Privacy by design: la guida per definire un processo

Posted onAuthorStefano BendandiLeave a comment

privacy by design guida per definire un processo
Photo courtesy Pixabay

La privacy by design è uno dei principi fondamentali della normativa sulla protezione dei dati personali (art. 25 del Reg. UE 679/2016 – “RGPD”). Non è una novità perchè se ne parla ormai da tempo.

L’espressione richiama la necessità di garantire una protezione dei dati personali adeguata ed efficace. Fin dalle prime fasi della progettazione di un trattamento e durante il suo intero ciclo di vita.

Non importa se il trattamento sia realizzato attraverso un prodotto, un software, un progetto, ecc. Ciò che conta è che il titolare intenda trattare dati personali per raggiungere un obiettivo specifico.

1. Privacy by design: a chi si rivolge

La norma (art. 25, comma 1 RGPD) prevede un obbligo per tutti i titolari di trattamento di adottare misure e garanzie per:

  1. applicare in modo efficace i principi di protezione dei dati (art. 5 RGPD);
  2. soddisfare i requisiti normativi del RGPD;
  3. tutelare i diritti degli interessati (art. 15 – 22 RGPD);

L’obbligo non riguarda direttamente i produttori, cioè le terze parti che progettano e sviluppano prodotti, servizi ed applicazioni basati sul trattamento dei dati personali.

Tuttavia, l’RGPD raccomanda che il diritto alla protezione dei dati personali diventi un obiettivo anche per le terze parti. E che queste si attengano allo stato dell’arte durante la progettazione e lo sviluppo di tali prodotti, servizi ed applicazioni (considerando 78).

Anche il Comitato Europeo per la protezione dei dati personali (EDPB) richiede che produttori e responsabili supportino i titolari del trattamento nell’applicare la privacy by design.

E diano prova del modo in cui il loro hardware, software, servizi, ecc. permetta di soddisfare il principio di responsabilizzazione del titolare (art. 5, comma 2 RGPD).

Perciò, i titolari dovrebbero evitare di scegliere produttori o responsabili che non offrano sistemi capaci di facilitare l’adempimento degli obblighi dell’art. 25 del RGPD.

2. Privacy by design: quando applicarla

L’obbligo di proteggere i dati personali fin dalla progettazione riguarda due distinti momenti:

  1. il momento di determinare i mezzi del trattamento;
  2. durante il trattamento stesso;

Il primo coincide con il momento in cui il titolare decide come verrà svolto il trattamento, inclusi i mezzi per svolgerlo. Il termine “mezzi” è abbastanza ampio da comprendere sia gli elementi generali riguardanti la progettazione, sia quelli particolari relativi alle procedure, ai protocolli, ecc.

Il secondo momento, invece, è durante tutta la durata del trattamento stesso. Infatti, come vedremo meglio in seguito, la privacy by design è un processo iterativo.

Perciò l’obbligo del titolare di garantire l’applicazione dei principi di protezione dei dati personali non cessa mai finchè perdura il trattamento. E questo si traduce nella necessità che il titolare:

  • verifichi con periodicità l’efficacia delle misure e delle garanzie scelte,
  • riesamini i livelli di rischio,
  • rivaluti le operazioni di trattamento svolte dai responsabili,
  • si aggiorni sulle evoluzioni tecnologiche e sullo stato dell’arte.

3. Come applicare la privacy by design

Il fulcro della privacy by design è adottare le misure adeguate ad attuare i principi di protezione dei dati. Ed integrare nel trattamento le garanzie per soddisfare i requisiti normativi e tutelare i diritti e le libertà degli interessati.

Ognuno dei principi di protezione previsti dall’art. 5 e dal considerando 39 del RGPD riguarda uno o più diritti ed aspettative degli interessati relativi al trattamento dei propri dati:

