Prepararsi al GDPR: Privacy by design e by default o per impostazione predefinita

L’articolo 25 del GDPR, dedicato ai concetti di Privacy by design e by default, stabilisce che:

“(…)sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati. … Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento …”

 Come ottengo la conformità?

Come per qualsiasi nuova regolamentazione, la norma è aperta a più interpretazioni. Quello che sappiamo è che, in misura variabile, le misure tecniche per proteggere la privacy devono essere incorporate nella progettazione dei sistemi informatici e applicativi. L’avvertenza sulla “privacy by default” impone inoltre che solo la quantità minima necessaria di dati personali debba essere elaborata e / o conservata.

Laddove la tua azienda utilizza software di vecchia data, sarà necessaria una revisione dei processi / sistemi attuali. Tutti i processi di raccolta ed elaborazione dati dovrebbero, infatti, essere riesaminati alla luce del regolamento.

Ecco alcuni suggerimenti per iniziare:

Nomina un Responsabile della protezione dei dati o un consulente: in base al GDPR, le imprese che operano trattamenti di dati personali devono nominare un Responsabile della protezione dei dati, che deve disporre di “conoscenza approfondita delle leggi e delle prassi in materia di protezione dei dati”. Anche le aziende che non sono obbligate alla nomina, possono comunque nominare un RPD, o comunque un consulente legale, per essere assistite nella gestione dei dati personali e per una consulenza specifica in tema di privacy. Il responsabile della protezione dei dati può fornire delle direttive per adeguarsi al GDPR e favorire l’impostazione “privacy by design e by default” dell’infrastruttura IT, dei processi delle risorse umane e dell’organizzazione del gruppo. Un RPD deve interfacciarsi con il personale interno, incluso il consiglio di amministrazione, e favorire la conformità dei processi al Regolamento europeo.

Porta tutti i tuoi team sulla stessa linea: i tuoi team di sicurezza e ingegneristici dovrebbero collaborare per esaminare la raccolta di dati esistenti, controllare i flussi di lavoro e le policy di archiviazione / gestione; per garantire che siano in atto processi di progettazione in grado di soddisfare i requisiti del GDPR.

Dimostrare la conformità: in base al GDPR, dimostrare la conformità è importante quanto l’aderenza stessa alle normative. Una valutazione dell’impatto sulla privacy (Privacy Impact Assessment o PIA) di vari sistemi è uno strumento efficace di controllo e di garanzia, e può essere affidato come incarico al Responsabile della protezione dei dati (RPD). Può anche essere usato per guidare le decisioni future sul design e la progettazione di nuovi prodotti/servizi.

Verifica accordi con i fornitori: ratifica i tuoi accordi con terzi, fornitori e gestori dei dati per verificare che la raccolta e l’elaborazione dei dati siano minime e sicure.

Elio Errichiello

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *