Novità e riflessioni

Il Blog di Goodea

GDPR: la progettazione della protezione dei dati personali

Guest post di Simona Latte

Nell’articolo precedente ci siamo occupati di offrire un quadro generale sui principali aspetti che la nuova disciplina posta a tutela della Privacy  – introdotta dal legislatore europeo con il Regolamento (UE) 2016/679 – pone all’attenzione di tutti quei soggetti che “trattano” dati personali, in particolare con riferimento ai dati raccolti dai siti web e dai CRM aziendali.

Per tutti coloro che posseggono un’azienda, un’associazione o che siano liberi professionisti e che “manipolino” dati personali, anche somministrati da terze parti, infatti, è di fondamentale importanza comprendere gli elementi chiave di questa nuova disciplina, al fine di indirizzare le scelte di gestione e di pianificazione delle misure da attuare verso prassi e procedimenti efficienti, in grado di tutelare i soggetti i cui dati sono sottoposti al trattamento e che consentano di non incorrere nelle salate sanzioni previste. 

È opportuno aver chiari i princìpi che regolano la materia e capirne i meccanismi, poiché non esiste un unico e definitivo modo per rendere “adeguate” le misure di cui sopra, dal momento che tale adeguatezza – che tra l’altro, deve essere dimostrata dal titolare del trattamento – varia a seconda “della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento”. 

È dunque sul concetto di pianificazione e progettazione che ci soffermiamo.

Privacy by design e privacy by default

I “due pilastri” portanti del GDPR, Privacy by design e privacy by default, sono contenuti nell’art. 25, disposizione che mette in primo piano i profili della responsabilizzazione (accountability) del titolare stesso. 

Ma cosa significano queste due espressioni? 

“Privacy by design” significa protezione dei dati sin dalla progettazione. Il Regolamento, in pratica, chiede al titolare di progettare un trattamento che sia in grado di fare una previsione sul probabile effetto del trattamento dei dati sui diritti e sulle libertà degli interessati,  ma che sia anche sostenibile, e questo grazie allo svolgimento delle preventive operazioni di analisi dei rischi.

Per quanto attiene strettamente alla raccolta, la conservazione e l’uso di dati tramite sito internet, CRM, e-mail e così via, risulta evidente l’esigenza di progettare tutti questi strumenti prestando attenzione ai profili che possano costituire un rischio per il trattamento dei dati personali, il tutto nell’ambito di un più ampio disegno di gestione degli stessi che coinvolga l’intera azienda e i suoi processi interni.

“Privacy by default” vuol dire, invece, stando alla lettera dell’art. 25, par. 2 GDPR che bisogna “garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento”.

I dati personali che vengono raccolti per uno specifico trattamento, cioè, devono essere limitati allo stretto indispensabile, non soltanto per assicurare il principio di accuratezza del dato, ma anche per contenere i loro costi di gestione e scongiurare sanzioni per l’eventuale uso improprio. 

L’obiettivo è ottenere un sistema di privacy “flessibile”

I profili della Privacy by design e by default sono espressione, quindi, della necessità di prevedere una disciplina della protezione della privacy flessibile, che possa adattarsi effettivamente alle reali esigenze di tutela che di volta in volta possono manifestarsi in ordine al trattamento dei dati personali e rappresentano, soprattutto, il fondamento della responsabilità del titolare del trattamento a cui non viene detto mai “cosa fare”, ma che viene lasciato libero di decidere “come” adempiere ai precetti del GDPR. 

In questa prospettiva trova la sua collocazione l’implementazione di un sistema di gestione dei dati personali – altra responsabilità del titolare del trattamento – vale a dire“…una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento” (art. 32, par. 1 lett. d), uno strumento anch’esso flessibile di controllo sul corretto funzionamento di tutti i “tasselli del puzzle” costituenti la tutela dei dati personali all’interno di un’organizzazione.

L’adozione di tale sistema, integrato nell’organizzazione aziendale in maniera dinamica, implica l’impiego e la predisposizione di regole, attività di informazione e formazione nonché di dispositivi di controllo che garantiscano il rispetto del Regolamento e l’efficace protezione dei dati. 

Vale qui segnalare che tanto più l’organizzazione è digitalizzata, tanto più regole, strumenti e dispositivi di controllo rappresentano la chiave per una tutela efficiente, efficace e proporzionata dei dati personali trattati e, quindi, un’arma per difendere l’azienda dalle sanzioni. 

In questi casi, tuttavia, le operazioni di audit richiedono un elevato grado di specializzazione e conoscenze trasversali che vanno dall’informatica al diritto e possono rivelarsi difficoltose e particolarmente onerose. 

DataScore: il tool che aiuta a misurare il livello di sicurezza di un sito web

Per facilitare e rendere precise e sicure le operazioni di audit, il nostro team di esperti ha sviluppato il tool DataScore, per la valutazione del grado di  sicurezza dei siti web.

L’audit svolto attraverso l’utilizzo di questo strumento automatico, infatti,  consente di far emergere con precisione le principali criticità del sito web sottoposto a verifica, indagando molteplici componenti, tra queste:

  • Analisi delle vulnerabilità del sito che potrebbero rendere semplice un attacco informatico tendente al furto di identità;
  • Analisi delle fonti di monitoraggio degli utenti, per controllare la qualità dei dati che il sito del cliente sta acquisendo;
  • Analisi di adeguamento al GDPR, per controllare se il sito è conforme alla normativa europea e nazionale, in costante evoluzione.

Il risultato dell’analisi è un documento di controllo del sito in relazione agli obblighi previsti dal GDPR, che si concretizza in un report finale che contiene la lista delle cose da fare per rendere il sito sicuro ed in regola con le disposizioni.

La normativa GDPR, dunque, non deve essere temuta, perché protegge i nostri dati e quelli di terze parti; deve, piuttosto, essere ben conosciuta, ed è per questo nei prossimi articoli continueremo a parlare di privacy approfondendo le tematiche più importanti per chi deve adeguare i processi della propria organizzazione al Regolamento.