Con la formula “privacy by design” si indica il concetto per cui qualsiasi tecnologia informatica immessa sul mercato deve essere realizzata tenendo in considerazione le norme sulla protezione dei dati personali fin dalla fase di progettazione (“by design”, appunto).
Secondo questo principio, adottato ufficialmente nel 2010 durante la 32^ Conferenza mondiale dei Garanti privacy, l’utente è considerato il centro del sistema privacy e qualsiasi processo aziendale che porti allo sviluppo di nuovi software, impianti di videosorveglianza o sistemi automatizzati di trattamento dei dari deve prestare attenzione all’intero ciclo di vita dei dati degli utenti, dalla raccolta alla cancellazione, per garantirne l’esattezza, la riservatezza, l’integrità e la sicurezza.
Si tratta di un approccio metodologico cui le aziende italiane dovranno adeguarsi in via definitiva a partire da maggio 2018, quando entrerà in vigore il Regolamento Europeo sulla Protezione dei Dati Personali: tale provvedimento individua proprio nella “privacy by design” un principio-chiave per responsabilizzare i titolari del trattamento e fare in modo che questi adottino comportamenti a tutela dei diritti e della libertà degli utenti fin dalla fase progettuale, prevenendo quindi l’insorgere di eventuali problematiche.
In particolare le aziende dovranno consultare il Responsabile della protezione dei dati (Data Protection Officer o DPO) fin dalla fase embrionale dello sviluppo di sistemi per il trattamento automatizzato dei dati.
L’analisi condotta permetterà al DPO di suggerire all’azienda quali sono le migliori misure da adottare; nel caso del rilascio di risultati di esami online, occorrerà ad esempio prevedere un tempo limitato di messa a disposizione e la possibilità di informare l’utente in maniera chiara e semplice sulle impostazioni per la privacy.
Misure di Sicurezza
Tra le misure di sicurezza che possono essere introdotte dalle aziende per applicare la “privacy by design” ci sono:
- La pseudonimizzazione, ossia il principio per cui le informazioni di profilazione devono essere conservate in una forma che impedisce l’identificazione dell’utente;
- La cifratura e l’utilizzo di codici identificativi dei dati trattati, per renderli completamente “leggibili” solo in caso di necessità;
- La configurazione di parametri privacy personalizzabili dall’utente;
- La trasparenza dell’informativa sulla modalità di trattamento.
Rischi per le Aziende
Ma che cosa rischia un’azienda del settore IT che non rispetti questo principio a partire da maggio 2018?
Il mancato adeguamento comporterà il rischio di essere sanzionati dall’autorità amministrativa: sono previste sanzioni pecuniarie fino a € 10.000.000 o fino al 2% del fatturato totale annuo dell’esercizio precedente dell’azienda.
Inoltre le aziende interessate ad acquistare un’applicazione, un prodotto o un servizio per il trattamento automatizzato dei dati dovrebbero assicurarsi fin dal momento dell’acquisto che sia stato rispettato il principio della “privacy by design”: in questo modo eviteranno di dover ricorrere in futuro a investimenti importanti (anche di migliaia di euro) per l’adeguamento alle normative in materia di privacy.
È il caso, ad esempio, delle aziende e degli enti locali che intendono installare sistemi di videosorveglianza: l’uso di tecnologie non conformi alla “privacy by design” può esporre a una serie di problematiche, dall’impossibilità di utilizzare le immagini raccolte fino alla sanzione amministrativa.
Approfondisci il tema GDPR e nuovo regolamento europeo.