Privacy by design, come comportarsi con il GDPR. Valutazione dei rischi per la privacy già in fase di creazione del sistema.
Ti abbiamo già indicato alcune nozioni fondamentale della “privacy by design” introdotto dal GDPR all’art. 25. Tuttavia, la privacy by design non è un concetto nuovo: risale al 2010, già presente negli Usa e Canada e poi adottato nel corso della 32ma Conferenza mondiale dei Garanti privacy.
Questi sono i principi alla base della privacy by design, che mirano a una tutela effettiva da un punto sostanziale, non solo formale:
– valutazione di eventuali problemi alla privacy nella fase di progettazione del portale o del software;
– privacy come impostazione di default (ad esempio, non deve essere obbligatorio compilare un campo di un form il cui conferimento di dati è facoltativo);
– privacy incorporata nel progetto (ad esempio, l’utilizzo di tecniche di pseudonimizzazione o minimizzazione dei dati);
– massima funzionalità, in maniera da rispettare tutte le esigenze (rifiutando le false dicotomie quali più privacy uguale meno sicurezza);
– sicurezza durante tutto il ciclo del prodotto o servizio;
– trasparenza;
– centralità dell’utente.
È evidente che il GDPR si basa essenzialmente sulla valutazione del rischio (risk based approach), con cui si determina la misura di responsabilità del Titolare o del Responsabile del trattamento, tenendo conto della natura, della portata, del contesto e delle finalità del trattamento, nonché della probabilità e della gravità dei rischi per i diritti e le libertà degli utenti.
Questa valutazione andrà fatta al momento della progettazione del sistema, quindi prima che il trattamento inizi, considerando anche i dati trattati: ad esempio, in presenza di un trattamento che coinvolge dati di minori gli obblighi dovranno essere più stringenti, in considerazione del fatto che il rischio è maggiore.