l’interessato riceva un alto livello di protezione anche se non si attiva per limitare la raccolta dei dati (es. tramite opt out).
Per saperne di più consulta anche i seguenti articoli
Privacy by design, privacy by default e principio di accountability: i pilastri della conformità
Privacy by Default: la protezione dei dati come impostazione predefinita
Il principio di Accountability secondo il Regolamento Privacy
Aggiornati con i volumi di EPC Editore
Una squadra di professionisti editoriali ed esperti nelle tematiche della salute e sicurezza sul lavoro, prevenzione incendi, tutela dell’ambiente, edilizia, security e privacy. Da oltre 20 anni alla guida del canale di informazione online di EPC Editore