Privacy By design

La gestione dei dati personali è un argomento importante e che noi in SPOT. abbiamo considerato da più punti di vista. La Privacy by design è un concetto chiave nello sviluppo del software e implica che già in fase di analisi e sviluppo è necessario adottare tutte le strategie, i meccanismi e le best practices che portano a rispettare la normativa GDPR.

Il GDPR prevede, infatti, che il trattamento dei dati personali venga considerato da più aspetti.

Partiamo dal facile: dobbiamo distinguere innanzitutto il Titolare del trattamento (cioè il nostro cliente, ad esempio) dal Responsabile del trattamento (chi produce il software e gestisce/crea il database in cui vengono memorizzati i dati personali, come noi). Che differenza c’è? Ok, lo scopriremo nel corso di questo viaggio esplorativo e informativo a tema GDPR, per ora ci serve tenere bene a mente che anche le software house devono necessariamente essere preparate nella gestione del dato sensibile. E noi di SPOT. software, grazie anche ai professionisti di cui ci circondiamo, lo siamo.

Ok, come renderlo davvero concreto? Ascoltiamo le risposte alle nostre domande, da parte dell’Avvocato Andrea Baldrati, fondatore di BSD Legal (www.bsdlegal.it) e Presidente dell’Associazione no profit Privacy Network (www.privacy-network.it).

1. Gestire bene il trattamento dei dati personali per un’azienda è un tema sicuramente importante: quali sono i vantaggi di farlo bene?
L’elenco dei vantaggi è lungo, mi soffermerei però su quelli che ho potuto constatare più di recente nel corso della mia attività di consulente. Una breve premessa: da qualche anno la normativa privacy europea ha dato il via a un circolo virtuoso che ora sta iniziando a dare i frutti sperati. Molte aziende hanno imparato a gestire in modo davvero trasparente i dati dei loro clienti, perché hanno finalmente deciso di mettere la protezione dei dati al centro della loro agenda strategica. Oggi, effettivamente, le persone iniziano a scegliere un prodotto o un servizio sulla base di come sono trattati i loro dati. Quindi direi che il primo vantaggio per le aziende che colgono questa opportunità, è quello di acquisire un margine competitivo rispetto ai propri competitor. Un altro aspetto è la mitigazione del danno di immagine dell’azienda quando si è vittima di un incidente informatico: purtroppo -come dicono ormai tutti gli esperti del settore- “non è più una questione di se, ma di quando accadrà”. In quel momento, l’azienda deve essere pronta ad affrontare una violazione di dati personali con tutte le misure tecniche e organizzative necessarie e adeguate al proprio scenario di rischio. Un esempio di misura di sicurezza fondamentale per tamponare situazioni emergenziali? Direi, fra tutte, il principio di minimizzazione secondo cui un’azienda dovrebbe trattare solo i dati necessari per le proprie finalità. Applicare questo principio costa molta fatica alle aziende, perché sono obbligate a fare una ricognizione attenta di tutti i dati in loro possesso. Tuttavia, anche avere dati personali “dimenticati” o accumulati in data base non utilizzati, vuol dire esporsi a responsabilità del tutto evitabili.

2. Che differenza c’è tra titolare del Trattamento e Responsabile del Trattamento e che responsabilità hanno?
Per rispondere al meglio, partiamo dalla norma: il Titolare è un soggetto o ente che decide mezzi e finalità di un trattamento di dati personali mentre il Responsabile è chi tratta i dati personali per conto del Titolare. Facciamo anche qui un esempio: l’azienda Alfa decide di utilizzare un nuovo software di video conferencing per le riunioni da remoto. L’azienda ha deciso il mezzo (il software in cloud) e la finalità (effettuare meeting da remoto); mentre il Responsabile è l’azienda che eroga il software in questione e che tratta alcuni dati (come i video o i log registrati nel corso del meeting) per conto dell’azienda Alfa.

Ovviamente, le responsabilità sono fra di essi diverse, in particolare il Titolare deve assicurarsi che tutta la sua catena di Responsabili dei Trattamenti a cui “appalta” determinati servizi sia conforme alle normative privacy; non a caso il famoso provvedimento del Garante Privacy Italiano contro TIM Spa (con annessa sanzione da quasi 28 milioni di euro) ha messo in chiaro che il Titolare deve fare un controllo proattivo, non solo formale, nei confronti del Responsabile, fino al punto di prevedere un controllo in loco e interviste a campione sul fornitore per valutare su base continuativa la affidabilità di un soggetto a cui sono condivise informazioni.

3. Grazie Avvocato, un ultimo passo. Qual è il vantaggio di affidarsi a una software house che prende in considerazione seriamente gli aspetti del trattamento dei dati personali?
Riprendiamo un passaggio del discorso precedente: il Titolare deve essere attento nello scegliere non solo i fornitori, ma anche i mezzi e gli strumenti – fra cui rientrano certamente i software – mediante i quali sono trattati dati personali. Per cui, affidarsi a una software house che è sensibile a questi temi, certamente agevola il Titolare nel rispetto della normativa privacy. Diversamente, quel software, non sarà progettato secondo i noti principi di privacy by design; e se un software diventa un “facilitatore” nell’implementazione di trattamenti dati non corretti, la responsabilità è prima di tutto del Titolare, quindi dell’azienda che lo ha acquistato o preso in licenza.

