Il Regolamento europeo per la protezione dei dati personali impone al titolare del trattamento l’adozione di misure tecniche ed organizzative adeguate al fine di tutelare i dati da trattamenti illeciti.
L’articolo 25, in particolare, introduce il principio di privacy by design e privacy by default, un approccio concettuale innovativo che impone alle aziende l’obbligo di avviare un progetto prevedendo gli strumenti e le corrette impostazioni a tutela dei dati personali.
PRIVACY BY DESIGN
Il concetto di privacy by design risale al 2010, già presente negli Usa e Canada.
Di seguito riportiamo i punti chiave:
- prevenire non correggere, cioè i problemi vanno valutati nella fase di progettazione, e l’applicativo deve prevenire il verificarsi dei rischi;
- privacy come impostazione di default (ad esempio, non deve essere obbligatorio compilare un campo di un form il cui conferimento di dati è facoltativo);
- privacy incorporata nel progetto (ad esempio, l’utilizzo di tecniche di pseudonimizzazione o minimizzazione dei dati);
- massima funzionalità, in maniera da rispettare tutte le esigenze (rifiutando le false dicotomie quali più privacy = meno sicurezza);
- sicurezza durante tutto il ciclo del prodotto o servizio;
- visibilità e trasparenza del trattamento, cioè tutte le fasi operative devono essere trasparenti in modo che sia verificabile la tutela dei dati;
- centralità dell’utente, quindi rispetto dei diritti, tempestive e chiare risposte alle sue richieste di accesso.
Quindi, il sistema di tutela dei dati personali deve porre l’utente al centro avendo una tutela effettiva da un punto sostanziale, non solo formale. Infatti, non è sufficiente che la progettazione dei sistema sia conforme alla norma se poi l’utente non è tutelato.
L’obbligo di privacy by design è basato sulla valutazione del rischio, per cui le aziende devono valutare il rischio inerente alle loro attività. Tale valutazione è fatta al momento della progettazione del sistema, quindi prima che il trattamento inizi. Ovviamente, a seconda dei dati trattati gli obblighi possono essere più o meno rigorosi (per esempio nel caso di dati di un minore).
L’utilizzo di software e applicativi di aziende terze comporta che sia l’azienda terza a dover sviluppare le valutazioni del rischio dell’uso dell’applicativo in conformità al regolamento. Questa valutazione va poi documentata al titolare del trattamento.
PRIVAC BY DEFAULT
Il principio di privacy by default (protezione per impostazione predefinita) prevede, appunto, che per impostazione predefinita le imprese dovrebbero trattare solo i dati personali nella misura necessaria e sufficiente per le finalità previste e per il periodo strettamente necessario a tali fini. Occorre, quindi, progettare il sistema di trattamento di dati garantendo la non eccessività dei dati raccolti. in modo che l’interessato riceva un alto livello di protezione anche se non si attiva per limitare la raccolta dei dati (es. tramite opt out).
L’introduzione di tali due principi obbliga, ovviamente, le imprese a predisporre una valutazione di impatto privacy ogni volta che il trattamento di dati operato dal prodotto o dal servizio dovrebbe comportare rischi elevati per la privacy delle persone o rientrare nelle categorie per le quali è richiesto il PIA ai sensi del GDPR.
L’area GDPRConforma è a tua completa disposizione per poter attivare il servizio GDPR NO STRESS con le sue varie opzioni: Implementazione; Formazione; Verifica; Mantenimento PRODOTTO/WEB/DIPENDENTI/ASSOCIAZIONI
Contattaci per maggiori informazioni.
Controlla ed eleva la tua azienda salvaguardandoti da sanzioni.
TI É PIACIUTA QUESTA NEWS?
ISCRIVITI ALLA NOSTRA NEWSLETTER E RESTA SEMPRE AGGIORNATO