Il concetto di privacy by default e privacy by design è regolamentato dal GDPR:
Art. 25 – Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita
Cerchiamo di capire insieme di cosa si tratta.
Privacy by Design: protezione dei dati fin dalla progettazione
Il comma 1 dell’articolo 25 impone alle aziende di considerare la privacy fin dalle fasi iniziali della progettazione e durante l’intero processo di sviluppo di nuovi prodotti, processi o servizi che comportino l’elaborazione di dati personali. In buona sostanza l’azienda deve domandarsi fin dall’inizio quali dati personali intende usare, per quale scopo e come.
Esempi di applicazione della Privacy by Design sono la pseudonimizzazione (procedimento in base al quale i dati personali oggetto di trattamento non possono essere attribuiti a un interessato senza la combinazione con altre informazioni) e la crittografia (codifica dei messaggi in modo che solo le persone autorizzate possano leggerli).
Per incorporare la protezione dei dati in fase di progettazione è utile preparare una DPIA (PIA), anche nel caso in cui non fosse obbligatoria (talvolta lo è).
Preparare una DPIA: valutazione di impatto sulla protezione dei dati
Sul sito del Garante è prevista una serie di linee guida per procedere nella stesura della DPIA (o PIA), una procedura che mira a descrivere un trattamento di dati per valutarne la necessità e la proporzionalità, nonché i relativi rischi, allo scopo di approntare misure idonee ad affrontarli. Una DPIA può riguardare uno o più trattamenti che presentano analogie in termini di natura, ambito, contesto, finalità e rischi.
L’applicazione della “protezione dei dati fin dalla progettazione” renderà più efficiente il processo di sviluppo: sapere esattamente di quali dati avremo bisogno renderà più snelle e di semplice applicazione tutte le procedure di trattamento e protezione.
Privacy by Default: protezione dei dati per impostazione predefinita
Quando un sistema o un servizio include la scelta per l’individuo su quanti dati personali condividere, le impostazioni predefinite dovrebbero essere il più possibile rispettose della sua privacy, dovrebbero cioè garantire di trattare solo i dati personali necessari per ogni specifica finalità del trattamento.
La raccolta delle informazioni personali deve essere corretta, lecita e limitata a quanto necessario per gli scopi specificati. La progettazione di programmi, tecnologie dell’informazione e della comunicazione, dovrebbe iniziare con interazioni non identificabili, come impostazione predefinita. Ove possibile, l’identificazione, l’osservazione e la possibilità di collegare informazioni personali, dovrebbero essere ridotte al minimo.
Esempio di applicazione di Privacy by Default: in seguito all’iscrizione a un social network, l’accesso ai dati presenti nel nostro profilo, per impostazione predefinita, dovrebbe essere limitato a un numero definito di persone e dovrebbe mostrare solo i dati strettamente necessari, come nome e cognome, e non età, posizione o interessi personali.
Per riassumere: la Privacy deve essere affrontata attraverso misure proattive, e non solo in risposta a violazioni o imposizioni e un buon modo per farlo è pensare alla protezione dei dati fin dall’inizio del ciclo di vita di un prodotto/servizio, in fase di progettazione. Applicare Privacy by Design e Privacy by Default è semplicemente una buona idea.
Se sei interessato a saperne di più non esitare a contattarci!