Negli ultimi anni si è assistito ad un incremento del numero e delle tipologie di dati disponibili per le aziende, allo sviluppo dei canali di accesso ai dati e alla globalizzazione del business.
Questa evoluzione ha aumentato la complessità di gestione delle tematiche tipiche della compliance e della data governance e ha creato nuove potenziali minacce rispetto ai requisiti di riservatezza, integrità e disponibilità delle informazioni.
Tale panorama ha incentivato la responsabilizzazione delle aziende rispetto la necessità di aumentare la protezione dei dati personali al fine di rispondere adeguatamente alle problematiche operative e normative.
In tal senso un significativo approccio per la gestione e per la protezione dei dati risulta poter essere quello richiamato attraverso il principio del “Privacy by Design”.
Questo principio è stato teorizzato, nella sua prima versione, dall’ “Information and Privacy Commissioner of Ontario” ed è stato ufficialmente riconosciuto nel 2010 all’interno della trentaduesima Conferenza Internazionale in ambito di “trustees privacy”.
Tale principio “Privacy by Design” risultava essere declinato nei seguenti punti:
1. Proattività e non reattività: prevenire invece che rimediare
2. Tutela della privacy sin dalla configurazione di default
3. Tutela della Privacy sin dal disegno di sistemi e processi aziendali
4. Garanzia della piena funzionalità senza ignorare la tutela dei dati personali
5. Sicurezza End-to-End per l’intero ciclo di vita dell’informazione
6. Visibilità e Trasparenza
7. Rispetto per la Privacy dell’utente tramite un approccio User-Centric.
In questo momento, il principio del “Privacy by Design” è stato introdotto all’interno del nuovo regolamento europeo in materia di protezione dei dati personali (“GDPR”) come “Protezione dei dati fin dalla progettazione”.
In particolare, all’interno della regolamentazione sulla protezione dei dati l’articolo denominato “Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita” enuncia quanto segue: “…sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati”.
Un approccio che potrebbe essere adottato, coerentemente con questo requisito, consiste nel considerare la privacy e la protezione dei dati personali fin dalla prima fasi progettuali di ogni singolo progetto (sia strutturale sia concettuale). Conseguentemente, il principio sulla protezione dei dati per impostazione predefinita potrebbe essere applicato ai sistemi informativi, ai processi di business ed anche alla definizione strutturale degli edifici e delle infrastrutture. All’interno del GDPR la protezione dei dati fin dalla progettazione viene associata alla protezione dei dati per impostazione predefinita. Quest’ultimo principio rafforza la protezione dei dati in quanto prevede che le aziende dovrebbero, per impostazione predefinita (“by default”), trattare le informazioni personali soltanto per le finalità previste, per lo stretto tempo necessario per esplicare tali finalità (principio di minimizzazione) e garantire che i dati non siano accessibili da un numero indefinito di persone.
Al fine di aderire al principio di protezione dei dati per impostazione predefinita sarà necessario eseguire una valutazione del rischio in ambito privacy in tutti i casi in cui verrà definito un nuovo processo, implementato un nuovo sistema o sarà necessario reingegnerizzare i processi di business, prevedendo, se necessario, specifiche misure organizzative e/o tecnologiche.