Il General Data Protection Regulation (GDPR) ha introdotto molti cambiamenti nel modo in cui le aziende e gli enti pubblici pensano alla privacy. Uno di questi modi è la decisione di codificare il concetto di “Privacy by Design” (PbD) nella legge attraverso l’articolo 25.
Purtroppo, a differenza di gran parte del GDPR, il concetto di Privacy by Design è abbastanza ben studiato.
Cos’è la Privacy by Design, perché il GDPR la richiede, e come puoi implementare la PbD nella tua azienda? Troverai le risposte e le liste di controllo per aiutarti lungo il percorso.
Hai bisogno di una Privacy Policy? Il nostro generatore di norme sulla privacy ti aiuterà a creare una politica personalizzata che potrai utilizzare sul tuo sito web e sulla tua app per dispositivi mobili. Basta seguire questi pochi semplici passi:
- Clicca su “Inizia a creare la tua Privacy Policy” sul nostro sito web.
- Seleziona le piattaforme dove la tua Privacy Policy sarà usata e vai al passo successivo.
- Aggiungi informazioni sulla tua attività: il tuo sito web e/o la tua app.
- Seleziona il paese:
- Rispondi alle domande della nostra procedura guidata relative al tipo di informazioni che raccogli dai tuoi utenti.
-
Inserisci il tuo indirizzo e-mail a cui vorresti inviare la tua Privacy Policy e clicca su “Genera”.
E hai finito! Ora puoi copiare o linkare la tua Privacy Policy ospitata.
- Che cos’è la Privacy by Design?
- I 7 principi della Privacy by Design
- Privacy by Design: Per chi è?
- Cosa succede se il GDPR non si applica alla mia azienda?
- Come implementare la Privacy by Design: Article 25 Checklists
- Lista di controllo dei sistemi
- Lista di controllo dei processi
- Lista di controllo della gestione dei rischi
- Privacy by Design è una best practice
Che cos’è la Privacy by Design?
La spiegazione più elementare della Privacy by Design è poco più di “protezione dei dati attraverso il design della tecnologia”.
In sostanza, significa che è necessario integrare la protezione dei dati e le caratteristiche della privacy nella progettazione del sistema, nelle pratiche e nelle procedure. Non dovrebbe essere un ripensamento o un supplemento ai vostri processi o infrastrutture.
Un modo per descriverlo è delineare cosa non è il Privacy by Design. Per esempio, se sei un individuo che naviga in internet, non importa se usi una VPN e un firewall per proteggere il tuo computer se usi anche la password: “password123” su ogni singolo account. Una VPN non compenserà il tuo uso di password deboli. È necessario integrare la privacy ad ogni livello e poi si possono aggiungere funzioni di sicurezza extra come una VPN.
Cosa significa questo in pratica per le aziende? Alcuni esempi di Privacy by Design includono:
- Condurre un Data Protection Impact Assessment (DPIA) prima di usare le informazioni personali in qualsiasi modo
- Fornire i dettagli di contatto del tuo Data Protection Officer (DPO) o di un’altra parte responsabile
- Scrivere una Privacy Policy che sia facile da leggere e aggiornata
Anche se, la Privacy by Design va molto oltre e ha un impatto su quasi ogni area del tuo uso tecnologico e del trattamento dati. Questi esempi dimostrano semplicemente alcuni dei modi in cui puoi ingegnerizzare la privacy nei tuoi processi.
I 7 principi della Privacy by Design
Ci sono sette principi nel concetto di Privacy by Design e ognuno è importante quanto l’altro. Questi principi sono:
- Proattivo non reattivo/Preventivo non correttivo
- Privacy come default
- Privacy incorporata nel design
- Funzionalità completa
- Sicurezza finaleto-End Security
- Visibilità e trasparenza
- Rispetto per la privacy degli utenti
Partiamo dal principio 1: Proattivo non reattivo/Preventivo non correttivo.
