Il principio della privacy by design è uno dei capisaldi del Reg. 679/2016 (RGPD). L’art. 25 descrive un obbligo per il titolare: attuare in modo efficace i principi di protezione dei dati personali codificati nell’art. 5 del RGPD.
Ma la norma non si limita a prescrivere questo. Ed, infatti, precisa che l’attuazione dei principi deve avvenire mediante l’applicazione di garanzie e misure di sicurezza tecniche ed organizzative adeguate.
E questo non soltanto nella fase di progettazione del trattamento ma durante l’intero suo ciclo di vita.
Progettazione della protezione dei dati
Per aiutare le organizzazioni ad implementare dal punto di vista pratico gli aspetti tecnici della protezione dei dati fin dalla progettazione (by design) e per impostazione predefinita (by default), Enisa ha pubblicato nel gennaio del 2022 un nuovo report intitolato Data Protection Engineering.
Il documento nasce dalla considerazione della sfida costituita dalla necessità di tradurre i principi di protezione dei dati in requisiti e specifiche tangibili e concrete. Compito non sempre facile.
In linea con questo obiettivo il report presenta e discute punti di forza ed applicabilità di tecnologie e tecniche di sicurezza esistenti, in ambiti quali:
- Anonimizzazione e pseudonimizzazione,
- Mascheramento dei dati e calcoli per preservare la privacy,
- Accesso, comunicazione e memorizzazione,
- Trasparenza, intervenibiltà e strumenti di controllo degli utenti
Inoltre, il documento offre la visione della progettazione della protezione dei dati come parte integrante dei processi di privacy by design e by default.
L’obiettivo della progettazione è, alla fine, supportare la scelta, l’implementazione e la configurazione delle misure tecniche ed organizzative adeguate per soddisfare i principi di protezione dei dati enunciati dall’art. 5 del RGPD.
Privacy by design: ulteriori approfondimenti
La privacy by design è obbligo legale introdotto con il RGPD, ma noto come concetto già anni addietro. Perciò, differenti organizzazioni con un ruolo ben definito nel campo della protezione dei dati e della cybersecurity hanno pubblicato report e studi in questo ambito:
- Enisa:
- Privacy and data protection by design, 2015: descrive approcci, strategie e tecniche come elementi fondamentali di un processo di progettazione di sistemi e servizi “privacy friendly“;
- Exploring the notion of data protection by default (2018), Enisa:, fornisce chiarimenti sulle implicazioni del principio della privacy by default nella progettazione dei sistemi;
- Data Protection Engineering, : presenta tecnologie e tecniche di sicurezza esistenti e ne valuta punti di forza ed applicabilità in relazione all’obiettivo di soddisfare i principi di protezione dei dati personali, di cui all’art. 5 del RGPD;
- European Data Protection Board:
- Linee guida 4/2019 sulla data protection by design e by default, forniscono un orientamento generale sugli obblighi della privacy by design e by default;
- European Data Protection Supervisor:
- Opinion 5/2018 on privacy by design: fornisce esempi sulle metodologie utili per individuare requisiti di privacy e protezione dei dati personali ed integrarli all’interno dei trattamenti;
- IAP:
- Privacy by design – The 7 foundational principles: offre un quadro di riferimento generale per l’applicazione del principio e le relative verifiche/audit
Ti è piaciuto l’articolo? Puoi contattarci per farci sapere la tua opinione o chiedere maggiori informazioni sui servizi, cliccando sul pulsante qui sotto.
ContattaciOppure puoi iscriverti alla newsletter, così riceverai automaticamente tutti gli aggiornamento del blog. Puoi anche condividere l’articolo sui social network, cliccando su una delle icone in basso.