Con l’entrata in vigore del nuovo regolamento sulla privacy 2016/679 (General Data Protection Regulation) si impongono alle imprese diversi adempimenti che prevedono, se in difetto, delle sanzioni. Il termine ultimo per allinearsi è il 25 maggio 2018. Il regolamento europeo per la protezione dei dati personali impone al titolare del trattamento, l’adozione di misure tecniche ed organizzative adeguate al fine di tutelare i dati dai trattamenti illeciti. L’art.25, in particolare, introduce il principio di privacy by design e privacy by default, un approccio concettuale innovativo che impone alle aziende l’obbligo di avviare un progetto prevedendo, fin da subito, gli strumenti di tutela dei dati personali, per essere “compliance” con il GDPR.
Alla base del concetto di “Privacy by design”, si basa un sistema atto a prevenire e non a correggere. Si deve attuare tutti quei comportamenti in fase di progettazione del sistema che vadano a garantire la riservatezza. Per questo si parla di privacy in corporata nel progetto e di privacy come impostazione di default. Il tutto con la massima funzionalità, in materia da rispettare tutte le esigenze (rifiutando le false dicotomie quali più privacy uguale meno sicurezza).
Il “Privacy by design” è un concetto proveniente dalla scuola americana e dal Canada, adottato per la prima volta nel corso della 32° Conferenza mondiale dei garanti della privacy. La definizione fu coniata da Ann Cavoukian, Privacy Commissioner dell’Ontario (Canada). I principi di riferimento sono: sicurezza durante tutto il ciclo del prodotto o servizio e trasparenza e centralità dell’utente.
La distinzione definitiva che viene fatta tra “privacy by design” e “privacy by default” è che con il concetto di privacy by design si intende “la necessità di tutelare il dato sin dalla progettazione dei sistemi informatici che ne prevedono l’utilizzo”. Con la locuzione privacy by default si intende “la tutela della vita privata per impostazione predefinita”.
Il sistema di tutela dei dati personali deve porre al centro dell’attenzione l’utente, in tal modo obbligando ad una tutela effettiva da un punto di vista sostanziale, non solo formale, cioè non è sufficiente la progettazione del sistema che sia conforme alla norma se poi l’utente non è tutelato. Il tutto è previsto e regolamentato dagli art. 25, 75, 76 del regolamento sopra citato.
Una menzione particolare im ambito GDPR, anche da un punto di vista tecnologico, la merita la PIA (Privacy Impact Analysis), la valutazione d’impatto sulla protezione dei dati personali, un processo codificato e strutturato in fasi che è parte integrante del modello Privacy by Design. Uno strumento utile affinchè le potenziali criticità siano identificate nelle fasi iniziali del progetto. Serve ad un’organizzazione per vedere i benefici attesi; per effettuare domande mirate di screening; per dimensionare le risorse; per identificare e ridurre il rischio; per estrapolare descrizione dei flussi di informazioni e coinvolgimento dei partecipanti; per l’identificazione dei rischi; per l’individuazione delle soluzioni e delle misure. Dunque vi è l’approvazione delle decisioni e la registrazione dei risultati ad integrazione dei risultati del PIA nel piano di processo.
La normativa è complessa, si tratta di intervenire a livello di tecnologie, di processi e di risorse umane (nomina di ruoli), pertanto tutte le imprese dovranno prendere coscienza e ove necessario avvalersi di esperti.
