LA PRIVACY BY DESIGN È VERAMENTE INNOVATIVA?

By | 26 gennaio 2017

Prima di entrare nel merito dell’argomento citato nel titolo è opportuno chiarire alcuni aspetti:

Il concetto di Privacy by Design non è nuovo, in quanto nasce oltre 20 anni va, come idea della Dr. Ann Cavoukian, Privacy Commissioner dell’Ontario. L’ idea è stata successivamente ripresa e fatta propria dalla 32a Conferenza Internazionale dei Garanti privacy tenutasi a Gerusalemme nel 2010 che al riguardo hanno rilasciato una risoluzione (peraltro facilmente reperibile sul sito del Garante per la protezione dei dati personali www.garanteprivacy.it).

Il GDPR non parla di privacy by design, ma di Data protection by design and by default, tradotto in Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita. Il concetto di privacy in effetti non è mai citato nel nuovo Regolamento, ma non lo era nemmeno nell’attuale Codice privacy, che in effetti si chiama Codice in materia di PROTEZIONE DEI DATI PERSONALI. Non quindi corretto affermare che si passa da un concetto di PRIVACY ad un concetto di PROTEZIONE DEI DATI PERSONALI (come spesso si sente citare in articoli o convegni), in quanto di privacy mai si è parlato nei documenti normativi.

Sempre con riferimento alla terminologia utilizzata si parla di PROTEZIONE DEI DATI FIN DALLA PROGETTAZIONE, e non di SICUREZZA dei dati fin dalla progettazione. Il semplice riferimento alla SICUREZZA come adempimento richiesto è quindi molto riduttivo. Del resto abbiamo un GDPR e non già un GDSR.

Dopo queste premesse analizziamo il contenuto dell’articolo 25:

sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati.

 

In estrema sintesi al Titolare è richiesto di pensare e di mettere in atto tutte le misure che consentano ad un trattamento di essere conforme al Regolamento e – come componente della accountability – di documentare tutto ciò che hai pensato di mettere in atto, le valutazioni che hanno portato a tali scelte, le evidenze che ne testimoniano l’implementazione.

Il primo quesito che ci si pone, davanti ad una tale formulazione, è se era effettivamente necessario formalizzare tale richiesta in una normativa.

Se un Titolare non si comporta in questo modo come fa a essere conforme al GDPR (o a qualunque altra normativa)?

È assolutamente indispensabile che all’atto di qualunque variazione endo o eso aziendale che riguardi un nuovo prodotto, servizio, struttura organizzativa, struttura informatica o logistica, modalità di gestione dei processi… valutare che impatti questi abbiano in riferimento ad una o a più normative. Per sua natura la protezione dei dati personali è estremamente invasiva e quindi, a differenza di altre normative il cui perimetro è più facilmente definibile, qualunque variazione in azienda può comportare impatti in ambito privacy e la conseguente individuazione di quali azioni si devono intraprendere per mantenere la conformità.

Tale comportamento tuttavia non è innovativo ed esclusivo del GDPR. Se non metto in atto una logica di privacy by design come faccio a rispettare il D.Lgs 196/03 o le altre normative che hanno impatti in ambito privacy?

Il GDPR quindi non fa altro che formalizzare, e richiedere la formalizzazione di una prassi che dovrebbe già essere in atto.

Questo è un aspetto importante e da ricordare, la privacy è come la natura: non fa salti.

Category: Privacy by Design

About Giancarlo Butti

Deals with ICT, organization and legislation since the early 80s covering different roles: security manager, project manager, auditor at banking groups, consultant in security and privacy to companies of different sectors and sizes. Performs regular activity of dissemination through articles (over 700), books (21 between books and white papers also used as university texts, 11 collective works within the ABI LAB, Oracle Community for Security and CLUSIT), technical manuals, courses, seminars, conferences… participates in working groups to ABI LAB on Business Continuity, Risk and GDPR, ISACA-AIEA on GDPR and 263, Oracle Community for Security, UNINFO, ASSOGESTIONI and the Committee of experts for the innovation of OMAT360. He is a member of the faculty of ABI Training. He is a partner and proboviro of ISACA-AIEA Member of CLUSIT and BCI. He is certified (LA BS7799), (LA ISO IEC 27001:2013), CRISC, ISM, DPO, CBCI, AMBCI.

2 thoughts on “LA PRIVACY BY DESIGN È VERAMENTE INNOVATIVA?

  1. silvia stefanelli

    sono assolutamente d’accordo sotto il profili sostanziale.
    però — da avvocato – la differenza formale la vedo nel collegamento con il principio dell’accountability

    in linea di massima:
    l’architettura giuridica del Codice Privacy è prescrittiva: ti indico un elenco di cose che devi fare; se non le fai ti sanziono
    l’architettura del Regolamento è per obiettivi: devi rispettare i principi per il corretto trattamento e la sicurezza dei dati; ti indico una serie di prescrizioni che reputo fondamentali, per il resto sei tu titolare che mi devi “provare” (nel senso di “prova processuale” o comunque di “prova giuridica”) cosa hai fatto, perchè l’hai fatto, quale è l’analisi del rischio della gestione del dato e come hai deciso di gestire questo rischio ecc..

    in questo senso secondo me i principi della privacy by design e by default sono innovativi: non tanto di per sè ma in collegamento logico e strumentale con il principio dell’accountability

  2. paolo calvi

    oltre alla differenza “formale” evidenziata dall’avv. stefanelli (che condivido) secondo me però c’è anche una differenza “sostanziale”. va bene che il concetto non è nuovo (ontario ecc.) e che anche con il codice vigente i sistemi DOVREBBERO essere progettati per favorire la compliance, ma il punto è: le aziende LO HANNO FATTO VERAMENTE?
    se la risposta purtroppo spesso è NO, ecco che la novità cessa di essere puramente formale. in altre parole, è giunto il momento di fare sul serio quello che sino ad ora si sarebbe dovuto già fare, ma non si è fatto.

Lascia un commento

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.