4. La normativa GDPR è stata promulgata per garantire agli utenti un adeguato livello di privacy, cosa significa questo concretamente per me utilizzatore di un software?
Garantire un adeguato livello di privacy è una finalità della normativa citata, ma aggiungerei che quella principale è mettere gli utenti nella condizione di poter controllare i propri dati personali anche nell’ambiente digitale, dove fino a qualche anno fa regnava davvero il caos. Una situazione dovuta per lo più ad una assoluta ignoranza sul tema dei dati personali, nel senso letterale del termine: gli utenti non sapevano che fine facessero i propri dati e non si informavano neppure al riguardo perché, di fatto, non ne conoscevano il valore e soprattutto non erano a conoscenza dei rischi connessi a una condivisione non sicura degli stessi. Oggi si sta registrando un cambio di tendenza e i software che vengono immessi sul mercato sono in linea generale più rispettosi dei nuovi standard privacy di quanto lo erano anche solo 5 anni fa. In questo senso, l’utente ha un maggiore controllo sui propri dati, per esempio con modalità più semplici di richieste di accesso o di modifica delle proprie informazioni all’interno di pannelli di controllo ad hoc; una gestione centralizzata dei consensi, procedure di autenticazione più sicure e l’elenco potrebbe continuare. Sono i principi di privacy by design che si stanno traducendo in misure di sicurezza a favore dell’utente utilizzatore del software e che sta alzando il livello generale di protezione dei dati personali, proprio perché la privacy è diventata un elemento di competitività che le software house vogliono promuovere e mettere in pratica.

Ringraziando, l’Avvocato Baldrati, andiamo a sintetizzare le nostre conclusioni: la normativa GDPR è stata promulgata per garantire agli utenti un adeguato livello di privacy e non permettere che i dati personali siano di libero accesso senza il consenso del diretto interessato.

Quindi, i dati privati di una persona appartengono a quella persona e non possono essere utilizzati liberamente da altri.

Questo è il concetto base che ci guida, in materia, nello sviluppo di prodotti digitali che in SPOT. progettiamo e realizziamo con grande attenzione anche ad aspetti specifici come quello del GDPR.

La gestione dei dati personali è un argomento importante e che noi in SPOT. abbiamo considerato da più punti di vista. La Privacy by design è un concetto chiave nello sviluppo del software e implica che già in fase di analisi e sviluppo è necessario adottare tutte le strategie, i meccanismi e le best practices che portano a rispettare la normativa GDPR.

Il GDPR prevede, infatti, che il trattamento dei dati personali venga considerato da più aspetti.

Partiamo dal facile: dobbiamo distinguere innanzitutto il Titolare del trattamento (cioè il nostro cliente, ad esempio) dal Responsabile del trattamento (chi produce il software e gestisce/crea il database in cui vengono memorizzati i dati personali, come noi). Che differenza c’è? Ok, lo scopriremo nel corso di questo viaggio esplorativo e informativo a tema GDPR, per ora ci serve tenere bene a mente che anche le software house devono necessariamente essere preparate nella gestione del dato sensibile. E noi di SPOT. software, grazie anche ai professionisti di cui ci circondiamo, lo siamo.

Ok, come renderlo davvero concreto? Ascoltiamo le risposte alle nostre domande, da parte dell’Avvocato Andrea Baldrati, fondatore di BSD Legal (www.bsdlegal.it) e Presidente dell’Associazione no profit Privacy Network (www.privacy-network.it).

1. Gestire bene il trattamento dei dati personali per un’azienda è un tema sicuramente importante: quali sono i vantaggi di farlo bene?
L’elenco dei vantaggi è lungo, mi soffermerei però su quelli che ho potuto constatare più di recente nel corso della mia attività di consulente. Una breve premessa: da qualche anno la normativa privacy europea ha dato il via a un circolo virtuoso che ora sta iniziando a dare i frutti sperati. Molte aziende hanno imparato a gestire in modo davvero trasparente i dati dei loro clienti, perché hanno finalmente deciso di mettere la protezione dei dati al centro della loro agenda strategica. Oggi, effettivamente, le persone iniziano a scegliere un prodotto o un servizio sulla base di come sono trattati i loro dati. Quindi direi che il primo vantaggio per le aziende che colgono questa opportunità, è quello di acquisire un margine competitivo rispetto ai propri competitor. Un altro aspetto è la mitigazione del danno di immagine dell’azienda quando si è vittima di un incidente informatico: purtroppo -come dicono ormai tutti gli esperti del settore- “non è più una questione di se, ma di quando accadrà”. In quel momento, l’azienda deve essere pronta ad affrontare una violazione di dati personali con tutte le misure tecniche e organizzative necessarie e adeguate al proprio scenario di rischio. Un esempio di misura di sicurezza fondamentale per tamponare situazioni emergenziali? Direi, fra tutte, il principio di minimizzazione secondo cui un’azienda dovrebbe trattare solo i dati necessari per le proprie finalità. Applicare questo principio costa molta fatica alle aziende, perché sono obbligate a fare una ricognizione attenta di tutti i dati in loro possesso. Tuttavia, anche avere dati personali “dimenticati” o accumulati in data base non utilizzati, vuol dire esporsi a responsabilità del tutto evitabili.