Il primo principio sostiene che la privacy dei dati deve essere presente all’inizio del processo di pianificazione. Se la vostra pratica di sicurezza consiste nello spegnere gli incendi e affrontare le violazioni, allora siete reattivi. Stabilisce il cuore filosofico del resto dei principi.
Il principio 2 La privacy come impostazione predefinita è forse il principio più difficile da comprendere per le aziende. Esso sostiene che la privacy deve essere al primo posto in quello che si fa. Questo significa limitare la condivisione, usare la minimizzazione dei dati, cancellare i dati che non si usano più, e operare sempre su una base legale. Significa anche usare funzioni di opt-in e opt-out e salvaguardie per i dati dei consumatori.
Nel principio 3, l’idea è che la privacy deve trovare una casa nel design o sia nell’architettura che nel business. In altre parole, la privacy è una funzionalità centrale del prodotto. Dovreste usare la crittografia, l’autenticazione e testare le vulnerabilità su base regolare. Non importa se il vostro processo funziona come dovrebbe; ha un difetto di progettazione se c’è una vulnerabilità di sicurezza.
Il principio 4 stabilisce che non c’è motivo di avere paura della Privacy by Design. Se state sacrificando la funzionalità per la privacy, allora lo state facendo male. È più di un cambiamento culturale che richiede un equilibrio tra crescita e sicurezza.
Nel principio della sicurezza end-to-end (#5), c’è un argomento che la protezione della privacy segue i dati attraverso il ciclo di vita dalla raccolta alla cancellazione/archiviazione. La crittografia e l’autenticazione sono lo standard in ogni fase, ma è necessario andare oltre in altre fasi. Per esempio, si dovrebbero raccogliere solo i dati di cui si ha bisogno e per i quali si ha una base legale. E quando hai finito con i dati, dovresti usare metodi di cancellazione/distruzione conformi al GDPR per una protezione end-to-end.
Nel penultimo principio 6 Visibilità e trasparenza, si impara che la privacy non è solo per il bene della privacy. Gli interessati dovrebbero conoscere le vostre pratiche di privacy (e di trattamento) e dovreste condividerle apertamente. Il principio sostiene la necessità di una politica sulla privacy ben scritta, che è essenziale se si rientra nella giurisdizione del GDPR o di un’altra legge come la CalOPPA, comunque. Sostiene anche che ci deve essere un meccanismo per gli interessati per esprimere le loro lamentele, fare domande e chiedere modifiche.
Infine, il principio 7 sostiene che tutto deve rimanere incentrato sull’utente. Significa riconoscere che anche se avete i dati, essi appartengono al consumatore da cui li avete raccolti. Il soggetto dei dati può concedere e ritirare il suo consenso per l’uso dei suoi dati, non il contrario.
Privacy by Design: Per chi è?
Privacy by Design è per tutti, ma è particolarmente importante per la tua azienda se sei un responsabile del trattamento dei dati che rientra nell’ambito del GDPR.
Il GDPR abbraccia e nomina la Privacy by Design nell’articolo 25. Tuttavia, la legislazione non nomina le misure esatte da adottare oltre a caratteristiche come la pseudonimizzazione o la crittografia e l’anonimizzazione. Invece, il GDPR vuole che le caratteristiche della privacy siano ragionevoli e appropriate sia ai processi che si usano che ai dati che si raccolgono.
L’articolo 25(2) dice esplicitamente:
“Il responsabile del trattamento dovrebbe attuare misure tecniche e organizzative appropriate per garantire che, di default, siano trattati solo i dati personali che sono necessari per ogni scopo specifico del trattamento.”
L’articolo 25 fa poi riferimento all’articolo 42 e descrive le misure di certificazione per ulteriore chiarezza sulla conformità.
