Il nuovo Regolamento in materia di Privacy, ha introdotto inedite tipologie di tutela, per adattarsi alle potenzialità a volte anche dannose delle nuove tecnologie. In ritardo rispetto ai tempi, il legislatore ha previsto una serie di pratiche da mettere in atto per evitare che vengano lesi i diritti dei cittadini e dei consumatori.
Ogni giorno, infatti, in modo più o meno consapevole, quasi tutti gli individui comunicano e trasmettono i loro dati sensibili, contribuendo a formare un mercato con un valore economico molto elevato. Ma come vengono trattate tutte queste informazioni?
Risulta evidente che un uso scorretto delle stesse può comportare diversi aspetti negativi. E’ compito del titolare dei dati, mettere in atto le politiche può adeguate per proteggere i dati raccolti.
Per fare ciò, deve agire preventivamente, ovvero già in fase di progettazione, come prevede il principio di privacy by design,
Il nuovo regolamento per la Privacy
Privacy by design è un nuovo principio, presente nel GDPR, ovvero il General Data Protection Regulation, entrato in vigore il 25 maggio 2018 in tutti i paesi membri dell’Ue.
Le nuove norme hanno l’obiettivo di sensibilizzare le aziende ma anche i cittadini in merito ai rischi connessi all’utilizzo delle nuove tecnologie.
Tutti i giorni vengono comunicati dati personali a varie organizzazioni, ma non sempre è chiara la portata del fenomeno e quali sono le implicazioni dietro a semplici e a volte automatici gesti che vengono compiuti frequentemente.
Fatto sta che informazioni quali l’età, il sesso, le opinioni politiche, i luoghi che si frequentano abitualmente, gli acquisti e molto altro, rappresentano indicazioni molto preziose per le aziende, che possono così creare dei canali comunicativi personalizzati sfruttando tale conoscenza. I dati personali, però, potrebbero finire anche nelle mani di soggetti sbagliati, provocando diversi danni e conseguenze negative.
Proprio per questo motivo il GDPR mira ad aumentare la consapevolezza in merito all’importanza di una corretta politica di privacy, all’insegna della trasparenza.
Le aziende hanno l’obbligo di informare gli utenti in merito al trattamento dei dati personali, attraverso la cosiddetta informativa, che può essere accettata o meno dal soggetto. Quest’ultimo ha la possibilità di revocare la propria scelta in un secondo momento.
I titolari dei dati devono assicurare che questi vengano trattati secondo quanto stabilito, minimizzando eventuali rischi connessi. Per fare ciò si deve agire preventivamente, già in fase di sviluppo della tecnologia, con quello che è stato definito come privacy by design.
Ciò significa che le aziende devono cambiare mentalità, adottando le nuove normative non solo in modo superficiale, per evitare di subire conseguenze legali anche pesanti, ma come nuove linee guida per operare in modo corretto e nel pieno rispetto dei diritti dei cittadini.
La responsabilizzazione dei titolari dei dati, detta accountability, ha proprio l’obiettivo di trascinare le aziende in una nuova era, che consente di avere un approccio più consapevole e pragmatico in merito all’uso delle nuove tecnologie.
Privacy by design: i presupposti
Come abbiamo già accennato nelle righe precedenti, il principio privacy by design si riferisce all’esigenza di adottare politiche per la protezione dei dati, fin dalla fase di progettazione, e non soltanto in un secondo momento.
In altre parole le nuove politiche, previste dal GDPR, devono essere seguite fin da subito, in modo preventivo, utilizzando o creando ad hoc tecnologie in gradi di proteggere i dati raccolti nel migliore dei modi.
Il progresso tecnologico, infatti, è avanzato in modo rapido negli ultimi anni, e seppur in ritardo rispetto ai tempi, il legislatore ha cercato di adeguare le norme al nuovo contesto.
I nuovi strumenti che abbiamo a disposizione, da una parte sicuramente ci permettono di svolgere molte attività impensabili solo qualche decennio fa, ma allo stesso tempo creano nuovi rischi. Per evitare esperienze negative, è importante conoscere la portata di questo fenomeno, e soprattutto cosa si può fare per evitare che la situazione possa sfuggire di mano.
Privacy by design, come altri nuovi concetti introdotti dal Regolamento hanno l’obiettivo di sensibilizzare il comportamento delle aziende senza dubbio, ma anche degli utenti, per riuscire a mantenere sempre alta l’attenzione in merito ai pericoli che possono derivare da usi impropri dei dati.
Per riuscire ad operare nel migliore dei modi è necessario agire prima che il problema si verifichi, ovvero già in fase di progettazione, andando ad eliminare o a minimizzare le situazioni di rischio.
Privacy by design: il significato
Il titolare del trattamento dei dati, deve adottare misure adeguate in via preventiva, già durante la progettazione, come stabilisce il principio del privacy by design.
Ciò significa che le strategie volte a garantire la privacy degli utenti devono essere integrate nell’intero ciclo di vita della tecnologia stessa, a partire dallo sviluppo della stessa.
Tutti i servizi e i prodotti offerti, quindi, devono rispettare i principi generali previsti dal GDPR, innanzitutto minimizzando la raccolta dei dati, ovvero evitando di chiedere informazioni non necessarie, e limitando l’uso degli stessi.
Le misure messe in atto devono tutelare i diritti degli interessati, in tutte le varie fasi di raccolta, utilizzo e trasferimento delle informazioni.
Privacy by design: come adeguarsi?
Fino ad ora abbiamo visto che secondo il principio del privacy by design è necessario tutelare i dati fin dalla progettazione stessa dei sistemi informatici che li dovranno utilizzare. Qualsiasi progetto, sia strutturale che concettuale, deve essere realizzato già in fase di project design tenendo in considerazione la riservatezza e la protezione dei dati personali.
In modo particolare l’azienda, o meglio il titolare del trattamento deve:
- impostare i default settings, cioè stabilire in base ai propri obiettivi, quali sono i dati minimi che devono essere raccolti, secondo il principio della minimizzazione
- stabilire per quanto tempo devono essere conservati gli stessi, evitando poi di oltrepassare il limite di conservazione garantito
- assicurarsi che non sia possibile l’accesso ai dati personali da parte di macchine, senza l’intervento della persona fisica
Azzerare i rischi collegati alla privacy, quindi, non riguarda soltanto il rispetto di alcune norme giuridiche, ma deve diventare parte integrante dell’attività stessa. All’interno del core business stesso devono essere stabilite le migliori strategie per fronteggiare eventuali rischi e per prevenirli.
Come dicevamo è indispensabile un cambiamento di mentalità, per comprendere la portata del fenomeno, e sapere agire e reagire di fronte ad esso.
Si tratta di un approccio necessario, dato che come abbiamo sottolineato siamo già in ritardo rispetto ai tempi. Il legislatore per chiarire l’importanza delle nuove politiche come privacy by design, ha previsto delle sanzioni davvero molto pesanti per chi non le rispetta.
I privati e le imprese che non fanno parte di gruppi rischiano di dovere pagare fino a 20.000.000 di euro, i gruppi societari invece fino al 4% del fatturato.
Fonti normative
- Art. 3 Decreto Legislativo n. 196 del 30 giugno 2003 "Codice in materia di protezione dei dati personali"
- Art. 25 “Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita” del Regolamento Europeo n. 2016/679 GDPR
