L’ICO, ossia il garante privacy Inglese, ha pubblicato una nuova guida alla privacy by design, concetto spesso mal compreso o frainteso nel GDRP, diretta specificamente a chi è coinvolto nella realizzazione di software/prodotti digitali.
All’art. 25 GDPR la privacy by design è descritta come “protezione dei dati (personali) fin dalla progettazione”, ovvero per tutto il ciclo di vita del trattamento del dato. E questo implica da parte del titolare l’attuazione di tutte quelle misure di sicurezza volte a proteggerlo. Il problema è che non ci sono, almeno finora, delle linee guida pratiche da seguire per garantire il pieno rispetto di questo requisito, ed è questo gap che ICO ha cercato di colmare. Queste indicazioni son valide sia per Titolari del trattamento che per responsabili incaricati dai titolari di realizzare prodotti tecnologici su misura.
LE 7 FASI
Nella linea guida si vanno a identificare 7 fasi del ciclo di vita di un prodotto tecnologico che possiamo rappresentare come segue:
- una fase preliminare, in cui si identificano sia le normative da rispettare che altre considerazioni cogenti, come quelle etiche (si pensi ai rischi sociali) e aziendali (dalla reputazione aziendale al valore aggiunto sul mercato nel rispetto della privacy);
- una fase iniziale (kick-off), dall’avvio del progetto alla mappatura delle esigenze di dati personali del prodotto, fino alle idee su come integrarvi la privacy;
- una fase di ricerca, dai test ai modi per proteggere i dati personali dei partecipanti alla ricerca;
- una fase di progettazione, focalizzata proprio sul design del modo e del momento giusto in cui fornire informazioni comprensibili ad es. per ottenere un consenso valido, se necessario;
- una fase di sviluppo, compresa la definizione della quantità appropriata di dati personali richiesti, l’esplorazione di soluzioni tecniche che migliorano la privacy e la protezione dei dati personali negli ambienti di sviluppo;
- una fase di lancio, tra cui l’esecuzione di controlli pre-release, oppure come comunicare nel migliore dei modi eventuali modifiche;
- una fase post-lancio, incluso il monitoraggio e la valutazione delle correzioni, la rivalutazione delle aspettative e – perché no – la celebrazione dei successi conseguiti in materia di privacy.
Nelle linee guida si possono trovare tanti esempi pratici per ogni fase Le indicazioni sono specifiche, con esempi per ogni fase.
Ad esempio per la fase preliminare si raccomanda di:
- Coinvolgere fin da subito tutte le parti interessate in modo da raccogliere tutte le esigenze e informazioni necessarie sin dal kick off del progetto. I confronti dovrebbero essere continuativi e tutti dovrebbero prendere visione dei diversi progressi.
- Oltretutto andrebbe stabilito chi è responsabile nel prendere decisioni in materia di privacy: un eventuale DPO ha sicuramente voce in capitolo ma non scordiamoci che è il titolare, o suo delegato, ad avere l’ultima parola e gli oneri annessi.
- Dato che ogni prodotto è diverso è necessario anzitutto mappare la tipologia di dati raccolta e utilizzata e le modalità di interazione degli utenti col prodotto .
- Bisogna poi cercare di comprendere i potenziali rischi connessi alle modalità di raccolta dei dati, ad eventuali nuove funzioni ed al potenziale uso che ne potrebbero fare malintenzionati che avessero accesso a quei dati.
Per la fase di vera e propria progettazione
- È necessario non usare mai dati reali o identificativi
- I responsabili non dovrebbero dare il via libera fino a che tutti gli aspetti privacy non siano stati sviscerati
- Bisogna preoccuparsi di stendere informative ex art 13 semplici, immediate, comprensibili e facilmente accessibili. La tempistica è davvero rilevante: oltre al momento della raccolta dei dati, è importante considerare altri momenti nella “user journey“, come ad es. spiegazioni mostrate durante la fase di registrazione dell’account utente. Ciò per permettere a ogni singolo utente di prendere decisioni informate, quando sono nello stato d’animo migliore per fare scelte ragionevoli.
- La possibilità di esercitare i propri diritti da parte dell’interessato deve essere garantita e facilmente espletabile, direttamente dall’interfaccia del prodotto.
Nella fase post lancio :
- Bisogna monitorare l’utilizzo del prodotto per assicurarsi che tutto funzioni come previsto e non insorgano problemi inaspettati.
- Bisogna introdurre nuove funzionalità con grande attenzione, valutando bene gli impatti e le conseguenti contromisure da mettere in pista se necessario
- Bisogna far tesoro di tutto ciò che succede con il lancio del prodotto in modo da acquisire esperienza e definire linee guida proprie interne utili per il futuro
Lascia un commento