Privacy By Design Diventa Uno Standard Internazionale

Privacy By Design Diventa Uno Standard Internazionale

È dello scorso mese la pubblicazione della norma ISO 31700, che ha l’obiettivo di fornire ai titolari del trattamento un approccio pratico all’implementazione di un sistema di protezione dei dati personali che si basi sul principio cardine di privacy by design, fornendo i requisiti e tutte le indicazioni necessarie.

I requisiti della ISO 31700 sono 27 (reperibili online https://www.iso.org/obp/ui/#iso:std:iso:31700:-1:ed-1:v1:en:en. ), suddivisi in cinque capitoli; la norma nella seconda parte riporta anche tre esempi, uno sito eCommerce B2C, una palestra (con un servizio di raccolta dati delle prestazioni fisiche degli utenti e invio su app per dispositivo mobile) e uno smart lock (con app per dispositivo mobile).

 

I requisiti sono suddivisi in 5 capitoli:

 

  • Requisiti generali sulla progettazione, sui ruoli e responsabilità, sulle competenze e sulla documentazione di supporto.
  • Requisiti di comunicazione, ovvero le istruzioni da fornire al consumatore, le modalità di invio delle richieste e dei reclami, le modalità di comunicazione di eventuali violazioni dei dati personali, ect…).
  • Requisiti sulla gestione del rischio, ovvero i processi che riguardano la valutazione del rischio, sia per quel che riguarda gli audit di prima parte sia per quelli di terza parte.
  • Requisiti sullo sviluppo, la realizzazione e l’esercizio dei controlli relativi alla privacy.
  • Conclusione del ciclo di vita del prodotto, ovvero sulle modalità di distruzione corretta dei dati al termine dei periodi di retention.

 

Il principio di privacy by design, insieme a quello di privacy by default, teorizzati prima dell’entrata in vigore del GDPR, rappresentano le fondamenta di quest’ultimo e ci parlano dell’importanza di un approccio proattivo e preventivo in termini di protezione dei dati personali.

Per dirla con parole semplici, il principio di privacy by design si riferisce all’implementazione di strumenti (misure di sicurezza tecniche e organizzative) ai fini della protezione dei dati fin dalla fase di progettazione di un processo, prodotto o servizio, che contempli un trattamento di dati.

 

Ma cosa vuol dire applicare il principio di Privacy by design con un approccio proattivo e preventivo?

 

Vuol dire innanzitutto mettere al centro dei processi l’interessato e quindi il rispetto dei suoi diritti, vuol dire garantire la sicurezza dei dati per l’intero ciclo di vita, la trasparenza in riferimento a tutte le fasi del processo in questione, e ancora dare priorità al principio di minimizzazione dei dati e assicurare la massima funzionalità per garantire la protezione e la sicurezza degli utenti.

Come per altre certificazioni, la conformità allo standard ISO non equivale alla conformità al GDPR. La ISO 37100 non è direttamente collegata al quadro normativo europeo in materia di protezione dati, nonostante abbiano molti aspetti in comune come alcune definizioni fondamentali come quella di dato personale; ma basti notare che gli individui vengono chiamati consumatori e non interessati, per capire che l’approccio della ISO in questione è finalizzato a scopi più commerciali che non di difesa di un diritto fondamentale riconosciuto ad ogni persona.

Di certo la ISO 37100 rappresenterà un valido strumento per le aziende e per i consulenti privacy ai fini di rendere il concetto di privacy by design più concreto e operativo, ma gli addetti ai lavori dovranno essere in grado di bilanciare fra le indicazioni della ISO e il GDPR dando priorità a quest’ultimo.

 

Non ci stancheremo mai di dirlo, conseguire una certificazione non è automaticamente sinonimo di compliance, armonizzare i processi aziendali ad uno standard operativo non necessariamente significa soddisfare tutti gli obblighi normativi attuali, soprattutto in ambito privacy.