2. Che differenza c’è tra titolare del Trattamento e Responsabile del Trattamento e che responsabilità hanno?
Per rispondere al meglio, partiamo dalla norma: il Titolare è un soggetto o ente che decide mezzi e finalità di un trattamento di dati personali mentre il Responsabile è chi tratta i dati personali per conto del Titolare. Facciamo anche qui un esempio: l’azienda Alfa decide di utilizzare un nuovo software di video conferencing per le riunioni da remoto. L’azienda ha deciso il mezzo (il software in cloud) e la finalità (effettuare meeting da remoto); mentre il Responsabile è l’azienda che eroga il software in questione e che tratta alcuni dati (come i video o i log registrati nel corso del meeting) per conto dell’azienda Alfa.

Ovviamente, le responsabilità sono fra di essi diverse, in particolare il Titolare deve assicurarsi che tutta la sua catena di Responsabili dei Trattamenti a cui “appalta” determinati servizi sia conforme alle normative privacy; non a caso il famoso provvedimento del Garante Privacy Italiano contro TIM Spa (con annessa sanzione da quasi 28 milioni di euro) ha messo in chiaro che il Titolare deve fare un controllo proattivo, non solo formale, nei confronti del Responsabile, fino al punto di prevedere un controllo in loco e interviste a campione sul fornitore per valutare su base continuativa la affidabilità di un soggetto a cui sono condivise informazioni.

3. Grazie Avvocato, un ultimo passo. Qual è il vantaggio di affidarsi a una software house che prende in considerazione seriamente gli aspetti del trattamento dei dati personali?
Riprendiamo un passaggio del discorso precedente: il Titolare deve essere attento nello scegliere non solo i fornitori, ma anche i mezzi e gli strumenti – fra cui rientrano certamente i software – mediante i quali sono trattati dati personali. Per cui, affidarsi a una software house che è sensibile a questi temi, certamente agevola il Titolare nel rispetto della normativa privacy. Diversamente, quel software, non sarà progettato secondo i noti principi di privacy by design; e se un software diventa un “facilitatore” nell’implementazione di trattamenti dati non corretti, la responsabilità è prima di tutto del Titolare, quindi dell’azienda che lo ha acquistato o preso in licenza.

4. La normativa GDPR è stata promulgata per garantire agli utenti un adeguato livello di privacy, cosa significa questo concretamente per me utilizzatore di un software?
Garantire un adeguato livello di privacy è una finalità della normativa citata, ma aggiungerei che quella principale è mettere gli utenti nella condizione di poter controllare i propri dati personali anche nell’ambiente digitale, dove fino a qualche anno fa regnava davvero il caos. Una situazione dovuta per lo più ad una assoluta ignoranza sul tema dei dati personali, nel senso letterale del termine: gli utenti non sapevano che fine facessero i propri dati e non si informavano neppure al riguardo perché, di fatto, non ne conoscevano il valore e soprattutto non erano a conoscenza dei rischi connessi a una condivisione non sicura degli stessi. Oggi si sta registrando un cambio di tendenza e i software che vengono immessi sul mercato sono in linea generale più rispettosi dei nuovi standard privacy di quanto lo erano anche solo 5 anni fa. In questo senso, l’utente ha un maggiore controllo sui propri dati, per esempio con modalità più semplici di richieste di accesso o di modifica delle proprie informazioni all’interno di pannelli di controllo ad hoc; una gestione centralizzata dei consensi, procedure di autenticazione più sicure e l’elenco potrebbe continuare. Sono i principi di privacy by design che si stanno traducendo in misure di sicurezza a favore dell’utente utilizzatore del software e che sta alzando il livello generale di protezione dei dati personali, proprio perché la privacy è diventata un elemento di competitività che le software house vogliono promuovere e mettere in pratica.

Ringraziando, l’Avvocato Baldrati, andiamo a sintetizzare le nostre conclusioni: la normativa GDPR è stata promulgata per garantire agli utenti un adeguato livello di privacy e non permettere che i dati personali siano di libero accesso senza il consenso del diretto interessato.

Quindi, i dati privati di una persona appartengono a quella persona e non possono essere utilizzati liberamente da altri.

Questo è il concetto base che ci guida, in materia, nello sviluppo di prodotti digitali che in SPOT. progettiamo e realizziamo con grande attenzione anche ad aspetti specifici come quello del GDPR.