App per il delivery & food: quali adempimenti per la conformità al GDPR - Cyber Security 360

ESPERTO RISPONDE

App per il delivery & food: quali adempimenti per la conformità al GDPR

06 Ago 2020
Diego Padovan

CIPP/E, CDP, Amministratore DPOCC


DOMANDA

Con un gruppo di amici abbiamo fondato una startup in ambito delivery & food e abbiamo sviluppato un’app che vorremmo testare con un cliente: come dobbiamo regolarci con il GDPR?

RISPOSTA

Il Regolamento (UE) 2016/679 non prevede distinzioni tra ambiente di test e di mercato. Il GDPR regola il trattamento di dati personali, specie in un contesto di natura commerciale. Di conseguenza, nel caso segnalato, è opportuno ragionare in questi termini: se il test prevede l’utilizzo (ovvero il trattamento) di dati personali valgono le regole stabilite all’interno del GDPR.

Per capire ciò, è sufficiente fare riferimento alle definizioni di dato personale e di trattamento di dati personali (Art. 4, punti 1 e 2) contenute nel Regolamento (UE) 2016/679.

Se le definizioni descrivono una o più attività previste dal progetto di test, è opportuno considerare un’attività di conformità GDPR preventiva.

Altro discorso è nel caso in cui si intenda effettuare delle prove preliminari in un ambiente di test per simulare la fase implementativa del servizio, con l’obiettivo di ridurre le possibili inefficienze che potrebbero emergere.

WEBCAST
Come sviluppare una sicurezza personalizzata per le esigenze di ogni settore di attività?
Sicurezza

In questo caso è necessario e opportuno prendere delle precauzioni, come quelle di utilizzare dati non reali o procedere con l’anonimizzazione di dati reali. Nel caso si intenda procedere con quest’ultima opzione, è necessario tenere presente che il concetto di anonimizzazione può essere confuso con quello di pseudonimizzazione.

Di conseguenza, molto sinteticamente, l’ambiente di test dovrà utilizzare esclusivamente dei dati non più riferibili, anche indirettamente o con l’utilizzo di tecniche più o meno specifiche, a persone specifiche (cioè all’identità dell’interessato).

Ciò detto, si tenga presente che se l’app prevedrà l’utilizzo di dati personali sarà bene procedere, comunque, con un assessment delle misure GDPR da implementare.

Viceversa, il rispetto dei principi di privacy by default e privacy by design verrebbe a mancare, con la conseguenza di dover probabilmente effettuare delle modifiche in fase implementativa, onerose sia in termini di tempi sia di risorse impiegate.

Mandate i vostri quesiti ai nostri esperti

Quesiti privacy: info@dpocc.it

@RIPRODUZIONE RISERVATA

Articolo 1 di 4