  • trasparenza: gli interessati hanno il diritto di comprendere con chiarezza i loro diritti e di esercitarli;
  • liceità: gli interessati hanno il diritto che i loro dati siano trattati su una base giuridica valida;
  • correttezza: gli interessati hanno il diritto che i loro dati non siano trattati in modo dannoso, discriminatorio, imprevisto o fuorviante;
  • limitazione delle finalità: gli interessati hanno il diritto che i loro dati siano trattati per finalità specifiche, esplicite e legittime;
  • minimizzazione dei dati: gli interessati hanno il diritto che i dati trattati siano adeguati, pertinenti e limitati a quanto necessario per le finalità del trattamento;
  • esattezza: gli interessati hanno il diritto che i loro dati siano esatti e, se necessario, aggiornati;
  • limitazione della conservazione: i dati personali devono essere conservati per un periodo non superiore a quello necessario per le finalità del trattamento;
  • integrità e riservatezza: i dati degli interessati devono essere protetti da trattamenti non autorizzati o illeciti e dalla perdita, distruzione o dal danno accidentali;

I diritti degli interessati giocano un ruolo cruciale nella valutazione dei rischi che il titolare è chiamato a compiere.

L’obiettivo è, innanzitutto, individuare i rischi associati ad violazione dei principi di protezione dei dati. E, in secondo luogo, stimare la loro probabilità e gravità in relazione ai diritti degli interessati.

3.1 Le fasi del processo: pianificazione, esecuzione, verifica e azione

Sebbene l’obbligo di garantire la protezione dei dati faccia esplicito riferimento alla progettazione del trattamento, esso vale per l’intero ciclo di vita di quest’ultimo.

Perciò, l’applicazione della privacy by design passa necessariamente attraverso un processo da ripetere più volte fino al raggiungimento dell’obiettivo finale.

E l’obiettivo finale è raggiunto quando il titolare è in grado di dimostrare, all’atto pratico, di aver applicato tutti i principi di potezione dei dati.

Per semplicità il processo può essere gestito con un metodo per il controllo ed il miglioramento di processi e prodotti articolato in quattro fasi:

  1. Pianificazione (plan);
  2. Esecuzione (do);
  3. Verifica (check);
  4. Azioni correttive (act);

3.1.1 Pianificazione: la tabella di marcia

Lo scopo di questa prima fase è delineare una tabella di marcia verso l’obiettivo finale di garantire la protezione dei dati personali.

Si tratta di uno strumento che consente di articolare una strategia di azioni. Quindi, le varie attività del processo dovranno essere pianificate con l’indicazione delle risorse utilizzate e con la descrizione degli eventuali output generati.

Questa fase non si esaurisce ovviamente con la creazione di una tabella di marcia. Anzi quest’ultima sarà soggetta a continue revisioni, integrazione di nuovi elementi ed aggiornamenti. E, in questo, potrà costituire un valido punto di riferimento, una bussola per lo svolgimento delle varie attività.

In particolare, le attività più importanti da pianificare in relazione al raggiungimento dell’obiettivo finale sono le seguenti:

  1. analisi del trattamento e stima dei rischi potenziali;
  2. scelta delle misure e garanzie adeguate per gestire i rischi;
  3. predisposizione di un piano di trattamento dei rischi con l’indicazione dei tempi e delle risorse necessarie per applicare le misure e garanzie adeguate;
  4. definizione dei KPI o criteri per valutare l’efficacia delle misure e garanzie;
  5. valutazione dell’efficacia delle misure e garanzie applicate mediante monitoraggio dei KPI o criteri prescelti;
  6. stima del rischio residuo;
  7. individuazione delle azioni per gestire un eventuale rischio residuo;

3.1.2 Esecuzione delle attività

Questa fase è dedicata all’esecuzione delle attività pianificate, tra le quali ricordiamo soprattutto le prime due per la loro particolare importanza in relazione all’obiettivo finale.

Da un certo punto di vista l’analisi dei rischi rappresenta un fattore guida dell’intero processo. In questo caso parliamo di rischi potenziali, cioè dei rischi che esistono prima dell’applicazione delle misure e garanzie adeguate.

Per analizzare i rischi possiamo partire da una semplice considerazione: ogni principio di protezione dei dati personali (es. trasparenza) può essere violato. E ogni violazione rappresenta un rischio per i diritti degli interessati, ad es. il diritto di comprendere con chiarezza ed esercitare i loro diritti.

3.1.2.1 Analisi dei rischi

Ogni tipo di violazione riferita ad un principio di protezione dei dati è dunque una minaccia. Una minaccia può essere facilitata da vulnerabilità, cioè da particolari debolezze.

