Una delle novità più rilevanti, ma al tempo stesso più sfuggenti ed ineffabili del GDPR è l’introduzione del principio di “privacy by design”.
Nel complesso dibattito in materia di privacy, la “privacy by design” ha fatto emergere posizioni contrastanti: secondo questo principio, la protezione dei dati dovrebbe essere implementata in ogni processo industriale e tecnologico che implichi la produzione di beni e servizi, mediante il quale vengano, ovviamente, trattati dati personali. Conseguentemente, i sistemi informatici e di comunicazione finalizzati al trattamento di dati personali dovranno tenere in considerazione la protezione degli stessi fin dalla loro progettazione, passando per la distribuzione e lo smaltimento secondo gli obblighi di “privacy by design” posti dal GDPR, onde evitare di incorrere nella violazione di legge, nella conseguente illiceità del trattamento e nelle relative sanzioni.
Secondo il GDPR, infatti, è la tecnologia stessa a dover essere progettata e preordinata per operare rispettando i diritti fondamentali degli utilizzatori, o meglio degli interessati.
La norma sulla “privacy by design”, come analizzato nell’articolo Privacy by design e Gdpr: un’etica per l’Intelligenza artificiale di AgendaDigitale, è tuttavia una norma programmatica, ancorché prescriva un obbligo. La “privacy by design” traccia una linea di demarcazione profonda tra norme generali e norme contemporanee attente alle opportunità, ma anche alle insidie del progresso a discapito delle libertà e dei diritti delle persone.
Al fine di poter dimostrare la conformità con il regolamento, il titolare del trattamento dovrebbe adottare politiche interne e attuare misure che soddisfino in particolare i principi della protezione dei dati fin dalla progettazione e della protezione dei dati di default.
I produttori dei servizi e delle applicazioni dovrebbero essere incoraggiati a tenere conto del diritto alla protezione dei dati allorché sviluppano e progettano tali prodotti, servizi e applicazioni, oltre a far sì che i titolari del trattamento e i responsabili del trattamento possano adempiere ai loro obblighi di protezione dei dati.
Un’analisi ci è fornita da Gabriele Faggioli – uno dei principali esperti italiani sul tema – Presidente Clusit, Condirettore Scientifico dell’Osservatorio Security & Privacy del Politecnico di Milano, CEO di P4I-Partners4Innovation, e membro del Group of Expert in Cloud Computing Contracts della Commissione Europea, che spiega i principi della “data protection by design” e dell’accountability.
Secondo Faggioli, in questa videointervista GDPR, i tre cambiamenti dirompenti del regolamento europeo per la Data Protection ripresa da Digital4, l’approccio “by design” è sicuramente una delle più importanti novità del regolamento europeo e rappresenta ciò che è necessario avere nel progettare un trattamenti di dati. Adottare soluzioni, servizi e software che comportano un trattamento di dati personali attraverso un approccio “by design”, vuol dire pensare fin dalla progettazione a quelli che sono i requisiti normativi e di sicurezza informatica.
“Si tratta di un approccio che poi avrà una evoluzione nel tempo poiché le minacce avanzano ed i rischi correlati evolvono, questo pertanto vorrà dire tenere sotto controllo tutte quelle che sono le tematiche di ulteriore implementazione di misure di sicurezza, nell’ottica di arrivare a garantire in ogni momento l’adeguatezza della sicurezza dati personali” aggiunge Faggioli.
Sempre secondo l’esperto “Un principio fondamentale introdotto dal regolamento europeo è quello dell’accountability, e rappresenta la dimostrabilità che verrà rispettato il requisito normativo, non solo ponendo in essere quello che la normativa richiede in termini di obbligazioni, ma essendo anche in grado di dimostrare l’applicazione di un corpo normativo procedurale di regole interne e poi di repository che permette di dimostrare il corretto adempimento normativo”.
A cura di Manuela Santini, Information & Cyber Security Advisor presso P4I – Partners4Innovation e Gaia Rizzato, Trainee Information & Cyber Security presso P4I – Partners4Innovation