Al momento della pubblicazione, il GDPR non includeva chiarezza su quali sarebbero state le misure di certificazione e chi sono gli enti certificatori. Nel febbraio 2019, la Commissione europea ha pubblicato lo studio sugli articoli 42 e 43 (organismi di certificazione). Puoi leggere il rapporto completo qui.
Cosa succede se il GDPR non si applica alla mia azienda?
Anche se non dovrai o non dovrai conformarti al GDPR, la Privacy by Design è ancora una buona idea per la tua azienda.
Implementare la Privacy by Design riflette la comprensione del valore delle informazioni personali sia per la tua azienda che per i tuoi clienti. Riconosce che la privacy e il controllo personale sui dati è una libertà importante, ed è una libertà che la legge non solo riflette sempre di più, ma anche che è necessario sostenere da soli all’interno del mercato.
Se pensate che la gente non sia così preoccupata della privacy dei consumatori, ripensateci. Un sondaggio condotto da ExpressVPN ha rilevato che il 71% delle persone è preoccupato per i modi in cui i commercianti raccolgono e utilizzano i loro dati.
E il 68% degli utenti Internet americani ha dichiarato che sosterrebbe una regolamentazione simile al GDPR negli Stati Uniti.
Affrontare la privacy da una prospettiva di pensiero progettuale assicura che sia parte integrante delle vostre operazioni dalla pianificazione all’esecuzione. Ti permette di rendere il tuo business a prova di futuro sia dal punto di vista dei clienti che delle normative.
Come implementare la Privacy by Design: Article 25 Checklists
L’articolo 25 è notoriamente vago, ma la completezza è comunque importante sia per la protezione dalle minacce che dalle multe del GDPR. Sia che tu gestisca un sito web, un’app o un prodotto SaaS, la Privacy by Design deve avvenire:
- In fase di progettazione
- Durante tutto il suo ciclo di vita
- Tra l’impegno end-to-end
- Dopo l’impegno
- Dopo che il tuo sito/app viene chiuso
Il GDPR chiede “misure tecniche e organizzative” come crittografia e pseudonimizzazione, ma questo non è l’inizio e la fine della Privacy by Design. Purtroppo, il GDPR stesso non fornisce una lista di controllo. È necessario porre le proprie domande e fornire le proprie risposte con poche indicazioni dalla legge o dai suoi considerando.
Un modo utile per suddividere l’implementazione della Privacy by Design è quello di seguirla in tre parti: sistemi, processi e gestione del rischio.
Lista di controllo dei sistemi
Privacy by Design inizia con i sistemi esistenti. Poiché inizia dall’alto, è lì che inizia la vostra lista.
Per incorporare la privacy nei vostri sistemi, dovreste iniziare con i seguenti punti (come minimo):
- Avere un impegno organizzativo documentato per gli standard di protezione dei dati (anche nella cultura aziendale, nelle pratiche commerciali e nei servizi commerciali)
- Nominare un responsabile della protezione dei dati (DPO) se applicabile, o utilizzando un consulente per la protezione dei dati (casi non-GDPR)
- Stabilire un quadro di protezione dei dati (compresa la crittografia e l’anonimizzazione)
- Creare e documentare un sistema di registrazione delle attività di trattamento
- Identificare un sistema di gestione dei rischi (compresa la gestione della conformità)
- Aggiornare la formazione sulla privacy per i dipendenti che trattano i dati personali (sia per i clienti che per altri dipendenti)
- Usare l’autovalutazione per verificare e monitorare l’implementazione dei sistemi documentati di cui sopra
- Stabilire le misure di sicurezza utilizzate per evitare incidenti e violazioni
Seguendo questa lista di controllo, sarete meglio preparati a progettare i vostri processi di dati.
Lista di controllo dei processi
Il fulcro del vostro lavoro sulla Privacy by Design e sulla conformità al GDPR si trova nella sezione dei processi, ma non funziona senza prima iniziare dai vostri sistemi.
Le voci della vostra lista includono:
- Assegnare le responsabilità di gatekeeping (IT, legale, approvvigionamento, ecc.)