Tali debolezze possono riguardare le operazioni di trattamento e le risorse di supporto utilizzate, comprese le persone (es. incaricati del trattamento, responsabili del trattamento, ecc.).

Facciamo un esempio: la violazione del principio di trasparenza è una minaccia. Essa consiste in una mancanza di trasparenza da parte del titolare sulla raccolta, uso e condivisione dei dati trattati.

Questa minaccia può essere innescata da una vulnerabilità. Può trattarsi, ad esempio, del fatto che le informative di trattamento non siano fornite con un linguaggio chiaro e semplice. Oppure che le informative non siano facilmente accessibili agli interessati.

Per stimare il rischio potenziale la minaccia (M) richiede di essere valutata nelle duplice dimensione della:

  1. probabilità (P) di accadimento,
  2. gravità (G) dell’impatto (I) sui diritti degli interessati.
Pertanto il rischio potenziale (Rp) non è altro che il prodotto della probabilità della minaccia per la gravità del suo impatto, ovvero: Rp = P(M) * G(I).
3.1.2.2 Cosa significa misure adeguate e garanzie

Dopo aver stimato i rischi di violazione dei principi di protezione dei dati il titolare deve scegliere le misure tecniche ed organizzative adeguate. Ed integrare nel trattamento le garanzie per soddisfare i requisiti normativi e proteggere i diritti degli interessati.

Il termine misure e garanzie si presenta abbastanza generico da ricomprendere al suo interno un ventaglio molto ampio di soluzioni. Le soluzioni possono riguardare la formazione del personale, l’adozione di sistemi antimalware, la previsione di obblighi contrattuali per i responsabili, le informative di trattamento, ecc.

La cosa più importante è che le misure siano adeguate, cioè idonee a soddisfare il loro scopo. Vale a dire, attuare in modo efficace i principi di protezione dei dati personali nello specifico trattamento.

3.1.2.3 Come scegliere le misure adeguate

Per determinare se una misura sia adeguata il titolare può ricorrere agli elementi indicati nell’art. 25 del RGPD:

  1. stato dell’arte,
  2. costi di attuazione,
  3. natura, ambito di applicazione, contesto e finalità del trattamento,
  4. rischi del trattamento per i diritti e le libertà delle persone fisiche

Vediamo meglio come inquadrare questi fattori da un punto di vista concettuale. Il parametro dello stato dell’arte significa che il livello attuale di sviluppo della tecnologia influenza inevitabilmente la scelta delle misure. Cioè non è possibile giustificare l’adozione di misure obsolete dal punto di vista tecnologico.

Il fattore costo non può mai esonerare il titolare dall’obbligo di garantire la protezione dei dati personali. Piuttosto vuol dire che il titolare può applicare misure meno dispendiose, purchè siano ugualmente efficaci di altre più costose, per proteggere i dati.

La natura fa riferimento alle caratteristiche intrinseche del trattamento (es. categoria di dati personali trattati, ecc.), mentre l’ambito di applicazione riguarda la sua dimensione e portata.

Il contesto include le circostanze del trattamento capaci di influenzare le aspettative degli interessati (ad es. i particolari rapporti tra il titolare e gli interessati). E le finalità sono gli scopi perseguiti dal trattamento.

Infine, il parametro dei rischi costituiti dal trattamento corrisponde all’approccio orientato al rischio su cui il RGPD si basa.

Quest’ultimo elemento determina la necessità di effettuare una analisi e stima del livello dei rischi di violazione dei principi di protezione. Ed eventuamente una valutazione d’impatto sulla protezione dei dati (DPIA).

Anche gli standard, le migliori prassi ed i codici di condotta possono avere una loro utilità per determinare le misure tecniche ed organizzative.

Nell’ottica del principio di responsabilizzazione il titolare deve disporre della documentazione relativa alle misure adottate. Compresi gli indicatori di prestazione (KPI) o altri criteri scelti per valutarne l’efficacia.

3.1.3 Verifica e controllo

Questa fase consiste nella raccolta e studio delle informazioni relative ai risultati scaturiti dalle attività compiute nella fase precedente. E dal loro confronto con i risultati attesi.

Una parte importante delle verifiche e dei controlli riguarda l’efficacia delle misure tecniche ed organizzative adottate dal titolare.

