Nel nuovo regolamento europeo sulla privacy (GDPR), sono stati introdotti due concetti fondamentali, Privacy by Design e Privacy by Default
che impongono alle aziende l’obbligo di avviare un progetto prevedendo, fin da subito, i rischi che possono incontrare per la tutela dei dati personali e la protezione per impostazione predefinita.
Privacy by Design
L’approccio Privacy by Design non mira a correggere i problemi una volta che si sono manifestati ma è un approccio preventivo: la Privacy deve essere considerata in ogni progetto nelle diverse fasi e deve essere parte integrante delle funzionalità del Sistema.
Lo European Data Protection Board (EDPB) ha chiarito che l’integrazione di misure tecniche e organizzative (tra cui la Data Protection Impact Assessment, la pseudonimizzazione e la crittografia) nelle attività di trattamento dei dati da parte delle aziende, è necessaria per una corretta applicazione dei principi di protezione dei dati e al fine di evitare sanzioni da parte delle Autorità di controllo.
Privacy by Default
Nella Privacy by Default si deve stabilire che la Privacy sia di Default protetta per impostazione predefinita, senza che l’Interessato debba esercitare azioni correttive o configurazioni specifiche, per finalità previste e per il periodo strettamente necessario al raggiungimento di tali finalità. Si tratta quindi di un principio strettamente connesso ai fondamentali principi di minimizzazione dei dati e di limitazione della finalità.
Come riportato nelle linee guida dall’ICO (Information Commissioner’s Office), autorità di controllo inglese, il titolare del trattamento, nel valutare le circostanze del trattamento e i rischi collegati, deve considerare elementi quali:
- l’adozione di un approccio “privacy first” nello sviluppo di sistemi, applicazioni e soluzioni;
- evitare il trattamento di dati “ulteriori”, a meno che sia l’interessato a decidere che ciò possa avvenire;
- assicurarsi che i dati trattati non vengano resi accessibili a un numero indefinito di persone;
- fornire agli interessati opzioni sufficienti per l’esercizio dei loro diritti.
Il nostro approccio alla protezione del dato prevede di intervenire già in fase di progettazione dei sistemi, delle applicazioni, dei software, continuando a presidiare tutto il ciclo di vita del dato mediante l’implementazione di misure di sicurezza idonee.