- Identificare i rischi per la privacy in tutti i vostri processi
- Documentare il trattamento dei dati (utilizzando il sistema di registrazione progettato nella Lista di controllo dei sistemi)
- Utilizzare le DPIA, le valutazioni di rischio e di conformità prima di raccogliere i dati per l’uso o la conservazione
- Aggiungere controlli sulla privacy, come un Privacy Center, che permettono agli interessati di accedere ai loro dati personali alle loro condizioni
- Implementando le misure della lista di controllo dei sistemi di cui sopra
Lista di controllo della gestione dei rischi
Anche se si costruisce la privacy nella progettazione del processo, è comunque necessario gestire i rischi durante il ciclo di vita dei dati. La gestione dei rischi inizia a livello dei sistemi e prosegue nell’elaborazione.
Dovresti essere in grado di:
- Descrivere lo scopo del trattamento (base legale)
- Identificare le misure che impediscono il trattamento dei dati per scopi diversi da quelli sopra indicati
- Monitorare le misure di minimizzazione dei dati e implementare controlli adeguati (ulteriore minimizzazione, anonimizzazione, e pseudonimizzazione)
- Identificare le misure utilizzate per garantire l’accuratezza dei dati
- Nominare e documentare le persone e i team con accesso ai dati
- Segnalare i controlli per l’accesso ai dati
- Creare accordi di trattamento dei dati (DPA) e rivederli con ogni terzo
- Monitorare le pratiche di sicurezza implementate
- Identificare la fonte delle informazioni e degli avvisi agli interessati sul trattamento dei dati
- Segnalare il processo seguito in caso di violazioni della sicurezza e dei dati (seguendo le regole di notifica del GDPR)
- Implementare le misure di entrambe le liste di controllo dei sistemi e dei processi sopra
Ricordare i principi dell’articolo 25 del GDPR quando si applicano le liste di controllo.
L’articolo 25(1) include i seguenti obblighi e limitazioni da tenere in considerazione:
- Stato dell’arte (ricordate che questo cambia)
- Costo di attuazione
- Natura, ambito, contesto e finalità del trattamento
- Rischi di varia probabilità e gravità per i diritti e le libertà delle persone fisiche
- Misure tecniche e organizzative adeguate
Tutti questi elementi contribuiscono alle migliori pratiche per la Privacy by Design senza renderla irraggiungibile per le PMI e per chi non partecipa ad attività di trattamento che comportano rischi significativi.
In altre parole, non è necessario spendere milioni in un sistema di sicurezza per raccogliere solo indirizzi email e inviare una newsletter. La vostra pratica dovrebbe essere appropriata alla natura, alla portata, al contesto, agli scopi e ai rischi dell’invio di una newsletter. Se sei Deutschebank, allora è un’altra storia.
Privacy by Design è una best practice
A prescindere dalla necessità o meno di conformarsi al GDPR, Privacy by Design è ora considerata una best practice per tutte le organizzazioni che si impegnano nel trattamento dei dati, non importa quanto grande o piccolo.
Privacy by Design significa considerare la privacy fin dall’inizio di un progetto e integrarla nei sistemi e nelle operazioni. Non è una pratica o uno strumento di sicurezza da aggiungere in seguito. Farlo bene significa incoraggiare una cultura organizzativa dedicata a riconoscere e rispettare il valore dei dati personali sia per la vostra azienda che per i vostri clienti.
Le liste di controllo di cui sopra vi aiuteranno a implementare la Privacy by Design nella vostra azienda. Ma ricordate che il GDPR vuole anche che consideriate questioni come il costo dell’implementazione, la natura e la portata del trattamento, e i rischi che affrontano i vostri clienti se c’è una violazione.
In base al GDPR, la Privacy by Design è raggiungibile per tutte le aziende, quindi non ci sono scuse per non iniziare.