Per svolgere questa verifica il titolare deve aver sottoposto a controllo continuo gli indici di prestazione (KPI) o altri criteri di valutazione definiti.

I KPI sono valori misurabili che permettono di valutare l’efficienza di azioni in relazione al raggiungimento di un obiettivo specifico. L’obiettivo in questo caso è sempre quello di garantire la protezione dei dati personali perchè per il titolare questo corrisponde ad un obbligo normativo.

I KPI possono essere espressi con un numero, una percentuale o un tasso di crescita. Essi possono avere una dimensione quantitativa (es. numero di interessati che hanno ricevuto l’informativa di trattamento) o qualitativa (es. valutazioni di terze parti).

Il titolare può ovviamente dimostrare l’efficacia delle misure adottate anche sulla base di altri criteri, purchè sia in grado di giustificare i criteri alternativi scelti.

3.1.4 Azioni correttive

L’ultima fase consiste nell’individuare le azioni correttive o migliorative del processo in relazione all’obiettivo finale, cioè garantire la protezione dei dati personali.

La stima del rischio effettivo, cioè quello che rimane dopo l’applicazione delle misure e garanzie, è una delle azioni migliorative.

Ricordiamo che il rischio effettivo (Re) è il prodotto della probabilità (P) della minaccia (M) per la gravità (G) del suo impatto (I) sui diritti e le libertà degli interessati, diviso l’efficacia (E) delle misure:

Re = P(M) * G(I) / E(C) 

Questa stima permette al titolare di decidere cosa fare per correggere il rischio effettivo: se accettarlo oppure prevenirlo o mitigarlo attraverso la scelta ed applicazione di ulteriori misure adeguate.

4. Le linee guida dell’EDPB

Il Comitato europeo per la protezione dei dati (EDPB) ha adottato le linee guida sulla protezione dei dati fin dalla progettazione e per impostazione predefinita.

Il documento è improntato sull’obbligo di applicare i principi di protezione dei dati personali e fornisce a tale riguardo degli orientamenti generali.

Di particolare interesse sono il capitolo 2 che offre una interpretazione dei requisiti previsti dall’art. 25 del RGPD ed il successivo capitolo che da degli esempi pratici su come attuare i principi di protezione.

L’ultima parte del documento esamina l’opportunità di ricorrere a meccanismi di certificazione per dimostrare la conformità con il RGPD.

Infine, il comitato esprime delle raccomandazioni finali per facilitare l’adempimento degli obblighi anche da parte delle PMI.

5. I benefici della privacy by design

Sebbene non ci sia ancora molta chiarezza sul punto, l’applicazione della privacy by design porta dei benefici ulteriori rispetto al semplice obbligo normativo:

  • proattività: possibilità di valutare in anticipo gli eventi da cui si vogliono proteggere i dati personali e i mezzi per proteggerli, anzichè reagire agli stessi;
  • la privacy diventa una impostazione predefinita, quindi il trattamento diventa garante della protezione dei dati senza che ciò richieda azioni specifiche da parte degli interessati;
  • la privacy è integrata fin dalla fase di progettazione, perciò essa diventa un aspetto essenziale di qualsiasi tecnologia, processo o sistema senza diminuirne le funzionalità;
  • non c’è competizione con altri interessi ed obiettivi (es. produttività) poichè la privacy by design li integra nel modo migliore possibile;
  • la protezione è totale ed estesa all’intero ciclo di vita di trattamento dei dati personali;
  • la fiducia degli individui migliora attraverso la trasparenza delle politiche di trattamento, la responsabilità della loro protezione e la conformità con i requisiti normativi;
  • rispetto dei diritti degli interessati;

Iscriviti alla nostra newsletter e unisciti agli altri.
Proteggiamo la riservatezza dei tuoi dati e li utilizziamo solo per inviarti la newsletter. Se hai dato il consenso i tuoi dati saranno utilizzati anche per finalità di marketing e comunicazione commerciale. I tuoi dati saranno condivisi soltanto con i fornitori di servizi essenziali che permettono l'invio della newsletter e di altre comunicazioni. Per maggiori informazioni consulta la Privacy Policy
Do il consenso per trattare i miei dati personali a scopo di marketing
Condividi

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.