Protezione dei dati personali, si cambia. Al via la Privacy by design

 2 min

Articolo pubblicato su FR MAGAZINE | Feb – Mar 2018 |

A partire dal 25 maggio 2018 si applicherà il GDPR, un regolamento Ue che imporrà alle Sgr di rafforzare i presidi di cybersecurity e di protezione dei dati dei clienti

Protezione dei dati fin dalla progettazione, o privacy by design. È questo uno dei principi cardine su cui poggia il nuovo approccio alla protezione dei dati personali introdotto con il Regolamento (UE) 2016/679, il Regolamento generale sulla protezione dei dati, anche noto come il GDPR (General Data Protection Regulation) e che entrerà pienamente in vigore a partire dal 25 maggio 2018. Ne abbiamo parlato con Sonia Maffei, Direttore Previdenza e Immobiliare di Assogestioni.

Cosa implica concretamente l’introduzione del concetto di privacy by design?

In primo luogo, è importante sottolineare come il concetto di privacy by design non possa essere adeguatamente ed esaustivamente compreso se non analizzato in connessione al principio di privacy by default e a quello più generale di accountability, o responsabilizzazione. Accountability, privacy by design e privacy by default costituiscono, infatti, i tre pilastri indissolubili attorno a cui il GDPR delinea i nuovi obblighi di protezione dei dati personali.

 Secondo l’opinione di molti esperti il GDPR rappresenta una vera e propria rivoluzione nel trattamento dei dati personali. Può aiutarci a comprendere più nel dettaglio i tre pilastri citati?

Il principio di accountability ribalta l’impostazione adottata fino ad oggi: mentre la disciplina previgente individuava i singoli presidi che dovevano essere posti in essere per assicurare la protezione dei dati personali, il GDPR individua ora gli obiettivi in materia di protezione dei dati personali. I titolari saranno responsabili (accountable) di individuare i mezzi più idonei per raggiungere tali obiettivi.
Il concetto di privacy by default si sostanzia nel limitare, per impostazione predefinita, il trattamento ai soli dati personali necessari per ogni specifica finalità del trattamento medesimo.
La privacy by design, infine, è un concetto più ampio, che ricomprende al suo interno quello di privacy by default. Implica la necessità di una valutazione ex ante, che consenta di strutturare i processi interni tenendo conto di tutti i possibili rischi inerenti alla protezione dei dati personali che potranno manifestarsi nel futuro prevedendo, altresì, le necessarie misure di intervento.
Tale concetto è stato utilizzato per la prima volta in ambito europeo nel 2010 quando, nel corso della 32esima conferenza mondiale dei Garanti per la privacy e la protezione dei dati personali, è stata adottata la risoluzione sulla privacy by design.

 Cosa richiede la risoluzione a cui fa riferimento?

La risoluzione in parola formalizza, per la prima volta, il concetto che la protezione dei dati personali deve essere presa in considerazione a monte, nella fase di definizione e progettazione di tutti i processi aziendali e non dovrebbe, quindi, essere interpretata come un complesso di interventi attivabile a posteriori.
La protezione dei dati, inoltre, deve essere garantita lungo tutta la catena operativa aziendale, inclusi i sistemi IT, i processi, le pratiche commerciali, la progettazione strutturale e le infrastrutture di rete. In questo senso il concetto di privacy all’interno di una realtà aziendale deve necessariamente ampliarsi e permeare tutte le procedure.

Con questo nuovo approccio alla privacy, cosa cambia in pratica?

L’adozione di un approccio come quello definito dalla privacy by design comporta, necessariamente, anche l’applicazione di un approccio basato sul rischio. Affinché i titolari del trattamento siano in grado di definire misure tecniche, organizzative e procedurali efficaci per la protezione dei dati personali, non potranno prescindere da un’attenta valutazione dei rischi che le attività poste in essere pongono rispetto ai diritti e alle libertà delle persone fisiche i cui dati sono oggetto di trattamento.