Cosa vuol dire privacy by design e perché è obbligatoria

Il concetto di privacy by design indica l’importanza dell’aspetto progettuale delle misure in tutela privacy. Il concetto non solo fa riferimento agli strumenti e ai mezzi attraverso cui il titolare del trattamento adotta le misure stabilite, ma anche alle modalità con cui viene effettuato. 

Il concetto di privacy by design è contenuto nell’articolo 25 del GDPR. 

La norma stabilisce che sia nella fase in cui si stabiliscano i mezzi del trattamento sia nella fase del processo stesso il titolare deve prestare attenzione alle soluzioni impiegate in modo da risultare in totale conformità con quanto espresso nel GDPR. Per farlo l’articolo 25 GDPR riporta alcune tecniche da poter attuare in modo da agevolare la progettazione delle soluzioni migliori.  

Le più importati misure di privacy by design contenute nell’art. 25 GDPR sono: 

•    Pseudonimizzazione: questo provvedimento tecnico, che consiste in una strategia di tutela privacy volta a rendere difficoltosa l’identificazione dell’interessato tramite il riferimento ai suoi stessi dati, viene considerata dal legislatore molto efficace. 

•    Minimizzazione dei dati: questo principio afferma che è indispensabile valutare la qualità dei dati raccolti, più che la quantità. Questa misura è strettamente legata all’art. 5 del GDPR, che asserisce “i dati devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”, 

•    Principio di responsabilizzazione (accountability): l’articolo 24 del GDPR richiede alle aziende di dimostrare che i dati raccolti e conservati siano effettivamente quelli di cui ha bisogno.
 
 

Inoltre, l’adozione delle misure di protezione dei dati non può non prevedere la valutazione del contesto.  Prima di procedere alla progettazione della soluzione volta a garantire la massima tutela degli interessati, bisogna partire dai rischi che alcune misure privacy adottate possono comportare e da una loro valutazione oggettiva (cosa accadrebbe nella realtà). 

Secondo l’art. 75 del GDPR nella fase di progettazione risulta necessario valutare il rischio relativo ai diversi trattamenti dei dati, analizzati separatamente. 

Durante la fase di analisi dei rischi dovrebbero essere considerati tutti gli effetti negativi che possono scaturire da un particolare trattamento e che potrebbero limitare le libertà individuali o ledere i diritti del soggetto interessato aventi natura fisica, materiale o immateriale. 

Nella valutazione del rischio è, inoltre, importante ricordare gli articoli 9 e 10 del GDPR. Quest’ultimi, infatti fanno riferimento alle categorie particolari dei dati personali, da cui si possano rilevare l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, i dati genetici, i dati relativi alla salute o i dati relativi alla vita sessuale o a condanne penali e a reati o alle relative misure di sicurezza delle persone interessate.

 

Oltre al concetto di privacy by design vi è un’altra nozione che assume una particolare rilevanza, che è quella di privacy by default. 

La privacy by default esprime la necessità di proteggere i dati personali per impostazioni predefinite: questo significa che il titolare, in questo caso, dovrà adottare tutte le misure che possono tutelare gli interessati nel miglior modo possibile. 

Una tra queste sicuramente vi è quella volta a ridurre al minimo la quantità di dati personali da raccogliere e da utilizzare. 

Altro assunto importante fa riferimento alla necessità di conservazione dei dati personali raccolti. Ovvero, il Titolare dovrà chiedersi: per quanto tempo è necessario che siano conservati determinati dati? Tra l’altro, ricordiamo che la conservazione eccedente i periodi stabiliti dalla finalità del trattamento comporta rischio di pesanti sanzioni pecuniarie.
 
Tra le più idonee misure da adottare vi è sicuramente quella relativa all’accessibilità ai dati personali. Per evitare che gli accessi siano consentiti a soggetti non autorizzati, in base alle disposizioni del GDPR, è un ottimo accorgimento da adottare. 

 

Per le aziende che gestiscono grandi quantità di documenti sensibili la valutazione dei rischi diventa molto più delicata e deve partire dalle attività di archiviazione e distruzione del materiale non più utile ai fini del trattamento. 

Infatti, la maggior parte dei casi di violazioni della privacy deriva proprio dal trascurare queste fasi molto importanti, in cui molto spesso ci si dota di inefficienti sistemi di sicurezza e di protezione dei file cartacei. Ne consegue che molti file possono andare persi oppure possono finire nelle mani di soggetti non autorizzati, determinando gravi casi di violazione privacy. 

Fortunatamente per eliminare i rischi connessi ad accessi non autorizzati o dispersioni di fogli mal conservati/protetti, le aziende possono optare per la gestione digitale della privacy. Per farlo puoi usare On Privacy, il primo software per la gestione in cloud della privacy aziendale che consente di abolire definitivamente l’utilizzo della carta e gestire in pochi semplici click i documenti aziendali. 

Quello che dovrai fare è iscriverti al software tramite account personale e creare le tue informative privacy da sottoporre ai tuoi utenti tramite un semplice link. L’utente, a sua volta, firmerà il documento con una firma digitale certificata consegnandoti il documento. Come vedi, bastano pochi click e pochi secondi. 

D’altra parte, potrai avere sotto controllo i consensi salvati nella tua dashboard personale.