Privacy by design e privacy by default: nuovo codice privacy
Al giorno d’oggi si parla sempre più di privacy, un argomento che tiene banco tra i temi maggiormente discussi dall’opinione pubblica anche perché, molto spesso, rappresenta un’inquietante minaccia per la libertà personale. A cercare di scoraggiare questi timori intervengono figure come il responsabile privacy e il data privacy officer, professioni di cui illustreremo un ideale percorso di formazione, che si occupano di applicare il nuovo codice privacy, contenente le regole sul trattamento e sulla protezione dei dati personali, sia che si parli di privacy by design, che di privacy by default.
Privacy by design, cosa significa?
Alcune delle più rilevanti differenziazioni in tema di privacy sono state introdotte da quello che può essere definito il più importante tra i documenti in materia di trattamento dei dati personali. Si tratta del GDPR, il regolamento generale sulla protezione dei dati, che corrisponde al regolamento dell’Unione Europea numero 679 del 2016.
Tra le novità più importanti c’è sicuramente la definizione di privacy by design. Si tratta di un principio disciplinato dallo stesso regolamento, all’articolo 25, che trova le sue fondamenta essenziali nella prevenzione piuttosto che nell’applicazione successiva. Secondo questo concetto, il sistema di gestione dei dati personali deve prevedere la privacy come impostazione di default, data come condizione da rispettare in maniera scontata e implicita, sia da parte di chi fornisce un servizio, che dalla parte dell’utente finale.
Col principio di privacy by design il trattamento dei dati diventa una caratteristica pienamente implementata in ogni tipo di azienda, che deve garantire sicurezza durante tutto il ciclo del prodotto o servizio, visibilità e trasparenza di tutte le fasi operative di gestione dei dati, e che la persona dell’utente sia il fulcro.
Privacy by design esempi: pseudonimizzazione e minimizzazione dei dati
Nonostante possa sembrare un concetto piuttosto astratto, esistono alcune applicazioni molto concrete del principio di privacy by design, che possano soddisfare il fondamentale assunto per il quale debba essere garantita la protezione dei dati e la protezione degli utenti.
Ad esempio, un’applicazione di questo concetto può essere la pseudonimizzazione, ossia una tecnica che consiste nella conservazione dei dati personali tramite l’impedimento dell’identificazione di un soggetto omettendone alcune informazioni aggiuntive a quelle considerate essenziali. Un’altra tipica tecnica di privacy by design è quella della minimizzazione dei dati, ovvero l’adozione di tutti i principi volti a minimizzare i dati soggetti al trattamento, ma anche a limitare le finalità dello stesso.
Tali tecniche sono enunciate nel già citato articolo 25 del GDPR: “Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso. Il Titolare del trattamento dei dati mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati”.
Che cos’è la privacy by default? Significato dell’espressione
Sebbene i concetti di privacy by design e privacy by default possano lasciar intuire ai meno pratici della materia una differenziazione di tipo dicotomico, si tratta di due espressioni che, in realtà, camminano a braccetto.
Se la privacy by design si compone in maniera precipua di una serie di azioni di carattere preventivo, anche il principio di privacy by default si riferisce a una tipologia di misure volte a fornire all’interessato alcune garanzie fondamentali nell’ambito della quantità e della qualità dei dati oggetto del trattamento. In particolar modo, esso stabilisce che le imprese debbano solo i dati personali nella misura necessaria e sufficiente per le finalità previste e per il periodo strettamente necessario a tali fini.
A stabilire un esatto significato interviene ancora una volta la definizione fornita dall’articolo 25 del regolamento generale sulla protezione dei dati UE 679/2016: “Il Titolare del trattamento dei dati deve assicurarsi di mettere in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità”.
Privacy by design e privacy by default: traduzione e checklist
Sebbene possa sembrare diversamente, la traduzione della terminologia usata dal GDPR, quando questo si esprime utilizzando le diciture ‘privacy by design’ e ‘privacy by default’ fornisce un importante aiuto per quanto riguarda una corretta concettualizzazione del fenomeno.
Dunque, va specificato che ‘privacy by design’ viene tradotto con una cosa simile a “protezione dei dati personali fin dalla progettazione”, ad indicare che qualsiasi ente, impresa od organizzazione, deve includere in qualsiasi processo aziendale nel quale vengono inclusi i dati personali, un adeguato trattamento degli stessi.
