Si è parlato molto di privacy by design e “by default” presso la sede dell’Autorità Garante della Concorrenza e del Mercato il 24 novembre scorso in un incontro tra i responsabili protezione dati delle Autorità amministrative indipendenti.
Che cosa si intende per privacy by design e come si intende tutelare tale principio, che ha nel Regolamento Europeo dei dati personali un richiamo diretto, nel mondo degli appalti pubblici e privati?
Nell'articolo
Cos’è la Privacy by design?
Il concetto di privacy by design (coniato da Ann Cavoukian, Privacy Commissioner dell’Ontario) risale al 2010 ed è emerso in una risoluzione pubblicata nel corso della 32°Conferenza mondiale dei Garanti Privacy.
Il principio della privacy by design che potrebbe tradursi come un invito a garantire la “Privacy per impostazione predefinita” richiede di
- prevenire non correggere, cioè i problemi vanno valutati nella fase di progettazione, e l’applicativo deve prevenire il verificarsi dei rischi;
- privacy come impostazione di default (ad esempio, non deve essere obbligatorio compilare un campo di un form il cui conferimento di dati è facoltativo);
- privacy incorporata nel progetto (ad esempio, l’utilizzo di tecniche di pseudonimizzazione o minimizzazione dei dati);
- massima funzionalità, in maniera da rispettare tutte le esigenze (rifiutando le false dicotomie quali più privacy = meno sicurezza);
- sicurezza durante tutto il ciclo del prodotto o servizio;
- visibilità e trasparenza del trattamento, cioè tutte le fasi operative devono essere trasparenti in modo che sia verificabile la tutela dei dati;
- centralità dell’utente, quindi rispetto dei diritti, tempestive e chiare risposte alle sue richieste di accesso.
Tale Principio si intreccia inevitabilmente con il Regolamento europeo sulla protezione dei dati 2016/679, trova la sua espressione nell’art. 25 che impone al Titolare, prima ancora di porre in essere un trattamento di dati personali, di fare una valutazione dei rischi e di implementare misure tecniche ed organizzative adeguate, idonee da un punto di vista sostanziale e non solo formale, ad attuare i principi di protezione dei dati personali in maniera efficace ed effettiva.
Sull’argomento, l’European Data Protection Board ha pubblicato nel 2019 le Linee guida sulla Data protection by design e by default.
Il Tema era tornato anche nell’ultimo G7 dei Garanti Privacy: in quella occasione il Garante Italiano parlando dei principi della protezione dati, ha fatto riferimento alla “privacy by design” e alla valutazione d’impatto che dovrebbero infatti essere integrati nella progettazione e nel funzionamento delle tecnologie di AI generativa.
Privacy by design: cosa devono fare le imprese?
Seguendo il Principio della Privacy by design, le imprese dovrebbero trattare solo i dati personali nella misura necessaria e sufficiente per le finalità previste e per il periodo strettamente necessario a tali fini. Necessario allora progettare il sistema di trattamento di dati garantendo la non eccessività dei dati raccolti. in modo che l’interessato riceva un alto livello di protezione anche se non si attiva per limitare la raccolta dei dati (es. tramite opt out).
Come attuare la privacy by design e by default nelle Pubblica Amministrazione?
Ha cercato di rispondere alla domanda il Convegno del 24 novembre 2023 al quale hanno partecipato Patrizia Cardillo, coordinatrice del network; Saverio Valentino, Componente dell’Autorità garante della concorrenza e del mercato; Guido Scorza, dell’Autorità Garante per la Protezione dei dati personali; Giuseppe Busìa, Presidente dell’Autorità Nazionale Anticorruzione (Anac); Marcello Albergoni, Vice Capo di Gabinetto dell’Agenzia per la Cybersicurezza Nazionale; e Massimo Fedeli, direttore dipartimento dell’Istituto Nazionale di Statistica.
Come portare, dentro il modo di operare della PA, i principi della privacy by design e by default?
Il Convegno ha sottolineato come nella scelta di tali misure deve tenere conto:
- dello stato dell’arte (i progressi tecnologici disponibili sul mercato);
- dei costi di attuazione (si richiede una proporzionalità al rischio);
- della natura, l’ambito di applicazione, il contesto e le finalità del trattamento;
- dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento;
- del tempo.
Diritto di Internet e protezione dei Dati: volumi e corsi di formazione per i professionisti della security
Per informarti sui temi della protezione dei dati sul web, InSic suggerisce fra i libri di EPC Editore in materia di Security e Privacy, i seguenti titoli:
Il sistema integrato per la SICUREZZA delle INFORMAZIONI ed il GDPR
Castroreale Renato, Ponti Chiara
Libro
Edizione: marzo 2021
Pagine: 384
Formato: 150×210 mm
Le nuove disposizioni nazionali sulla protezione dei dati personali
Iaselli Michele
Libro
Edizione: novembre 2018
Pagine: 136
Formato: 170×240 mm
La protezione dei dati nella piccola e media impresa
Biasiotti Adalberto
Libro
Edizione: novembre 2018 (II ed.)
Pagine: 352
Formato: 150×210 mm
€ 23,75
Il nuovo regolamento europeo sulla protezione dei dati
Biasiotti Adalberto
Libro
Edizione: novembre 2018 (IV ed.)
Pagine: 1072
Formato: 170×240 mm
KIT PROTEZIONE DEI DATI: libro + corso di formazione + informazione per gli incaricati
Libro
Edizione: 2018
Pagine: per un totale di 1.300 pagine
Formato: volumi in brossura
InSic suggerisce fra i Corsi a catalogo in materia di Security, I.C.T. e Privacy il segue corso:
Valutazione e applicazione delle sanzioni nel Regolamento europeo per la protezione dei dati
Valido come Aggiornamento per il mantenimento delle Certificazioni “DPO” e “Professionista della security aziendale” rilasciate da ICMQ/CERSA – 8 crediti formativi
INFORMA- Roma
Una squadra di professionisti editoriali ed esperti nelle tematiche della salute e sicurezza sul lavoro, prevenzione incendi, tutela dell’ambiente, edilizia, security e privacy. Da oltre 20 anni alla guida del canale di informazione online di EPC Editore