Parimenti, occorre inserire anche il concetto di ‘privacy by default’ in un contesto italofono: “protezione dei dati personali garantita ‘per impostazione predefinita’”, definizione che esprime la necessità che venga predisposto un adeguato sistema dedicato al trattamento dei dati personali ancora prima che l’interessato fornisca le proprie informazioni.
Nonostante il GDPR non abbia fornito una vera e propria lista di operazioni da compiere per rispettare pienamente il regolamento, alcune aziende hanno predisposto personali checklist da seguire per adempiere agli obblighi di legge e assicurarsi di essere conformi ai principi che esprime.
Tra i punti chiave vi sono sicuramente la verifica e l’adeguazione di tutte le normative, la designazione di un responsabile per il trattamento dei dati, la redazione di un registro dei trattamenti, l’assicurazione che tutti i soggetti interessati possano accedere ai dati, modificarli e cancellarli, la continua verifica della liceità del trattamento, la determinazione del periodo di conservazione dei dati e della loro quantità, ed altre operazioni volte a mettere al centro la figura dell’interessato del trattamento.
Nuovo codice privacy: cosa cambia, novità su regole privacy
L’avvento di Internet ha portato con sé in dote alcuni importanti cambiamenti nell’ambito della normativa italiana ed europea in merito a diversi argomenti. Una delle branche del diritto (e della sociologia) interessate da una vera e propria rivoluzione è senza dubbio quella legata al trattamento dei dati personali in Rete, e alle figure preposte a tale compito.
Il 25 maggio 2018 ha rappresentato in questo senso una data storica per quanto riguarda il nuovo codice della privacy, definizione forse erronea per indicare quello che non è nient’altro che una versione del GDPR aggiornata all’anno 2018.
Tra le novità apportate alle regole sulla privacy vi è quella del diritto all’oblio dei dati personali, disciplinato dall’articolo 17, che spiega come l’interessato del trattamento abbia “Il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza un ingiustificato ritardo”; parimenti, il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali qualora si verifichino alcune condizioni.
Per quanto riguarda l’articolo 5, invece, sono previsti alcuni principi di grande rilevanza, come quello della responsabilizzazione, che attribuisce direttamente ai titolari del trattamento il compito di assicurare tutti gli altri principi del GDPR.
La nuova versione del regolamento sulla privacy stabilisce inoltre nuove direttive volte a garantire maggiori misure di sicurezza in materia di protezione dei dati personali, il riconoscimento di ampi diritti ai cittadini, l’imposizione alle imprese di grandi responsabilità. Tutte queste operazioni in un’ottica di adeguamento allo sviluppo tecnologico, ma anche alla sempre crescente globalizzazione, per costruire un migliore sistema di protezione dei dati personali al fine di far fronte ai rischi che la modernità comporta.
Responsabile privacy e data privacy officer: la formazione
Le novità normative sull’argomento privacy hanno provocato l’insorgenza di una sempre maggiore necessità di figure professionali come il responsabile della privacy e il data privacy officer. Un’impellenza di questo tipo coinvolge anche le aziende, che devono necessariamente adeguarsi alla nuova normativa in vigore, e compiere tutte le operazioni volte a garantire la protezione dei dati personali degli interessati dei trattamenti.
Acquisire le competenze giuste e le conoscenze aggiornate sulla materia diventa un aspetto imprescindibile per le organizzazioni che vogliano garantire il rispetto dei parametri stabiliti dalla attuale legislazione, e per i professionisti impiegati nell’ambito della privacy.
Un percorso di formazione ideale sulla materia del trattamento dei dati personali è il Master per Giuristi d’Impresa che la Business School Alma Laboris ha appositamente pensato per avvocati, praticanti avvocati, amministratori aziendali, professionisti e laureati in giurisprudenza che vogliano acquisire i mezzi necessari a fronteggiare una realtà nella quale la privacy assume un ruolo sempre più centrale.
Un apposito modulo didattico del Master è interamente dedicato alla trattazione dell’argomento, nell’ambito delle attività di compliance ed internal auditing. Le lezioni saranno tenute da una Faculty formata da professionisti che conferiranno al partecipante le nozioni teoriche e i relativi casi di applicazione legati a questo tema. Il costo del Master prevede alcune agevolazioni per coloro i quali effettuino un’iscrizione anticipata ai corsi.
by
Redazione Business School